Как пентестеры помогают бизнесу найти уязвимости в IT-системах
Сколько компании теряют от кибератак
В 2022 году российские организации столкнулись с беспрецедентной активностью киберпреступников.
По итогам года, как сообщают эксперты, общее количество успешных для преступников киберинцидентов, которые привели к негативным последствиям для компаний, выросло сразу на 20,8%.
Жертвами успешных атак чаще всего были госучреждения (17%), медицинские организации и промышленность (по 9%), научные и образовательные институты (7%), IT-компании (6%), предприятия сферы услуг (5%) и финансовые организации (4%).
В топ-3 методов атак против бизнеса вошли использование вредоносного ПО, социальная инженерия и эксплуатация различных уязвимостей. Главные последствия атак для компаний — утечка конфиденциальной информации, нарушение основной деятельности и прямые финансовые потери.
В целом, по некоторым оценкам, потери от киберпреступности в России в 2022-м превысили 300 млрд руб. Поначалу эксперты ожидали, что ущерб составит 165 млрд руб., но позднее они удвоили прогноз из-за существенного роста кибератак.
Что такое пентест
Чтобы выявить уязвимости в IT-системе, компании проводят пентесты.
Пентест (от английского penetration testing) — это тестирование на проникновение ради поиска критических уязвимостей. В ходе пентеста моделируются действия злоумышленников.
Задачи пентеста:
• поиск уязвимостей в IT-системе;
• определение глубины проникновения злоумышленников;
• внедрение решений для защиты IT-системы после обнаружения слабых мест;
• снижение киберрисков и предотвращение потенциального ущерба;
• выполнение требований регуляторов (например, ЦБ обязывает банки проводить пентесты ежегодно).
Кто такие пентестеры
«Пентестеры — это хорошие парни. Они работают на компании, которые хотят защитить себя от плохих парней. Пентестеры пользуются набором инструментов тестирования на проникновение, чтобы скомпрометировать защиту сетей, серверов, сайтов и других IT-систем, ищут и фиксируют любые слабые места и уязвимости. Типичный день пентестера: много исследований, планирования и самих тестов. Работа требует развитого критического мышления», — так описывает пентестеров платформа для поиска талантов в сфере кибербезопасности Cyber Security Jobs.
Научить и предотвратить
Чтобы обезопасить бизнес, нужно не только подготовить IT-инфраструктуру к возможным инцидентам, но и уделять должное внимание цифровой грамотности рядовых сотрудников. В этом помогут профессиональные курсы. Их главная цель — повысить знания в области информационной безопасности.
Как показывает опыт, для успешной работы требуется постоянное самообучение: отрасль бурно развивается, характер новых атак изменяется.
Эксперты Академии Softline предлагают различные варианты по обучению в сфере кибербезопасности — от готовых электронных курсов с видео-инструкциями до программ повышения квалификации, в частности:
На программе «Пентестер: этичный хакинг и анализ систем безопасности», слушатели смогут не только сформировать знания и навыки, но и пройдут обязательную итоговую работу на киберполигоне с моделированием реальных угроз. Данная практика позволяет закрепить знания по отражению кибератак.
Приглашаем на программу повышения квалификации от экспертов по информационной безопасности.
Источник исследований - РБК Тренды.