Ответы на часто задаваемые вопросы

Совсем простым языком, почему техническая уязвимость – это как болезнь организма

— Зачем нужна информационная безопасность?
— Средства массовой информации полны новостей об инцидентах безопасности и утечках информации. Организации страдают от существенного ущерба от инцидентов кибер-безопасности. Процессы и решения безопасности требуются нормами регуляторов, такими как GDPR, PCI DSS и HITECH/HIPAA. Несоответствие требованиям может привести к серьёзным санкциям. Даже если компания не обязана соблюдать требования и стандарты безопасности, соответствие требованиям и следование лучшим мировым практиками безопасности является конкурентным преимуществом. Кибер-здоровье аналогично физическому здоровью, поэтому всегда лучше предотвращать болезнь, чем лечить.

— Зачем покупать сервис технической оценки безопасности?
— Техническая оценка безопасности – это лучший способ выяснить текущее состояние безопасности приложения, сетевой инфраструктуры или других систем. Техническая оценка безопасности полезна для оценки рисков. Оценка рисков чрезвычайно важна для обоснования бюджетов и мероприятий по безопасности. Внутренний персонал не может объективно выполнять независимую оценку безопасности, поэтому компетентная третья сторона – это лучший выбор. Наконец, услуга оценки безопасности – это один из сервисов безопасности, поэтому вы также можете использовать предыдущий ответ.

— Какая разница между аудитом, проверкой, оценкой информационной безопасности, тестированием на проникновение и сканированием уязвимостей?
— Тестирование на проникновение – это оценка технической и/или социотехнической безопасности. В нашем контексте «пентест» и «оценка безопасности» – это синонимы. «Оценка безопасности» – более официальный термин. Аудит и проверка безопасности обычно охватывают более стратегический слой, такой как соответствие процессов требованиям безопасности, и могут включать техническую оценку безопасности как часть. Иногда «аудит безопасности» используется как синоним «оценки безопасности». В некоторых случаях «аудит» означает регистрацию (журналирование) событий безопасности. Сканирование на уязвимости – это относительно простая автоматизированная работа по поиску технических уязвимостей систем, которая является только одним из этапов некоторых пентестов. Недобросовестные поставщики услуг безопасности называют пентестом сканирование уязвимостей.

— Что такое уязвимости информационной безопасности, и как они появляются?
— Уязвимости информационной безопасности (или технические уязвимости) являются недостатками программного кода или конфигурации. Некоторые уязвимости могут быть использованы для проникновения хакеров или других атак. Уязвимости появляются в веб-сайтах, приложениях, прошивках, службах и т. д. в основном из-за человеческих ошибок, но иногда из-за злонамеренных действий. Создание безопасных приложений намного дольше и дороже обычных, но современные рынки программного обеспечения требуют быстрый выпуск продуктов и снижение затрат. Поэтому производителям приходится допускать вероятность уязвимостей безопасности в их программных продуктах. Чтобы компенсировать недостатки безопасности, оценка безопасности проводится на этапе использования программного обеспечения. Производители программного обеспечения, исследователи безопасности и другие специалисты постоянно ищут новые уязвимости безопасности во многих приложениях. Они автоматизируют свою работу и позволяют нам использовать их результаты с помощью сканеров уязвимостей.

— Хакинг – это законно?
— Термин «хакинг» неоднозначный. Термины «компьютерное преступление» и «оценка безопасности» являются более точными. Разница и ключевой момент заключаются в разрешении заказчика. Если владелец целевого объекта даёт письменное разрешение, то выполнение оценок безопасности законно.

— Почему нам следует доверять вам?
— Наши сертификации требуют только законные действия и этическое поведение. Вы можете проверить наши сертификаты в соответствующих независимых международных сертифицирующих организациях. Почитайте больше о нас, потому что это важно.

— Кто ваши клиенты?
— Наши клиенты – компании, работающие в электронной коммерции, промышленности, фармацевтике, телекоммуникациях, торговле, ИТ, страховании, а также банки и государственные организации. Любая компания, которая ценит свою информацию, онлайн-сервисы, соответствие требованиям безопасности, конфиденциальность и непрерывность бизнеса является нашим потенциальным клиентом.

— Кто у заказчика обычно отвечает за безопасность? К кому мне следует обращаться, чтобы продвигать безопасность?
— Вы можете говорить с владельцами и первыми лицами компаний, директорами и исполнительными директорами, ИТ-директорами, начальниками служб безопасности и информационной безопасности, аудиторами, техническими директорами, финансовыми директорами, ИТ-специалистами и специалистами по безопасности, либо с представителями аналогичных ролей.

— Если безопасность – это неосязаемый актив, тогда как заказчик узнает, за что он платит?
— Вместе с коммерческим предложением мы предоставляем подробный план проекта, разработанный индивидуально для заказчика. Для создания такого плана мы выясняем все потребности, предпосылки и условия заказчика. В плане описаны требования безопасности, модели угроз, режимы тестирования, спецификации области охвата и несколько десятков других параметров. Разработка плана проекта – это часть предпроектной подготовки, и это бесплатно.

— Что означает «H-X»?
— Просто H-X. Если настаиваете на каком-то значении, пусть будет «Hacker eXperience» («хакерский опыт»).

Кто мы, что делаем и что предлагаем.

О тестах на проникновение.