Управление ИБ-рисками подрядчиков
Контроль подрядчиков на предмет скрытых угроз, которые могут идти «бонусом» к их услугам
Технически и экономически эффективный мониторинг состояния ИБ подрядчиков позволяет управлять рисками там, где не распространяются корпоративные политики и не действует система защиты, но рождаются угрозы ИБ.
Оценка состояния периметра в динамике позволяет оценить и контролировать зрелость ИБ подрядчиков.
Оценка состояния периметра в динамике позволяет оценить и контролировать зрелость ИБ подрядчиков.
Проблема
Подрядчик — это «черный ящик» с точки зрения ИБ. Открывая доступ к ресурсам компании, устанавливая его продукты и даже просто получая электронные письма, Вы открываете дверь для угроз ИБ.
Традиционные способы контроля ИБ (аудиты, пентесты) оказываются слишком затратны в случае большого количества подрядчиков.
Традиционные способы контроля ИБ (аудиты, пентесты) оказываются слишком затратны в случае большого количества подрядчиков.
Решение
Мы разработали масштабируемый подход, позволяющий на основе анализа состояния периметра, наличия/скорости устранения уязвимостей и подверженности социальной инженерии, делать выводы об уровне зрелости ИБ.
Важно, что это не срез на один момент времени, а постоянный адаптивный мониторинг, отслеживающий ситуацию в динамике.
Важно, что это не срез на один момент времени, а постоянный адаптивный мониторинг, отслеживающий ситуацию в динамике.
Технологии
Значительный опыт в тестировании на проникновение, управлении внешней поверхностью атаки (EASM), управлении уязвимостями и инцидентами (SOC), расследовании инцидентов, а также в проведении аудитов на соответствие требованиям, оценке рисков и консалтинге, позволил нам адаптировать имеющиеся инструменты и процессы для создания эффективного сервиса управления рисками подрядчиков.
Сервис управления рисками подрядчиков
Оценка внешнего периметра
Выявление неоптимального размера, использования небезопасных технологий, устаревших и уязвимых версий ПО. Измерение скорости устранения проблем безопасности.
Анализ защищенности
Выявление уязвимостей активным сканированием, эксплуатация и продвижение (для наиболее критичных подрядчиков). Оценка состояния с учетом времени существования уязвимости.
Социальная инженерия
Регулярная разработка новых сценариев, отправка фишинговых писем, отслеживание взаимодействия.
Выбор оптимальной стратегии
- Эффект масштабаТрадиционные подходы для исследования защищенности рассчитаны на анализ одной инфраструктуры, что отражается в выборе целей, инструментов, методик и стоимости. Разработанные нами подходы адаптированны для регулярной оценки большого количества подрядчиков и позволяют соблюсти баланс между необходимой глубиной анализа и сопутствующими затратами.
- Гибкая настройкаВыбор состава и частоты мероприятий в зависимости от количества подрядчиков. Определение нескольких стандартов для различной критичности подрядчиков.
- Изменение частоты оценки в зависимости от прошлых результатовРазвитие зрелости ИБ подрядчиков позволяет снизить частоту контроля и сосредоточить ресурсы там, где требуется больше внимания.
Несколько фактов
Полученных в процессе наших исследований
-
Более 50 млн. хостов с критичными уязвимостями
-
Более 32 тыс. баз данных Elasticsearch и MongoDB, открытых для всех - Более 1,5 млн. web-серверов с открытым доступом к файлам (в т.ч. более 10 тысяч содержат копии баз данных)
- Более 88 тыс. хостов используют SMBv1 и уязвимы к множеству атак
Наши преимущества
-
Продвинутые технологииБолее 10 лет мы совершенствуем наши технологии: продвинутые технологии управления уязвимостями и инцидентами, нахождение уязвимостей нулевого дня, сканирование всего Интернета, исследование происходящих в мире атак и угроз и многое другое -
Нацеленность на бизнесМы понимаем риски, их влияние на бизнес, существующие особенности и ограничения. Вместо подхода «чем больше, тем лучше» мы руководствуемся принципами необходимости и достаточности -
ГибкостьВсе наши сервисы и услуги модульные и гибко настраиваются. Вам не придется переплачивать за ненужные функции -
Готовые эффективные процессыНаши сервисы дают не только технический результат, но и готовые, в то же время гибкие, процессы управления -
Широкое покрытиеМы работаем со всеми актуальными практическими проблемами ИБ: сетевые атаки, атаки на web-приложения, социальная инженерия, утечки данных, шифровальщики, APT и т. д. -
РазвитиеМы постоянно развиваемся и совершенствуем наши сервисы и услуги, внедряя пожелания от наших клиентов
Оставьте заявку
Мы свяжемся с вами для уточнения деталей запроса и предоставим подробную информацию по интересующей вас теме.
Отправляя заявку, вы даете свое согласие на обработку персональных данных на условиях, указанных в Политике конфиденциальности.
Все еще не уверены?
Узнайте, что говорят о нас наши клиенты.
Посмотрите, с кем мы уже работаем, и каковы наши конкурентные преимущества.
Посмотрите, с кем мы уже работаем, и каковы наши конкурентные преимущества.