Ответы на часто задаваемые вопросы


Зачем нужна информационная безопасность?
— Средства массовой информации полны новостей об инцидентах безопасности и утечках информации. Организации страдают от существенного ущерба от инцидентов кибер-безопасности. Процессы и решения безопасности требуются нормами регуляторов, такими как GDPR, PCI DSS и HITECH/HIPAA. Несоответствие требованиям может привести к серьёзным санкциям. Даже если компания не обязана соблюдать требования и стандарты безопасности, соответствие требованиям и следование лучшим мировым практиками безопасности является конкурентным преимуществом. Кибер-здоровье аналогично физическому здоровью, поэтому всегда лучше предотвращать болезнь, чем лечить.


Зачем покупать сервис технической оценки безопасности?
Техническая оценка безопасности – это лучший способ выяснить текущее состояние безопасности приложения, сетевой инфраструктуры или других систем. Техническая оценка безопасности полезна для оценки рисков. Оценка рисков чрезвычайно важна для обоснования бюджетов и мероприятий по безопасности. Внутренний персонал не может объективно выполнять независимую оценку безопасности, поэтому компетентная третья сторона – это лучший выбор. Наконец, услуга оценки безопасности – это один из сервисов безопасности, поэтому вы также можете использовать предыдущий ответ.


Какая разница между аудитом, проверкой, оценкой информационной безопасности, тестированием на проникновение и сканированием уязвимостей?
— Тестирование на проникновение – это оценка технической и/или социотехнической безопасности. В нашем контексте «пентест» и «оценка безопасности» – это синонимы. «Оценка безопасности» – более официальный термин. Аудит и проверка безопасности обычно охватывают более стратегический слой, такой как соответствие процессов требованиям безопасности, и могут включать техническую оценку безопасности как часть. Иногда «аудит безопасности» используется как синоним «оценки безопасности». В некоторых случаях «аудит» означает регистрацию (журналирование) событий безопасности. Сканирование на уязвимости – это относительно простая автоматизированная работа по поиску технических уязвимостей систем, которая является только одним из этапов некоторых пентестов. Недобросовестные поставщики услуг безопасности называют пентестом сканирование уязвимостей.


Что такое уязвимости информационной безопасности, и как они появляются?
— Уязвимости информационной безопасности (или технические уязвимости) являются недостатками программного кода или конфигурации. Некоторые уязвимости могут быть использованы для проникновения хакеров или других атак. Уязвимости появляются в веб-сайтах, приложениях, прошивках, службах и т. д. в основном из-за человеческих ошибок, но иногда из-за злонамеренных действий. Создание безопасных приложений намного дольше и дороже обычных, но современные рынки программного обеспечения требуют быстрый выпуск продуктов и снижение затрат. Поэтому производителям приходится допускать вероятность уязвимостей безопасности в их программных продуктах. Чтобы компенсировать недостатки безопасности, оценка безопасности проводится на этапе использования программного обеспечения. Производители программного обеспечения, исследователи безопасности и другие специалисты постоянно ищут новые уязвимости безопасности во многих приложениях. Они автоматизируют свою работу и позволяют нам использовать их результаты с помощью сканеров уязвимостей.


Хакинг – это законно?
— Термин «хакинг» неоднозначный. Термины «компьютерное преступление» и «оценка безопасности» являются более точными. Разница и ключевой момент заключаются в разрешении заказчика. Если владелец целевого объекта даёт письменное разрешение, то выполнение оценок безопасности законно.


Почему нам следует доверять вам?
— Наши сертификации требуют только законные действия и этическое поведение. Вы можете проверить наши сертификаты в соответствующих независимых международных сертифицирующих организациях. Почитайте больше о нас, потому что это важно.


Кто ваши клиенты?
— Наши клиенты – компании, работающие в электронной коммерции, промышленности, фармацевтике, телекоммуникациях, торговле, ИТ, страховании, а также банки и государственные организации. Любая компания, которая ценит свою информацию, онлайн-сервисы, соответствие требованиям безопасности, конфиденциальность и непрерывность бизнеса является нашим потенциальным клиентом.


Кто у заказчика обычно отвечает за безопасность? К кому мне следует обращаться, чтобы продвигать безопасность?
— Вы можете говорить с владельцами и первыми лицами компаний, директорами и исполнительными директорами, ИТ-директорами, начальниками служб безопасности и информационной безопасности, аудиторами, техническими директорами, финансовыми директорами, ИТ-специалистами и специалистами по безопасности, либо с представителями аналогичных ролей.


Если безопасность – это неосязаемый актив, тогда как заказчик узнает, за что он платит?
— Вместе с коммерческим предложением мы предоставляем подробный план проекта, разработанный индивидуально для заказчика. Для создания такого плана мы выясняем все потребности, предпосылки и условия заказчика. В плане описаны требования безопасности, модели угроз, режимы тестирования, спецификации области охвата и несколько десятков других параметров. Разработка плана проекта – это часть предпроектной подготовки, и это бесплатно.


Что означает «H-X»?
— Просто H-X. Если настаиваете на каком-то значении, пусть будет «Hacker eXperience» («хакерский опыт»).


Кто мы, что делаем и что предлагаем.

О тестах на проникновение.