Управление
ИБ-рисками подрядчиков
Контроль состояния защищенности поставщиков для нейтрализации скрытых угроз
Технически и экономически эффективный мониторинг состояния ИБ подрядчиков позволяет управлять рисками там, где не распространяются корпоративные политики и не действует система защиты, но рождаются угрозы ИБ.
Оценка состояния периметра в динамике позволяет оценить и контролировать зрелость ИБ подрядчиков.
Оценка состояния периметра в динамике позволяет оценить и контролировать зрелость ИБ подрядчиков.
Недостатки традиционных способов
Проведение аудитов, запроса и оценки документов и опросников, проведение пентестов
- Высокая стоимостьПроведение полноценного аудита с проверкой эффективности декларируемых процессов или пентестов требует значительных ресурсов. Это может быть эффективным для особо критичных подрядчиков, но не может быть масштабируемо на остальных.
- Низкая точностьЗаполнение опросников и предоставление документов (политик, регламентов) связано с искушением создать образ того, чего на самом деле нет. Сертификат ISO 27 001 можно «купить» за 15 000 рублей.
- Большая длительностьЧем детальнее проверка, тем дольше она занимает времени. Это может отложить принятие решения о работе с новым подрядчиков не недели или месяцы.
- Недостаточная актуальностьРазовые оценки теряют актуальность в момент завершения. Детальные проверки обычно не проводятся чаще одного раза в год.
Проблема
Подрядчик — это «черный ящик» с точки зрения ИБ. Открывая доступ к ресурсам компании, устанавливая его продукты и даже просто получая электронные письма, Вы открываете дверь для угроз ИБ.
Традиционные способы контроля ИБ оказываются слишком затратны в случае большого количества подрядчиков.
Традиционные способы контроля ИБ оказываются слишком затратны в случае большого количества подрядчиков.
Решение
Мы применяем масштабируемый подход, сочетающий анализ состояния внешнего периметра и адаптированные методики исследования защищенности. В результате достигается необходимая глубина, скорость и стоимость, позволяющая использовать сервис для большого числа подрядчиков.
Технологии
Значительный опыт в тестировании на проникновение, управлении внешней поверхностью атаки (EASM), управлении уязвимостями и инцидентами (SOC), а также в проведении аудитов на соответствие требованиям, оценке рисков и консалтинге, позволил нам создать эффективный сервис управления рисками подрядчиков.
Сервис управления рисками подрядчиков
Глубина
Объективные данные о реальном состоянии защищенности подрядчика
Гибкость
Дифференциация глубины проверок в зависимости от критичности подрядчика
Масштабируемость
Бесшовное встраивание сервиса в процесс управления подрядчиками
Несколько фактов
Полученных в процессе наших исследований
-
Более 50 млн. хостов с критичными уязвимостями
-
Более 32 тыс. баз данных Elasticsearch и MongoDB, открытых для всех - Более 1,5 млн. web-серверов с открытым доступом к файлам (в т.ч. более 10 тысяч содержат копии баз данных)
- Более 88 тыс. хостов используют SMBv1 и уязвимы к множеству атак
Наши преимущества
-
Продвинутые технологииБолее 10 лет мы совершенствуем наши технологии: продвинутые технологии управления уязвимостями и инцидентами, нахождение уязвимостей нулевого дня, сканирование всего Интернета, исследование происходящих в мире атак и угроз и многое другое -
Нацеленность на бизнесМы понимаем риски, их влияние на бизнес, существующие особенности и ограничения. Вместо подхода «чем больше, тем лучше» мы руководствуемся принципами необходимости и достаточности -
ГибкостьВсе наши сервисы и услуги модульные и гибко настраиваются. Вам не придется переплачивать за ненужные функции -
Готовые эффективные процессыНаши сервисы дают не только технический результат, но и готовые, в то же время гибкие, процессы управления -
Широкое покрытиеМы работаем со всеми актуальными практическими проблемами ИБ: сетевые атаки, атаки на web-приложения, социальная инженерия, утечки данных, шифровальщики, APT и т. д. -
РазвитиеМы постоянно развиваемся и совершенствуем наши сервисы и услуги, внедряя пожелания от наших клиентов
Оставьте заявку
Мы свяжемся с вами для уточнения деталей запроса и предоставим подробную информацию по интересующей вас теме.
Отправляя заявку, вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Все еще не уверены?
Узнайте, что говорят о нас наши клиенты.
Посмотрите, с кем мы уже работаем, и каковы наши конкурентные преимущества.
Посмотрите, с кем мы уже работаем, и каковы наши конкурентные преимущества.