16 марта, 2016, BIS Journal №1(20)/2016

Знать, уметь, мочь


Клевогин Сергей

ведущий преподаватель курсов информационной безопасности (Учебный центр «Специалист» при МГТУ им. Н. Э. Баумана)

Что необходимо специалисту по информационной безопасности, чтобы достойно противостоять современным угрозам

По оценкам представителей Сбербанка, в минувшем 2015 году из-за мошеннических действий в интернете Россия потеряла около $1 млрд. Главными причинами хищений стали недружественные действия иностранных государств, организованная преступность, мошенничество хакеров и утечки инсайдерской информации. Жертвами оказывались как государственные и частные компании, так и граждане. При этом специалисты по информационной безопасности (ИБ) отмечают не только увеличение числа инцидентов, но и рост масштабов ущерба, нанесенного действиями злоумышленников.


Для противостояния угрозам ИБ организации используют различные защитные меры, опираясь на источники, специализирующиеся на защите данных, и усиливают отделы информационных технологий. Руку на пульсе информационной безопасности также держит международный совет консультантов по электронной коммерции (The International Council of Electronic Commerce Consultants, EC-Council) —компания, созданная для поддержки организаций и индивидуальных предпринимателей в области e-commerce. EC-Council предлагает сертификацию специалистов по ИБ и регулярно обновляющиеся образовательные программы.

Еще одно подспорье специалистам по ИБ—открытый проект обеспечения безопасности веб-приложений OWASP (Open Web Application Security Project). Сообщество OWASP объединяет корпорации, образовательные организации и частных лиц по всему миру и работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе. Участники сообщества OWASP делают приложения безопаснее, учитывая человеческий фактор и технологический уровень. Среди самых востребованных документов организации — Проект Топ-10 OWASP, он применяется к различным приложениям, мобильным и облачным технологиям, регулярно обновляется, на него опираются множество стандартов, инструментов и организаций, работающих в области ИБ.
 
Топ-10 угроз различным типам приложений
 
Веб-приложения   Мобильные приложения Облачные технологии
A1 Внедрение кода  M1 Слабый контроль на стороне сервера R1 Подотчетность и собственность данных
A2 Некорректная аутентификация и управление сессией    М2 Небезопасное хранение данных   R2 Идентификация пользователей
A3 Межсайтовый скриптинг (XSS)  M3 Недостаточная защита транспортного уровня  R3 Соответствие нормативным требованиям
A4 Небезопасные прямые ссылки на объекты  M4 Компрометация данных  R4 Непрерывность бизнеса и отказоустойчивость
A5 Небезопасная конфигурация M5 Слабая авторизация и аутентификация R5 Конфиденциальность данных и вторичное использование
A6 Утечка чувствительных данных M6 Использование небезопасных криптографических методов R6 Сервис и интеграция данных
A7 Отсутствие контроля доступа к функциональному уровню М7 Инъекции на стороне клиента R7 Режим коллективной и физической безопасности
A8 Подделка межсайтовых запросов (CSRF) M8 Доверие ненадежным входным параметрам R8 Анализ инцидентов и судебная практика
A9 Использование компонентов с известными уязвимостями M9 Неправильное управление сеансом R9 Безопасность инфраструктуры
A10 Невалидированные редиректы M10 Недостаточная защита двоичных данных  R10 Использование непроизводственных сред работы ПО

       
Чтобы эти угрозы были реализованы, необходимо наличие уязвимости и атакующего, способного провести атаку на неё. Задача специалиста по информационной безопасности—знать актуальные техники, методы и инструменты, которые помогут отразить любые атаки.

Обновлённая версия трека авторизованных курсов по этичному хакингу от EC-Council доступна слушателям «Специалиста» при МГТУ имени Н. Э. Баумана. Учебный центр предлагает программы подготовки сертифицированных специалистов на статусы Certified Ethical Hacker (CEH), EC-Council Certified Security Analyst (ECSA), Computer Hacking Forensic Investigator (CHFI), Chief Information Security Officer (CISO).

 

Авторизованные курсы, которые в «Специалисте» преподаются на русском языке, не имеют аналогов в России. Сертификат EC-Council подтвердит высокий уровень квалификации руководителей и специалистов в области ИБ, системных администраторов. Такие профессионалы востребованы не только в российских, но и в зарубежных компаниях в условиях глобального дефицита экспертов по информационной безопасности.
 

+ 7 (495) 232-32-16
www.specialist.ru 
info@specialist.ru


 

 

Смотрите также

Подпишись на новости!
Подписаться