ethtical hacker

Этичный хакинг обеспечивает более надежную безопасность для облачных приложений

Для оптимизации безопасности наших продуктов и услуг мы ежегодно проводим их тестирование, привлекая независимых специалистов в области этичного хакинга. Наш партнер для таких проектов — компания Onvio, специалист по тестам на проникновение. Задача таких тестов — выявить слабые места. Обнаруженные проблемы затем устраняются, и это позволяет постоянно повышать уровень безопасности. Мы поговорили с Яспером Вейтсом, специалистом в области безопасности компании Onvio, о его работе.

Что такое «этичный хакинг»?

«Обычно люди связывают с понятием «хакинг» что-то не совсем нелегальное, вроде взлома вашего компьютера или системы. Во время этичного хакинга специалист ищет уязвимые места в приложении или в ИТ-системе, не обнародуя найденное. Мы называем это «тестами на проникновение». Затем специалист информирует клиента и дает рекомендации по оптимизации защиты. Это можно сравнить с просьбой к грабителю проверить ваш дом на предмет защиты от нежелательного проникновения, выявить слабые места, чтобы затем улучшить защиту. Вкратце, мы помогаем нашим клиентам повысить уровень защиты используемых ими систем и приложений».

Вы работаете «этичным хакером» в Onvio. Как выглядит ваша работа?

«Если мы, к примеру, тестируем безопасность мобильного приложения, то начинаем с составления схемы функциональных возможностей. Это может сопровождаться демонстрационной сессией, проводимой совместно с компанией-заказчиком. Затем мы изучаем трафик между браузером пользователя — в примере с приложением Priva пользователем является с/х производитель — и сервером компании (Priva). Мы перехватываем трафик и смотрим, можем ли мы повлиять на него. Это самая интенсивная часть теста на проникновение».

Что происходит по окончании теста на проникновение?

«Все выявленные в ходе теста данные заносятся в отчет. Отчет о тесте на проникновение включает технический раздел, анализ рисков и краткий обзор проекта для руководства. Отчет подсказывает техническому персоналу, что именно нужно изменить, и дает руководству четкое представление о ситуации. После этого клиент обсуждает отчет со своей командой ИТ-специалистов. В следующий раз мы встречаемся в момент сдачи проекта, чтобы обсудить техническую часть отчета. Если это необходимо, мы даем пояснения о технических моментах и предлагаем наши официальные рекомендации. Но окончательное решение по их применению принимает клиент. Через какое-то время мы можем провести новый тест, дать новые рекомендации на основе первоначального отчета и того, какие улучшения осуществил клиент».

Несколько облачных приложений компании Priva недавно подверглись испытаниям на проникновение. Для этих приложений был составлен TPM (меморандум независимой организации). Такие отчеты подтверждают надлежащее качество и уровень защиты ИТ-приложений. Подобные испытания регулярно повторяются. Компания Priva ожидает, что и другие предлагаемые ею продукты и облачные сервисы в скором времени получат меморандумы TPM.

Цифровой мир развивается невероятно быстрыми темпами. Как вам удается не отставать, если говорить о хакинге?

«Сейчас есть курсы и даже ряд магистерских программ, которые посвящены безопасности и хакингу. Кроме того, существует большое количество сертификационных программ, которые позволяют пройти практическую подготовку в некоем подобии лаборатории. Как для нас, так и для наших клиентов важно продолжать выявлять новые уязвимые места. Поэтому мы каждый год посещаем такую лабораторию, чтобы проверить себя, научиться новому и в конечном итоге получить сертификат.

 Ежедневно в программном обеспечении и приложениях обнаруживаются новые уязвимые места, этот процесс никогда не прекращается. Чтобы не отставать, необходимо следить за основными новинками и инновациями. Например, новыми технологиями, вроде нового механизма авторизации для входа в систему. Новинки приносят с собой и новые уязвимые места».

Какие советы вы можете дать нашим клиентам, производителям сельскохозяйственной продукции?

«Большинство клиентов компании Priva — это предприятия, многие процессы на которых автоматизированы. А это подразумевает большой объем данных. Для сельхозпроизводителя подключение систем к облачным решениям, например, к мобильному приложению, может быть очень волнительным. Ведь только представьте, что кто-то украдет данные об урожае? Риск этого вполне реален, но я думаю, что данные о выращиваемой культуре будут лучше защищены, если вы пользуетесь облачными и цифровыми сервисами. Производители с/х продукции хорошо умеют выращивать свой урожай, но часто они совсем беспомощны в сфере ИТ-безопасности. К примеру, вы — сельхозпроизводитель, но имеете ли вы представление об анализе рисков, знаете ли вы, какие данные генерируются в ИТ-системе, где они хранятся и кто имеет доступ к этим данным? Могу дать один совет — вкладывайте средства в защиту вашей ИТ-системы.

Некоторые сельхозпроизводители не хотят хранить свои данные в облачном сервисе, потому что тогда они не знают, где эти данные находятся. Компания Priva избавляет вас от такой заботы. Между компаниями Microsoft и Priva действуют надежные договоренности в отношении хранения данных и метода их защиты. В большинстве случаев облачное хранение надежнее хранения в местной сети. Например, насколько надежен местный сервер с точки зрения защиты и создания резервных копий? В облачном сервисе эти процессы выполняются автоматически, поскольку в этом случае включаются стандартные системы безопасности. Это очень продвинутый уровень и он часто выходит за рамки тех мер безопасности, которые вы можете принять самостоятельно».

О Яспере Вейтсе

Яспер Вейтс (Jasper Weijts) — специалист по безопасности и этичному хакингу в компании Onvio. Он работает в области информационной безопасности уже 15 лет и ежедневно занимается исследованием безопасности ИТ-систем и приложений для клиентов Onvio. В частности, он проводит pen tests («тесты на проникновение») для проверки уровня защиты онлайн- и мобильных приложений, корпоративных сетей и оборудования.

Хотите узнать больше об облаке?

Читайте больше о преимуществах цифровых услуг и работы в облаке

Подробнее