BIS Journal №1(20)/2016

16 марта, 2016

Знать, уметь, мочь

По оценкам представителей Сбербанка, в минувшем 2015 году из-за мошеннических действий в интернете Россия потеряла около $1 млрд. Главными причинами хищений стали недружественные действия иностранных государств, организованная преступность, мошенничество хакеров и утечки инсайдерской информации. Жертвами оказывались как государственные и частные компании, так и граждане. При этом специалисты по информационной безопасности (ИБ) отмечают не только увеличение числа инцидентов, но и рост масштабов ущерба, нанесенного действиями злоумышленников.


Для противостояния угрозам ИБ организации используют различные защитные меры, опираясь на источники, специализирующиеся на защите данных, и усиливают отделы информационных технологий. Руку на пульсе информационной безопасности также держит международный совет консультантов по электронной коммерции (The International Council of Electronic Commerce Consultants, EC-Council) —компания, созданная для поддержки организаций и индивидуальных предпринимателей в области e-commerce. EC-Council предлагает сертификацию специалистов по ИБ и регулярно обновляющиеся образовательные программы.

Еще одно подспорье специалистам по ИБ—открытый проект обеспечения безопасности веб-приложений OWASP (Open Web Application Security Project). Сообщество OWASP объединяет корпорации, образовательные организации и частных лиц по всему миру и работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе. Участники сообщества OWASP делают приложения безопаснее, учитывая человеческий фактор и технологический уровень. Среди самых востребованных документов организации — Проект Топ-10 OWASP, он применяется к различным приложениям, мобильным и облачным технологиям, регулярно обновляется, на него опираются множество стандартов, инструментов и организаций, работающих в области ИБ.
 
Топ-10 угроз различным типам приложений
 
Веб-приложения   Мобильные приложения Облачные технологии
A1 Внедрение кода  M1 Слабый контроль на стороне сервера R1 Подотчетность и собственность данных
A2 Некорректная аутентификация и управление сессией    М2 Небезопасное хранение данных   R2 Идентификация пользователей
A3 Межсайтовый скриптинг (XSS)  M3 Недостаточная защита транспортного уровня  R3 Соответствие нормативным требованиям
A4 Небезопасные прямые ссылки на объекты  M4 Компрометация данных  R4 Непрерывность бизнеса и отказоустойчивость
A5 Небезопасная конфигурация M5 Слабая авторизация и аутентификация R5 Конфиденциальность данных и вторичное использование
A6 Утечка чувствительных данных M6 Использование небезопасных криптографических методов R6 Сервис и интеграция данных
A7 Отсутствие контроля доступа к функциональному уровню М7 Инъекции на стороне клиента R7 Режим коллективной и физической безопасности
A8 Подделка межсайтовых запросов (CSRF) M8 Доверие ненадежным входным параметрам R8 Анализ инцидентов и судебная практика
A9 Использование компонентов с известными уязвимостями M9 Неправильное управление сеансом R9 Безопасность инфраструктуры
A10 Невалидированные редиректы M10 Недостаточная защита двоичных данных  R10 Использование непроизводственных сред работы ПО

       
Чтобы эти угрозы были реализованы, необходимо наличие уязвимости и атакующего, способного провести атаку на неё. Задача специалиста по информационной безопасности—знать актуальные техники, методы и инструменты, которые помогут отразить любые атаки.

Обновлённая версия трека авторизованных курсов по этичному хакингу от EC-Council доступна слушателям «Специалиста» при МГТУ имени Н. Э. Баумана. Учебный центр предлагает программы подготовки сертифицированных специалистов на статусы Certified Ethical Hacker (CEH), EC-Council Certified Security Analyst (ECSA), Computer Hacking Forensic Investigator (CHFI), Chief Information Security Officer (CISO).

 

Авторизованные курсы, которые в «Специалисте» преподаются на русском языке, не имеют аналогов в России. Сертификат EC-Council подтвердит высокий уровень квалификации руководителей и специалистов в области ИБ, системных администраторов. Такие профессионалы востребованы не только в российских, но и в зарубежных компаниях в условиях глобального дефицита экспертов по информационной безопасности.
 

+ 7 (495) 232-32-16
www.specialist.ru 
info@specialist.ru


 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных