Анализ защищенности 
IT-инфраструктуры

Выяви уязвимости в IT-инфраструктуре до того, 

как это будет сделано злоумышленниками

Уязвимость – это недостаток в программном обеспечении, оборудовании или процедуре, который может предоставить атакующему возможность несанкционированного доступа к компьютеру, сети и информационным ресурсам компании.

Уязвимость – это отсутствие или слабость защитных мер. Уязвимостью может являться служба, запущенная на сервере, «непропатченное» приложение или операционная система, неограниченный вход в какую-то служебную сеть (например, видеонаблюдения), открытый порт на межсетевом экране, отсутствие управления паролями на серверах и рабочих станциях.

«В программах встречаются ошибки. Это нормально», - говорит Давид Хейнемейер Ханссон, разработчик языка программирования Ruby on Rails. Но если эти ошибки не исправлять, то это может привести к серьезным финансовым последствиям и даже человеческим жертвам.
Результаты пентестов 2022 года:
по данным Компании Positive Technologies
В 70% организаций были выявлены критически опасные уязвимости, связанные с недостатками парольной политики.
В 67% организаций были выявлены уязвимости, связанные с отсутствием актуальных обновлений.
100% исследованных организаций не защищены от установления внутренним злоумышленником полного контроля над ИТ-инфраструктурой.
В 84% организаций даже низкоквалифицированный злоумышленник может проникнуть в локальную сеть.
57% протестированных компаний входят в рейтинг крупнейших компаний России по объему реализации продукции RAEX-600. А это значит, что исследование касается организаций, которые уделяют безопасности очень серьезное внимание. В менее крупных организациях ситуация еще более серьезна.

Каковы возможные последствия?

  • Недостатки в системе обработки багажа в аэропорту «Хитроу» привели к потере 42 000 чемоданов и отмене 500 авиарейсов в течение первых 10 дней после открытия нового терминала.
  • Недостаточно протестированное ПО для высокочастотной торговли за полчаса спустило на бирже 440 млн $ — почти весь капитал американского брокера Knight Capital Group.

И эти системы даже не были атакованы – они были несовершенны сами по себе. Представьте, каких масштабов могут достигнуть последствия продуманной атаки на уязвимые информационные системы!
По словам специалиста по безопасности ESET Тони Анскомба, ни одна компания сегодня не может гарантировано быть полностью защищенной от кибератак. Те, кто считает, что у них нет уязвимостей в системе защиты, должны понимать, что такая позиция — сама по себе угроза безопасности, уверен эксперт.
Вывод
Даже при использовании самых современных средств защиты, IT-инфраструктура компании может находится в зоне риска. Поэтому так важно организовать надлежащий контроль за безопасностью с целью выявления слабых мест, дабы обнаружить и закрыть бреши в информационной защите предприятия.
Что делать?
Для оценки реальной защищенности информационных систем требуется проводить регулярный анализ защищенности внутренней IT-инфраструктуры компании. Такой комплекс работ показывает четкую картину защищенности от угроз, помогает найти все уязвимости и сформировать стратегию по повышению уровня защищенности.
Решение
Для проведения анализа защищенности IT-инфраструктуры необходимы специализированные решения: системы контроля защищенности и соответствия стандартам, в просторечии «Сканеры безопасности».
Рекомендуемые продукты:
RedCheck
RedCheck
MaxPatrol VM
MaxPatrol VM

Нужна консультация по продуктам анализа защищенности IT-инфраструктуры?

Мы свяжемся с вами в ближайшее время, чтобы как можно скорее ответить на интересующие вопросы.
Ознакомиться с Согласием
Спасибо! Мы свяжемся с вами в ближайшее время