Алексей Родник, SHALB: "Свыше 95% сайтов имеют уязвимости!"

Какие услуги предоставляет ваша компания?

Услуги достаточно разные. От аудита простого сайта до сертификации сетей дата-центров, банков и государственных учреждений.

Это интересно, а что же такое аудит сайта?

Мы тестируем сайт на все известные уязвимости и сценарии проникновения, которые являются известными на данный момент. Это свыше 25 тысяч тестов, которые заключают в себе как автоматизированы так и мануальные части. Эмулируется попытка взлома, образно говоря, мы смотрим глазами хакеров на Ваш сайт. Как результат, заказчик получает детальное описание найденных уязвимостей на сайте, возможные последствия их злоумышленного использования, а также детальные рекомендации по их устранению.

И как результаты? Много сайтов из проверенных вами имели уязвимости?

Свыше 95% сайтов имеют уязвимости. И свыше 80% имеют уязвимости, при помощи которых возможно получить полный доступ к файловой системе и базе данных.

Свыше 95%?!! То есть практически все! И с чем это связано?

Как правило, веб-студии в которых заказывается сайт, во время разработки сайта не придерживаются норм безопасности, и не делают финальный аудит безопасности своих продуктов. Это касается как больших и известных разработчиков, так и дешевого студенческого труда. Поэтому цена сайта свыше 5 тысяч долларов не может дать гарантий, что он не станет причиной утечки конфиденциальной информации в компании.

С сайтами понятно. А что касается компаний, которые беспокоятся о безопасности внутренней корпоративной информации?

Для таких компаний у нас существует пакет услуг, который включает аудит внешних серверов, маршрутизаторов, офисных роутеров, почтовых серверов и фаерволов. То есть проверяем возможность проникновения в офисную сеть извне.

Для больших компании, которые имеют географически разнесенные отделения и значительное количество оборудования (банки, страховые компании, дата-центры), проводится комплексный аудит безопасности сети в целом, учитывая ее топологию и инфраструктуру.

Обеспечивают ли надлежащую безопасность антивирусы и фаерволы?

Нет. Антивирусы ищут вредные программы, фаерволы могут закрывать доступ к тем или другим сервисам, сетям. Но они не способны найти и обезвредить уязвимости в программном обеспечении. Найдя такую уязвимость, злоумышленник может выключить и фаерволы, и антивирусы, хотя в большинстве случаев они ему не мешают получить конфиденциальную информацию.

А мы слышали о сертификации по безопасности. Каким компаниям важно проходить сертификацию и как это происходит?

Мы проводим сертификацию безопасности сайтов, что позволяет,заверить посетителей в том, что данный сайт отвечает всем требованиям информационной безопасности и посещения сайта не может навредить его программному обеспечению или вызвать попадание частной и конфиденциальной информации к посторонним лицам. Сертификация является уместной в случаях, когда пользователи оставляют на сайте частную или конфиденциальную информацию. Однако повышенное доверие пользователей и уверенность в надлежащем состоянии безопасности сайта и сервера еще не помешали ни одному интернет-ресурсу.

Процесс сертификации происходит в несколько итераций, во время которых должны быть устранены все найденные проблемы информационной безопасности.

Также подробнее на тему информационной безопасности - в статье «Борьба со взломом и шпионажем».