понедельник, 23 декабря 2013 г.

Кибернаводчики

Интересные ситуации иногда возникают в нашей индустрии. Подразделение одной крупной государственной организации занимается безопасностью в банковской сфере. И выпускает это организация отчет, что более 10% банков выявляют инциденты в своих системах, в 46% процентах это фрод, в 27% - кража информации, необходимой для проведения переводов.
Список банков, понятен, вот он лежит.

Далее, цитирую "Как говорится, велкам! 

На жаргоне это наводка. Попробовали бы авторы на себя примерить. Автодилер, скажем, выложит номера прошедших ТО рядом с исследованием, что у 75% тросик открытия капота банально под правым локером спрятан. Или школа пусть напишет, что 40% учеников даже младших классов родители не забирают."


Есть еще более вопиющие случаи. Напримре тут, легко можно найти организации, у которых проблемы с выполнением 152 ФЗ, а стало быть и с защитой персональных данных! Хочешь немного персональных данных нарушить? Прям берешь список и идешь нарушать!

А если я например кибершпион китайский? Беру Verizon DBIR и прямо у меня пошаговая инструкция, как ломать, да еще и с разбивкой по отраслям.

Более того, некотоые совсем распоясались. Прямо так и пишут "You're vulnerable". Это же всю идустрию put at risk!

Посмеялись? Я тоже.

Отвечу на некоторые комментарии (см. выше ссылку на facebook) по нашему исследованию.

Ilya Borisov По мне отчет не очень похож на правду. Ну не верю я что так плохо все с периметром.

Илья, чистая правда. Действительно все так. Собственно для этого и отчет.


Ilya Medvedovsky Прочел отчет. По периметру это справедливо только по очень специфичной выборке заказчиков (если веб и социалку выкидываем). Причем из отчета четко ясно по каким: госы и телекомы. Вторые огромны на периметре и могут дать такую статистику, которая по числу узлов забьет кого хочешь. А первые дырявы и раздолбайны. По остальным категориям - периметры вырождены и минимизированы - ломать в лоб почти нечего (я не про веб, повторюсь). Так, если по опыту. Хотя бывают исключения.

Илья, отчет включает веб и социалку, ибо они входят в нашу стандартную методику (также как и wifi, мобильные устройства и т.д.). Считаем что без них комплексный пентест не комплескный.
Что касается "минимизированных периметров", то не соглашусь. Например технологические компании: Yandex, Nokia имеют (имели) даже собственные bug bounty программы, чтобы периметр вычищать. Банки (если пентест не 5 узлов под PCI DSS) а серьезный пентест, вполне себе имеют разлапистый периметр. Ну и так далее.

PS. Ну и телекомов в России далеко не 3. Пруф.И это только в России, мы же работаем по всему миру. Сейчас подкопится статистика, надеюсь опубликуем сравнение, "как у них и как у нас".