Что необходимо специалисту по информационной безопасности, чтобы достойно противостоять современным угрозам
Клевогин Сергей Павлович,
ведущий преподаватель Центра по направлению
Информационная безопасность
По оценкам представителей Сбербанка, в минувшем 2015 году из-за мошеннических действий в интернете Россия потеряла около $1 млрд. Главными причинами хищений стали недружественные действия иностранных государств, организованная преступность, мошенничество хакеров и утечки инсайдерской информации. Жертвами оказывались как государственные и частные компании, так и граждане. При этом специалисты по информационной безопасности (ИБ) отмечают не только увеличение числа инцидентов, но и рост масштабов ущерба, нанесенного действиями злоумышленников.
Для противостояния угрозам ИБ организации используют различные защитные меры, опираясь на источники, специализирующиеся на защите данных, и усиливают отделы информационных технологий. Руку на пульсе информационной безопасности также держит международный совет консультантов по электронной коммерции (The International Council of Electronic Commerce Consultants, EC-Council) — компания, созданная для поддержки организаций и индивидуальных предпринимателей в области e-commerce. EC-Council предлагает сертификацию специалистов по ИБ и регулярно обновляющиеся образовательные программы.
Еще одно подспорье специалистам по ИБ — открытый проект обеспечения безопасности веб-приложений OWASP (Open Web Application Security Project). Сообщество OWASP объединяет корпорации, образовательные организации и частных лиц по всему миру и работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе. Участники сообщества OWASP делают приложения безопаснее, учитывая человеческий фактор и технологический уровень. Среди самых востребованных документов организации — Проект Топ-10 OWASP, он применяется к различным приложениям, мобильным и облачным технологиям, регулярно обновляется, на него опираются множество стандартов, инструментов и организаций, работающих в области ИБ.
Чтобы эти угрозы были реализованы, необходимо наличие уязвимости и атакующего, способного провести атаку на неё. Задача специалиста по информационной безопасности — знать актуальные техники, методы и инструменты, которые помогут отразить любые атаки.
Обновлённая версия трека авторизованных курсов по этичному хакингу от EC-Council доступна слушателям Бауманского учебного центра «Специалист». Учебный центр предлагает программы подготовки сертифицированных специалистов на статусы Certified Ethical Hacker (CEH), EC-Council Certified Security Analyst (ECSA), Computer Hacking Forensic Investigator (CHFI), Chief Information Security Officer (CISO).
ТОП-10 УГРОЗ РАЗЛИЧНЫМ ТИПАМ ПРИЛОЖЕНИЙ
| Веб-приложения | Мобильные приложения | Облачные технологии |
|---|---|---|
| A1 Внедрение кода | M1 Слабый контроль на стороне сервера | R1 Подотчётность и собственность данных |
| A2 Некорректная аутентификация и управление сессией | М2 Небезопасное хранение данных | R2 Идентификация пользователей |
| A3 Межсайтовый скриптинг (XSS) | M3 Недостаточная защита транспортного уровня | R3 Соответствие нормативным требованиям |
| A4 Небезопасные прямые ссылки на объекты | M4 Компрометация данных | R4 Непрерывность бизнеса и отказоустойчивость |
| A5 Небезопасная конфигурация | M5 Слабая авторизация и аутентификация | R5 Конфиденциальность данных и вторичное использование |
| A6 Утечка чувствительных данных | M6 Использование небезопасных криптографических методов | R6 Сервис и интеграция данных |
| A7 Отсутствие контроля доступа к функциональному уровню | М7 Инъекции на стороне клиента | R7 Режим коллективной и физической безопасности |
| A8 Подделка межсайтовых запросов (CSRF) | M8 Доверие ненадежным входным параметрам | R8 Анализ инцидентов и судебная практика |
| A9 Использование компонентов с известными уязвимостями | M9 Неправильное управление сеансом | R9 Безопасность инфраструктуры |
| A10 Невалидированные редиректы | M10 Недостаточная защита двоичных данных | R10 Использование непроизводственных сред работы ПО |
Статья опубликована в журнале BIS Journal - Информационная безопасность банков (01/2016).
