EN / RU / AR / NL

НАСКОЛЬКО ХОРОШО ЗАЩИЩЕНЫ ВАШИ НАИБОЛЕЕ ЦЕННЫЕ АКТИВЫ?

VASC — Vulnerability Assessment & Security Consultancy — молодая, амбициозная компания, фокусирующаяся на международном рынке ИТ-безопасности и предлагающая высококачественные услуги в сфере ИТ-безопасности. VASC специализируется на эффективном определении, снижении и предотвращении рисков в области ИТ-безопасности. В большинстве случаев принимается обдуманное решение провести оценку ИТ-безопасности. Это решение тесно связано с уровнем риска, который готова принять на себя ваша организация.

Scroll down

О КОМПАНИИ

VASC СПЕЦИАЛИЗИРУЕТСЯ НА ЭФФЕКТИВНОМ ОПРЕДЕЛЕНИИ, СНИЖЕНИИ И ПРЕДОТВРАЩЕНИИ РИСКОВ В ОБЛАСТИ ИТ-БЕЗОПАСНОСТИ.

Мы фокусируемся на предоставлении качественных услуг, таких как высокотехнологичные тесты на проникновение для ИТ-инфраструктур/приложений и проверки на угрозы извне. При этом компания VASC открыта к инновационному партнерству в целях решения текущих проблем с уязвимостью и продолжения новаторской работы в области ИТ-безопасности.

Общество стремительно оцифровывается. Все больше людей и компаний чаще появляются в сети, хранят информацию в облаке и стремятся к максимальной мобильности и сетевому взаимодействию. Это создает новые возможности для пользователей, партнеров, клиентов, сотрудников и конкурентов. Это также открывает дверь кибер-преступникам, искусно делающим деньги на новых возможностях цифровых технологий и тем самым представляющим собой постоянную и растущую угрозу для организаций.

Scroll down

НАШИ УСЛУГИ

НЕ УДИВИТЕЛЬНО, ЧТО КОМПАНИИ ВСЕ БОЛЬШЕ БЕСПОКОЯТСЯ О СВОЕЙ РЕПУТАЦИИ И ВОЗМОЖНОМ УЩЕРБЕ СВОИМ БРЕНДАМ.

Ущерб в результате кибератак может стоить миллионы и зачастую не исправляется быстро. Тем не менее, от крупных организаций можно ожидать максимального профессионализма в обработке личной и секретной информации. Компания VASC может этому поспособствовать, проводя (периодические) проверки технической ИТ-безопасности.

СУЩЕСТВУЕТ МНОГО ВИДОВ И ТИПОВ ПРОВЕРОК НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ТЕХНИЧЕСКОЙ ИТ-БЕЗОПАСНОСТИ, КОТОРЫЕ МОЖНО ПРОВЕСТИ НА РАЗЛИЧНЫХ ПРОВЕРЯЕМЫХ ОБЪЕКТАХ.

Тип проверки зависит от ряда факторов. Они включают момент проведения проверки (была уже задействована среда или нет), тип проверяемого риска (атака системы хакером или атака пользователя кем-то с помощью методов социальной инженерии), обширность исследования (с исходным кодом или без) или доступность конфигураций систем. В этом отношении организациям стоит заранее определить свои наиболее ценные активы, которые необходимо защитить.
Во время проверки основу составляют методы кибер-преступников: каковы наиболее ценные активы организации и как можно до них добраться?

При проведении проверки на соответствие требованиям технической ИТ-безопасности компания VASC полагается на различные проверочные модули, включающие «черный ящик», «серый ящик» и «хрустальный ящик». Компания VASC также предоставляет проверки/инспекции кода, тесты на проникновение, (физическую) социальную инженерию и проверки на угрозы извне.


SCADA/ICS

Многие системы SCADA/ICS задействованы в жизненноважных инфраструктурах контроля и чтения данных в обрабатывающей промышленности. Обычно при разработке этих систем основное внимание уделяется их штатному функционированию и долговечности, в то время как соображения безопасности в расчет не принимаются. Сбои в системах SCADA/ICS могут воздействовать на физический мир. Внезапно могут открыться замки, прекратить работу электростанции, а на качество очистки водоочистных установок нельзя будет положиться.

Чтобы защитить вашу среду SCADA/ICS от кибератак, VASC проведет проверку безопасности для выявления слабых мест. Часто при этом применяется метод Red Teaming, сочетающий несколько типов атак и методов тестирования.

ОБЕЗОПАСЬТЕ ЦЕННЫЕ ДАННЫЕ И ПОВЫСЬТЕ УРОВЕНЬ ДОВЕРИЯ.

Проведение проверок на соответствие требованиям технической ИТ-безопасности является профилактической и распознавательной мерой, позволяющей обнаружить проблемы ИТ-безопасности и решить их до того, как определенные субъекты воспользуются ими в корыстных целях. Методы дальнейшей защиты организаций во многом зависят от определения возможных субъектов и предполагаемой угрозы. Это распознавание является жизненно важным, поскольку не все организации в равной мере «привлекательны» для различных типов кибертеррора.

Лица или организации, стоящие за атаками, можно разделить на следующие группы:

  1. Простые хакеры, главная мотивация которых — показать, на что они способны
  2. Активисты, стремящиеся выразить определенную философскую идею, часто движимые идеологией или нацеленные на распространение страха, движимые политическими целями
  3. Организованная преступность, нацеленная на получение прямой денежной выгоды (например, с помощью фишинга) или косвенной денежной выходы путем продажи информации о компании
  4. Государства, стремящиеся улучшить свое геополитическое положение или расширить возможности власти.

Здесь можно выделить семь типов угроз:

  • получение и обнародование информации
  • хищение личных данных
  • манипуляция данными
  • шпионаж
  • нарушение работы ИКТ
  • захват и неправомерное использование ИКТ
  • намеренное нанесение ущерба репутации

ПРОВЕРКИ ПРИЛОЖЕНИЙ

Компания VASC проводит проверки как приложений, так и инфраструктур. Проверки приложений можно разделить на 6 профилей по уровню риска.
Значительную роль играют такие факторы, как многообразные риски, ущерб репутации и размер групп пользователей, либо ситуации, когда вовлечены уникальные личные данные. Профиль риска 1 — это профиль с наибольшим уровнем риска, а профиль риска 6 — с наименьшим.

ПРОВЕРКИ ИНФРАСТРУКТУРЫ

Для проверок только что созданных ИТ-инфраструктур на соответствие требованиям безопасности можно использовать ту же классификацию рисков, что и для приложений. Во многих случаях речь идет о цельном проекте, в рамках которого разрабатывается и новое приложение, и соответствующая ИТ-инфраструктура.

ПРОВЕРКИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ИТ-БЕЗОПАСНОСТИ

МЫ ПРИМЕНЯЕМ 7 ВИДОВ ПРОВЕРКИ НА СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ИТ-БЕЗОПАСНОСТИ.

Обычно потребность в профилактических, распознавательных или ответных мерах становится очевидной уже после возникновения фактической угрозы. Проведение проверок на соответствие требованиям технической ИТ-безопасности является профилактической и распознавательной мерой, позволяющей обнаружить проблемы ИТ-безопасности и решить их до того, как определенные субъекты воспользуются ими в корыстных целях.

«ЧЕРНЫЙ ЯЩИК» – ПРОВЕРКА, ДАЮЩАЯ ГЛУБОКОЕ ПОНИМАНИЕ.

До проверки методом «черного ящика» не предоставляется никакой информации, помимо того, какую именно систему (приложение и/или инфраструктуру) предстоит проверить. Компании VASC не оказывается в этом содействия, ей все придется узнавать самостоятельно. При этом мы получаем глубокое понимание того, чего может достичь хакер из Интернета, не имея предварительных знаний и законного доступа. Проверка методом «черного ящика» часто выполняется в течение ограниченного времени, в срок, значительно меньший, чем время, которое готовы уделить атаке злоумышленники.

«СЕРЫЙ ЯЩИК» – ОБНАЖАЕТ УЯЗВИМЫЕ МЕСТА.

При проверке методом «серого ящика» нашим консультантам предоставляется информация для входа в систему. Таким способом они получают представление о возможных уязвимых местах, которыми могут воспользоваться пользователи, имеющие законный доступ к системе, сети или приложению. Все проверочные действия, выполняемые при проверке методом «черного ящика», выполняются и при проверке методом «серого ящика». Это помогает обнаружить, например, возможно ли получить всесторонний доступ к учетным данным для незарегистрированных пользователей.

«ХРУСТАЛЬНЫЙ ЯЩИК» – ПРЕДОСТАВЛЯЕТ ГЛУБИННОЕ ПОНИМАНИЕ СИСТЕМ.

Проверка методом «хрустального ящика» дает полное представление о функционировании проверяемой системы. Например, выдается доступ администратора к серверам и предоставляется исходный код приложения. На вопросы, касающиеся организации, отвечают архитекторы, разработчики и администраторы. Это позволяет оценить те сегменты среды, которые в иных случаях были бы недоступны.

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ – НАПРАВЛЕНА НА ЛЮДЕЙ.

Проверка методами социальной инженерии направлена не на технологию как таковую, а скорее на самое слабое звено цепи: на людей. Во время атаки хакер предпримет попытку получить доступ к конфиденциальной информации.


Мы выделяем 4 различных вида атак/проверок методами социальной инженерии:

Фишинг может применяться с целью вовлечения больших групп людей в проверку (которую в дальнейшем можно будет использовать во время информационной кампании). В консультации с организацией или учреждением составляется сценарий, по которому пользователи получают электронное письмо, содержащее ссылку и/или вложение. Будет составлен отдельный отчет о количестве людей, которые щелкнули по ссылке, и о количестве людей, также предоставивших свои учетные данные на соответствующем веб-сайте.

В данном виде социальной инженерии осуществляется контакт по телефону с отделом или конкретными людьми. Целью здесь является убедить этих людей предоставить по телефону секретную информацию, такую как их имя пользователя и пароль, а также попытаться выудить некоторые наиболее ценные сведения.

Насколько просто заразить внутренний компьютер? Чтобы выяснить это, по организации распространяются USB-устройства, содержащие электронику, которая попытается заразить компьютер. USB-флешки будут оставлены в разных местах или отправлены людям как гаджеты. Как флешки, так и гаджеты подготавливаются таким образом, чтобы при использовании на ноутбуке или компьютере происходило выполнение кода. Как правило, вместо фактического заражения компьютера будет всего лишь установлено соединение, это делается ввиду связанной с этим дополнительной работой и повышенным риском. В обоих случаях будет продемонстрирована уязвимость.

Насколько легко получить куда-либо доступ? Методом социальной инженерии мы проверяем, можем ли бы войти в организацию или получить доступ к закрытым для посторонних местам, таким как компьютерные центры, аппаратные и исследовательские лаборатории.


Физическая социальная инженерия заключается в любых действиях, необходимых для получения физического доступа к зонам с конфиденциальной информацией. Это может быть «висение на хвосте» (прохождение мимо охраны вместе с кем-то) и временное присвоение чужой личности. В этом компания VASC уникальна и способствует как технической, так и физической ИТ-безопасности, с помощью которой можно обеспечить широкий спектр ИТ-безопасности.

ПРОВЕРКА/ИНСПЕКЦИЯ КОДА – ПРОВЕРКА КОДА.

Во время проверки/инспекции кода проводится оценка работающего приложения/кода на основании проверки предоставленного в доступ исходного кода. При этом проводится не полный анализ кода, а только проверка его (важных) частей.


Во время полной проверки (очень) большая часть кода анализируется вручную, а остальные части проверяются с помощью автоматических инструментов.

ТЕСТЫ НА ПРОНИКНОВЕНИЕ – КАК ДАЛЕКО МЫ МОЖЕМ ЗАЙТИ.

Проверки методом «черного/серого/хрустального ящика» направлены главным образом на обнаружение как можно большего количества уязвимых мест и предоставление отчета о них. Идея теста на проникновение заключается в обнаружении одного или нескольких уязвимых мест за ограниченное время и в фактическом их использовании путем проникновения в сеть/приложение как можно глубже.

Проверки на угрозы извне – в прицеле самое ценное


Проверка на угрозы извне нацелена не на конкретное приложение или сегмент инфраструктуры. Целью такой проверки являются самые ценные активы организации. При этом прилагаются акцентированные усилия для получения доступа к наиболее ценной информации компании, для чего выбирается путь наименьшего сопротивления. Такой подход основан на идеях и методике внешних субъектов, намеренных выкрасть ценные активы организации.


Проверка на угрозы извне представляет собой сочетание технических методов (главным образом «черного ящика») и методов социальной инженерии.


Применяемые сценарии составляются заранее, по результатам консультаций с клиентами. В конечном счете именно клиент решает, как далеко следует заходить в рамках такой проверки. Подобная проверка позволяет составить реалистичную картину уязвимости организации, а также оценить то, как организация реагирует на инциденты, и степень фактической готовности защищать свои активы.

"

НАШИ ПРИНЦИПЫ

ОЗНАКОМЛЕНИЕ

В начале выполнения задачи по проверке необходимо выяснить размер, сложность и уязвимость объекта. Наряду с используемыми методами проверки это определяет количество времени, которое следует потратить на проверку. Поэтому перед выполнением проверок на соответствие требованиям ИТ-безопасности важно определить правильный объем работ. Чтобы определить объем работ по проверке приложений либо ИТ-инфраструктуры, во время вводной консультации устанавливается ряд критически важных моментов, которые используются в качестве отправных точек.

ОЦЕНКА СТОИМОСТИ

Стоимость проверки на соответствие требованиям ИТ-безопасности состоит из 2 компонентов: (дневная/почасовая) ставка и заложенное в бюджет время проверки. Оценка стоимости будет содержать описание принципов на основании общих условий стандартов и/или передовых практик для проводимой проверки. Там также будет четко указано, чего можно ожидать от компании VASC и какие предварительные условия должны быть выполнены для проведения надлежащей проверки.

ПЛАНИРОВАНИЕ СРОКОВ

После определения объема работ и назначения задания составляется график выполнения проверки на соответствие требованиям ИТ-безопасности. Имеются ли какие-либо особые просьбы в отношении сроков? Следует ли нам, например, учитывать дату запуска проекта? Или является ли проверка частью аудита, с которым приходится иметь дело организации? Рекомендуется выяснить эти вопросы как можно раньше.

При планировании сроков также желательно учитывать период времени, требующийся (при необходимости) для устранения обнаруженных рисков и последующего выполнения повторной проверки.

ДОГОВОР

Основой договора с общими условиями (ОУ) могут служить стандартные договоры и общие условия предоставления ИТ-услуг. При составлении договора на выполнение проверки на соответствие требованиям ИТ-безопасности мы используем следующие конкретные пункты интереса:

  • предоставление разрешений, ограждение от ответственности и надлежащее установление (технического) объема назначения через URL-адреса, IP-адреса и/или сетевые диапазоны.
  • конфиденциальность: для всех сторон важно обеспечить максимальную конфиденциальность (результатов) проверки на соответствие требованиям ИТ-безопасности.
  • ограничение ответственности: стандартная практика заключается в ограничении ответственности обеих сторон относительным объемом задания.

ОТЧЕТНОСТЬ

По завершении проверки на соответствие требованиям ИТ-безопасности компания VASC предоставляет подробный отчет обо всех результатах проверки. В этот отчет включается следующая информация:

  • объем проверки
  • даты проведения проверки
  • краткий обзор
  • выводы на основании выявленных рисков
  • выявленные риски
    • описание риска или его подтверждение
    • классификация риска
    • рекомендации в отношении мер, которые следует принять

ПОСЛЕДУЮЩИЕ ДЕЙСТВИЯ

Как только будет предоставлен отчет компании VASC, важно тщательно проверить результаты. При этом могут быть определены последующие действия. Наиболее положительным результатом проверки на соответствие требованиям ИТ-безопасности является отчет об отсутствии обнаруженных угроз. На практике же чаще случается обратное. По каждой обнаруженной угрозе необходимо определить возможные последствия для организации и стоимость ее минимизации.

По угрозам с высоким уровнем риска выбор зачастую вполне очевиден, однако в отношении угроз со средним и в особенности с низким уровнем риска организациям необходимо принять обдуманное решение. Такие решения могут включать внесение процедурных изменений, но могут и предполагать, например, назначение разработчиков и/или специалистов по сетям на внесение таких изменений, которые снизили бы риск и/или возможные последствия угрозы — предпочтительно до нуля, но в любом случае до приемлемого для организации уровня.

ПОВТОРНЫЕ ПРОВЕРКИ

После проведения проверки и нейтрализации обнаруженных угроз рекомендуется провести повторную проверку, чтобы выяснить, все ли было сделано должным образом. В зависимости от количества адаптаций, выполненных для нейтрализации угроз, компания VASC может провести частичную проверку. Но может понадобиться провести и полную новую проверку, чтобы определить, не привели ли принятые меры к появлению новых уязвимых мест. Рекомендуется провести полную повторную проверку через несколько месяцев после проведения изначальной проверки. Это повышает вероятность того, что не только все обнаруженные угрозы были нейтрализованы, но и что можно выполнить другие адаптации и либо добавить, либо удалить функциональные возможности.

После принятия решения о проведении повторной проверки мы предоставим подробную информацию о том, какие обнаруженные угрозы связаны с повторной проверкой.

СТРУКТУРНЫЙ ПОДХОД

Мы рекомендуем подходить к проверкам ИТ-безопасности на структурном уровне. На практике часто выходит так, что эти проверки выполняются по ситуации или только периодически (с низкой частотой и в ограниченном объеме).

Разработка четкой политики в отношении проведения проверок ИТ-безопасности может дать сотрудникам более ясное представление о том, когда следует проверять определенные приложения и ИТ-инфраструктуры, с какой частотой и какими методами. Помимо периодических проверок, также следует учитывать проверки новых ИТ-проектов.

Scroll down

Контакты

БЕЗОПАСНОСТЬ ВАШИХ ЦЕННЫХ ДАННЫХ



Адрес
Zuid Hollandlaan 7, 2596 AL The Hague, The Netherlands (Нидерланды)
Телефон
+31 70 240 08 30
Эл. почта