По оценкам представителей Сбербанка, в минувшем 2015 году из-за мошеннических действий в интернете Россия потеряла около $1 млрд. Главными причинами хищений стали недружественные действия иностранных государств, организованная преступность, мошенничество хакеров и утечки инсайдерской информации. Жертвами оказывались как государственные и частные компании, так и граждане. При этом специалисты по информационной безопасности (ИБ) отмечают не только увеличение числа инцидентов, но и рост масштабов ущерба, нанесенного действиями злоумышленников.
Для противостояния угрозам ИБ организации используют различные защитные меры, опираясь на источники, специализирующиеся на защите данных, и усиливают отделы информационных технологий. Руку на пульсе информационной безопасности также держит международный совет консультантов по электронной коммерции (The International Council of Electronic Commerce Consultants, EC-Council) —компания, созданная для поддержки организаций и индивидуальных предпринимателей в области e-commerce. EC-Council предлагает сертификацию специалистов по ИБ и регулярно обновляющиеся образовательные программы.
Еще одно подспорье специалистам по ИБ—открытый проект обеспечения безопасности веб-приложений OWASP (Open Web Application Security Project). Сообщество OWASP объединяет корпорации, образовательные организации и частных лиц по всему миру и работает над созданием статей, учебных пособий, документации, инструментов и технологий, находящихся в свободном доступе. Участники сообщества OWASP делают приложения безопаснее, учитывая человеческий фактор и технологический уровень. Среди самых востребованных документов организации — Проект Топ-10 OWASP, он применяется к различным приложениям, мобильным и облачным технологиям, регулярно обновляется, на него опираются множество стандартов, инструментов и организаций, работающих в области ИБ.
Топ-10 угроз различным типам приложений
Веб-приложения |
Мобильные приложения |
Облачные технологии |
A1 Внедрение кода |
M1 Слабый контроль на стороне сервера |
R1 Подотчетность и собственность данных |
A2 Некорректная аутентификация и управление сессией |
М2 Небезопасное хранение данных |
R2 Идентификация пользователей |
A3 Межсайтовый скриптинг (XSS) |
M3 Недостаточная защита транспортного уровня |
R3 Соответствие нормативным требованиям |
A4 Небезопасные прямые ссылки на объекты |
M4 Компрометация данных |
R4 Непрерывность бизнеса и отказоустойчивость |
A5 Небезопасная конфигурация |
M5 Слабая авторизация и аутентификация |
R5 Конфиденциальность данных и вторичное использование |
A6 Утечка чувствительных данных |
M6 Использование небезопасных криптографических методов |
R6 Сервис и интеграция данных |
A7 Отсутствие контроля доступа к функциональному уровню |
М7 Инъекции на стороне клиента |
R7 Режим коллективной и физической безопасности |
A8 Подделка межсайтовых запросов (CSRF) |
M8 Доверие ненадежным входным параметрам |
R8 Анализ инцидентов и судебная практика |
A9 Использование компонентов с известными уязвимостями |
M9 Неправильное управление сеансом |
R9 Безопасность инфраструктуры |
A10 Невалидированные редиректы |
M10 Недостаточная защита двоичных данных |
R10 Использование непроизводственных сред работы ПО |
Чтобы эти угрозы были реализованы, необходимо наличие уязвимости и атакующего, способного провести атаку на неё. Задача специалиста по информационной безопасности—знать актуальные техники, методы и инструменты, которые помогут отразить любые атаки.
Обновлённая версия трека авторизованных курсов по этичному хакингу от EC-Council доступна слушателям «Специалиста» при МГТУ имени Н. Э. Баумана. Учебный центр предлагает программы подготовки сертифицированных специалистов на статусы Certified Ethical Hacker (CEH), EC-Council Certified Security Analyst (ECSA), Computer Hacking Forensic Investigator (CHFI), Chief Information Security Officer (CISO).
Авторизованные курсы, которые в «Специалисте» преподаются на русском языке, не имеют аналогов в России. Сертификат EC-Council подтвердит высокий уровень квалификации руководителей и специалистов в области ИБ, системных администраторов. Такие профессионалы востребованы не только в российских, но и в зарубежных компаниях в условиях глобального дефицита экспертов по информационной безопасности.
+ 7 (495) 232-32-16
www.specialist.ru
info@specialist.ru