Ответы на часто задаваемые вопросы
![]() Совсем простым языком, почему техническая уязвимость – это как болезнь организма |
— Зачем нужна информационная безопасность?
—
Средства массовой информации полны новостей об инцидентах безопасности и утечках информации.
Организации страдают от существенного ущерба от инцидентов кибер-безопасности.
Процессы и решения безопасности требуются нормами регуляторов, такими как GDPR, PCI DSS и HITECH/HIPAA.
Несоответствие требованиям может привести к серьёзным санкциям.
Даже если компания не обязана соблюдать требования и стандарты безопасности, соответствие требованиям и следование лучшим мировым практиками безопасности является конкурентным преимуществом.
Кибер-здоровье аналогично физическому здоровью, поэтому всегда лучше предотвращать болезнь, чем лечить.
— Зачем покупать сервис технической оценки безопасности?
— Техническая оценка безопасности – это лучший способ выяснить текущее состояние безопасности приложения, сетевой инфраструктуры или других систем.
Техническая оценка безопасности полезна для оценки рисков.
Оценка рисков чрезвычайно важна для обоснования бюджетов и мероприятий по безопасности.
Внутренний персонал не может объективно выполнять независимую оценку безопасности, поэтому компетентная третья сторона – это лучший выбор.
Наконец, услуга оценки безопасности – это один из сервисов безопасности, поэтому вы также можете использовать предыдущий ответ.
— Какая разница между аудитом, проверкой, оценкой информационной безопасности, тестированием на проникновение и сканированием уязвимостей?
— Тестирование на проникновение – это оценка технической и/или социотехнической безопасности.
В нашем контексте «пентест» и «оценка безопасности» – это синонимы.
«Оценка безопасности» – более официальный термин. Аудит и проверка безопасности обычно охватывают более стратегический слой, такой как соответствие процессов требованиям безопасности, и могут включать техническую оценку безопасности как часть. Иногда «аудит безопасности» используется как синоним «оценки безопасности». В некоторых случаях «аудит» означает регистрацию (журналирование) событий безопасности.
Сканирование на уязвимости – это относительно простая автоматизированная работа по поиску технических уязвимостей систем, которая является только одним из этапов некоторых пентестов.
Недобросовестные поставщики услуг безопасности называют пентестом сканирование уязвимостей.
— Что такое уязвимости информационной безопасности, и как они появляются?
— Уязвимости информационной безопасности (или технические уязвимости) являются недостатками программного кода или конфигурации. Некоторые уязвимости могут быть использованы для проникновения хакеров или других атак. Уязвимости появляются в веб-сайтах, приложениях, прошивках, службах и т. д. в основном из-за человеческих ошибок, но иногда из-за злонамеренных действий. Создание безопасных приложений намного дольше и дороже обычных, но современные рынки программного обеспечения требуют быстрый выпуск продуктов и снижение затрат. Поэтому производителям приходится допускать вероятность уязвимостей безопасности в их программных продуктах. Чтобы компенсировать недостатки безопасности, оценка безопасности проводится на этапе использования программного обеспечения. Производители программного обеспечения, исследователи безопасности и другие специалисты постоянно ищут новые уязвимости безопасности во многих приложениях. Они автоматизируют свою работу и позволяют нам использовать их результаты с помощью сканеров уязвимостей.
— Хакинг – это законно?
— Термин «хакинг» неоднозначный. Термины «компьютерное преступление» и «оценка безопасности» являются более точными. Разница и ключевой момент заключаются в разрешении заказчика. Если владелец целевого объекта даёт письменное разрешение, то выполнение оценок безопасности законно.
— Почему нам следует доверять вам?
— Наши сертификации требуют только законные действия и этическое поведение. Вы можете проверить наши сертификаты в соответствующих независимых международных сертифицирующих организациях. Почитайте больше о нас, потому что это важно.
— Кто ваши клиенты?
— Наши клиенты – компании, работающие в электронной коммерции, промышленности, фармацевтике, телекоммуникациях, торговле, ИТ, страховании, а также банки и государственные организации. Любая компания, которая ценит свою информацию, онлайн-сервисы, соответствие требованиям безопасности, конфиденциальность и непрерывность бизнеса является нашим потенциальным клиентом.
— Кто у заказчика обычно отвечает за безопасность? К кому мне следует обращаться, чтобы продвигать безопасность?
— Вы можете говорить с владельцами и первыми лицами компаний, директорами и исполнительными директорами, ИТ-директорами, начальниками служб безопасности и информационной безопасности, аудиторами, техническими директорами, финансовыми директорами, ИТ-специалистами и специалистами по безопасности, либо с представителями аналогичных ролей.
— Если безопасность – это неосязаемый актив, тогда как заказчик узнает, за что он платит?
— Вместе с коммерческим предложением мы предоставляем подробный план проекта, разработанный индивидуально для заказчика. Для создания такого плана мы выясняем все потребности, предпосылки и условия заказчика. В плане описаны требования безопасности, модели угроз, режимы тестирования, спецификации области охвата и несколько десятков других параметров. Разработка плана проекта – это часть предпроектной подготовки, и это бесплатно.
— Что означает «H-X Technologies»?
— Изначально это было «Hacker eXperience» («хакерский опыт»), но мы выросли и перестали быть просто хакерами. Поэтому теперь наше название – просто H-X.
Кто мы, что делаем и что предлагаем.