Исследование Positive Technologies: в сеть 7 из 8 финансовых организаций можно проникнуть из интернета

[fivehouse]

Профессиональные взломщики научились тщательно скрывать свое присутствие в инфраструктуре скомпрометированных компаний. Зачастую их хитроумные действия удается выявить только в ходе глубокого анализа сетевого трафика с разбором протоколов до уровня приложений (L7). Эту задачу решают системы класса network traffic analysis (NTA).

Немножко стеганографии, немножко правильной маскировки с десятком правил, немножко проксей в облаках и NTA становится почти бесполезным. NTA был хорош на заре Интернета. Иногда свои онлайн сервисы производители ПО так усиленно маскируют, что отличить их трафик от трафика закладок бывает сложно.
Ну, а в общем, мир корпораций в принципе не готов заниматься кибербезопасностью и понимать что такое кибербезопасность. И что это стоит денег и определенных усилий. И со временем ситуация становится все хуже и хуже.

[AlexanderTyutin]

мы рекомендуем регулярно проводить тестирование на проникновение и тренинги сотрудников ИБ в рамках red teaming

Одним из необходимых условий привлечения внешних подрядчиков для такого рода работ в компаниях является «выбивание» бюджета. Этот вопрос осложняется тем, что пока у компании регулярно не происходят проблемы, связанные с безопасностью и реально финансово влияющие на деятельность компании (простои и прочее), вся эта безопасность остается в разряде эфемерных и расходных (не приносящих доход) вещей.
В этом вопросе очень хорошо помогла бы некоего рода shareware/trial модель, при которой по договору внешний подрядчик сделал бы один шаг за периметр, но бесплатно (а если проблема не устранена, то ее ведь может эксплуатировать и обезьянка по мануалу). Возможность выполнения таких шагов ежеквартально может показать бизнесу (читай: помочь безопасникам вычислить и презентовать) потенциальные потери в человеко-часах и деньгах. А это уже будет весомым аргументом в диалоге безопасности и бизнеса.
Это мнение мое, как безопасника, 10 лет проработавшего в финансовой сфере в крупных и средних компаниях.
Пока кто-то из пенетраторов не решится на внедрение такой бизнес-модели, вся эта безопасность «7 из 8 финансовых организаций» так и останется на уровне высокопарных фраз и прочих бессменных атрибутов жизни большой компании.