Национальный центр кибербезопасности (NCSC) провёл исследование среди группы специалистов по тестированию на проникновение на тему «Что могут сделать организации, чтобы усложнить вашу работу?». Опрошенные пентестеры подчеркнули необходимость систем, изначально обеспечивающих безопасность, поскольку те затрудняют проведение атак и упрощают устранение обнаруженных брешей.

По мнению регулятора, безопасность по умолчанию (secure by design) включает использование моделирования угроз в процессе разработки, обязательную надёжную аутентификацию для привилегированных пользователей, изменение паролей по умолчанию в инструментах, проверку входных данных на максимально раннем этапе и обработку ошибок понятным и безопасным способом, ответственное хранение учётных данных и отказ от их жесткого кодирования в ПО, защиту конфиденциальной информации в состоянии покоя и при передаче (если существует риск несанкционированного доступа), а также сегментацию и ведение журналов.

«Белые» хакеры «не любят» сегментацию сети, которая может быть достигнута за счёт высокоуровневого проектирования, использования VLAN и межсетевых экранов или управления пользователями с отдельными учётными записями для разных областей сети. Системы OT должны быть отделены от ИТ-сетей, чтобы предотвратить горизонтальное перемещение и избежать потери доступности.

«Сегментация — это не просто разделение ИТ и ОТ; это контроль того, что пересекает эту границу. Междоменное мышление помогает определить зоны доверия и жёстко управлять потоками данных между ними», — пояснили в NCSC.

Наконец, качественное ведение журналов, мониторинг и расследование усложняют работу аудитора ИБ (и, следовательно, злонамеренного хакера). «Мы не можем не подчеркнуть, что даже самые лучшие возможности логирования и мониторинга бесполезны, если организация не собирает правильные данные и не реагирует на них соответствующим образом», — заключили представители ведомства.

 

Усам Оздемиров

6 июля, 2026

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

06.07.2026
Вступление в силу крипторегулирующего закона сдвинули на 1 сентября
06.07.2026
Минцифры получит 20 новых полномочий (?)
06.07.2026
OpenAI: ИИ удешевил разработку, тем самым повысив спрос на неё
06.07.2026
В NCSC объяснили, как усложнить работу атакующим
03.07.2026
Утечка данных из Telega «технически невозможна»
03.07.2026
В России появился антимошеннический оперштаб
03.07.2026
«Лаборатории разрабатывают технологию, но правила должны устанавливать граждане»
03.07.2026
Банки скоро предложат депозиты и кредиты в цифровых рублях?
03.07.2026
Microsoft ускоряет внедрение технологии Quantum-Safe
03.07.2026
Fable 5 и Mythos 5 возвращаются с новыми механизмами безопасности

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных