декабрь 2025
Новый сервис: управление ИБ-рисками подрядчиков
Технически и экономически эффективный мониторинг состояния ИБ подрядчиков позволяет управлять рисками там, где не распространяются корпоративные политики и не действует система защиты, но рождаются угрозы ИБ.
Рады сообщить, что мы запустили новый сервис «Управление ИБ-рисками подрядчиков» для решения особенно актуальной сейчас проблемы угроз со стороны поставщиков.
Подрядчики имеют доступ к ресурсам компании, разрабатывают ПО, предоставляют сервисы или хотя бы коммуницируют посредствам электронной почты, к которой повышенное доверие со стороны своих сотрудников. При этом возможности контроля состояния их ИБ ограничены. Часто это компании меньшего размера, существующие в условиях жесткой конкуренции за получение контрактов. Это создает предпосылки для экономии на «неосновных» затратах.
Мы периодически расследуем инциденты, когда подрядчику или дочерней компании закрывают доступ из-за обнаружения вредоносной активности, и таким образом, непосредственно наблюдаем эту проблему. Стоит отметить, что количество таких инцидентов активно растет последние годы.
Традиционные способы контроля ИБ (аудиты, пентесты) оказываются слишком затратны в случае большого количества подрядчиков. NDA и выставление требований по ИБ в договорах играет свою роль, но не снимает необходимости контроля и получения объективной картины до того, как случился инцидент.
Мы собрали воедино наш опыт в тестировании на проникновение, управлении внешней поверхностью атаки (EASM), управления уязвимостями и инцидентами (SOC), расследовании инцидентов, а также в проведении аудитов на соответствие требованиям, оценке рисков и консалтинге, чтобы создать подход, позволяющий оценивать зрелость ИБ контрагентов и достигнуть баланса между глубиной анализа и стоимостью.
Подрядчики имеют доступ к ресурсам компании, разрабатывают ПО, предоставляют сервисы или хотя бы коммуницируют посредствам электронной почты, к которой повышенное доверие со стороны своих сотрудников. При этом возможности контроля состояния их ИБ ограничены. Часто это компании меньшего размера, существующие в условиях жесткой конкуренции за получение контрактов. Это создает предпосылки для экономии на «неосновных» затратах.
Мы периодически расследуем инциденты, когда подрядчику или дочерней компании закрывают доступ из-за обнаружения вредоносной активности, и таким образом, непосредственно наблюдаем эту проблему. Стоит отметить, что количество таких инцидентов активно растет последние годы.
Традиционные способы контроля ИБ (аудиты, пентесты) оказываются слишком затратны в случае большого количества подрядчиков. NDA и выставление требований по ИБ в договорах играет свою роль, но не снимает необходимости контроля и получения объективной картины до того, как случился инцидент.
Мы собрали воедино наш опыт в тестировании на проникновение, управлении внешней поверхностью атаки (EASM), управления уязвимостями и инцидентами (SOC), расследовании инцидентов, а также в проведении аудитов на соответствие требованиям, оценке рисков и консалтинге, чтобы создать подход, позволяющий оценивать зрелость ИБ контрагентов и достигнуть баланса между глубиной анализа и стоимостью.