Positive Technologies защитит взаимодействие бизнес-приложений по протоколам на базе XML
Главная » Новости

PT защитит взаимодействие бизнес-приложений по протоколам на базе XML

Александр Панасенко 04 Августа 2015 - 19:06
...

Компания Positive Tеchnologies предлагает рынку уникальное отечественное решение для защиты информационного взаимодействия бизнес-приложений, которое расширяет возможности PT Application Firewall при работе с разрозненными системами заказчиков.

Передовые компоненты модуля защиты XML-трафика позволяют повысить безопасность внутренних и внешних бизнес-процессов, значительная часть которых осуществляется с помощью XML.

Протоколы, использующие XML (SOAP, HTTP и другие), применяются сегодня для взаимодействия приложений в самых различных отраслях — в энергетике, госуправлении, телекоммуникациях, образовании, в банках, здравоохранении и на транспорте. Благодаря универсальности и гибкости XML, сервис-ориентированные платформы помогают связывать воедино разнородные приложения и службы, решая внутри- и межкорпоративные проблемы интеграции.

Распространенность XML в критически важных узлах инфраструктуры (ERP, АСУ ТП, АБС, порталах государственных услуг, системах межведомственного взаимодействия) делает уязвимости этого языка особенно опасными. К примеру, в 2014 году, по статистике Positive Technologies, критически опасная уязвимость «Внедрение внешних сущностей XML» была обнаружена почти в половине систем ДБО (в 46%). Воспользовавшись такой ошибкой, злоумышленник может получить содержимое файлов на атакуемом сервере посредством внедрения произвольного XML-кода.

Противодействовать подобным атакам на веб-сервисы будет новый модуль защиты XML в системе PT Application Firewall. Он позволяет обнаружить несанкционированные и вредоносные включения в содержимом XML-сообщений, проводить валидацию и профилирование SOA-вызовов и XML-сообщений. При анализе XML используются механизмы автоматического самообучения, что значительно уменьшает вероятность эксплуатации уязвимостей.

Вторая важная особенность нового решения заключается в возможности управления доступом пользователей и анализа их поведения. Администратор системы может разграничить права доступа внутренних или внешних пользователей в соответствии с политикой организации, блокировать нелегитимные или ошибочные запросы с их стороны.

Олег Матыков, руководитель отдела проектных решений Positive Technologies: «Интеграция приложений как с внутренними, так и с внешними системами — важнейшая задача для любого предприятия. Сервисные шины и SOA-платформы сегодня являются своеобразным мостом между разрозненными "островами": страховые сервисы взаимодействуют с банковскими, промышленные системы управления — с системами управления предприятиями, центральные подразделения организации автоматизируют работу с филиалами и т. д. В информационном обмене между различными службами XML-транспорт занял одну из доминирующих ролей, что заставляет обратить пристальное внимание на специфические проблемы безопасности. Решение, которое мы предлагаем, позволит защищать информационное взаимодействие распределенных сервисов любого уровня сложности как внутри организации, так и за ее пределами».

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ФСТЭК России огласила новые требования по защите ИС госструктур
Татьяна Никитина 19 Июня 2025 - 09:02
Соответствие законодательству РФ Общее Защита критически важных объектовСоответствие требованиям регуляторов
ФСТЭК России огласила новые требования по защите ИС госструктур

Опубликованы обновленные ФСТЭК России нормативы по защите информации для госорганов и контролируемых государством учреждений, которые начнут действовать с 1 марта 2026 года.

Приказ регулятора № 117 от 11.04.2025 об утверждении требований по защите информации издан взамен аналогичного и пока актуального распоряжения № 17 от 11.02.2013.

В документе особо отмечено, что аттестаты соответствия на ГИС и иные ИС, выданные до вступления в силу новых норм, будут считаться действительными.

В нем также определена основная цель защиты информации в госструктурах — предотвращение событий, приводящих к негативным последствиям (угроза жизни / здоровью, утечка персональных данных, нарушение функционирования АСУ, материальный ущерб, потеря конкурентного преимущества и т. п.).

Для этого оператору следует прежде всего определить такие события, соответствующие угрозы, а также системы и средства, воздействие на которые может привести к негативным последствиям.

Согласно новым требованиям, подразделения ИБ должны как минимум на 30% состоять из сотрудников с профильным образованием либо прошедших соответствующую переподготовку.

Много внимания в приказе уделено работе с подрядчиками. В частности, для них рекомендуется разработать политику ИБ и вменить им в обязанность следовать таким указаниям.

Стоит также отметить следующие требования:

  • проведение мониторинга ИБ в соответствии с ГОСТ Р 59547-2021, с передачей ФСТЭК годовых отчетов о результатах;
  • проведение проверок защищенности (дважды в год или чаще) и уровня зрелости (ежегодно) по методикам ФСТЭК;
  • передача регулятору данных о новых уязвимостях (в течение пяти рабочих дней);
  • сокращение сроков устранения уязвимостей (критические — 24 часа, высокой степени опасности — 7 календарных дней);
  • обязательный контроль установки обновлений;
  • привилегированный доступ — только со строгой аутентификацией или усиленной MFA, а также с регистрацией таких попыток;
  • обязательное использование EDR.

Пользоваться личными мобильными устройствами разрешено, но с соблюдением требований по защите и под контролем. Предусмотрена возможность удаленного доступа с личных устройств (в пределах России) при наличии адекватной защиты: специализированных средств обеспечения безопасности, антивируса, аутентификации с использованием криптографии и т. п.

Примечательны также требования в отношении ИИ: в случае использования таких технологий оператор должен обеспечить защиту от утечек, злоупотреблений через атаку на ИИ-модель и соблюдать регламент взаимодействия с ИИ-сервисами — по разработанным шаблонам либо без них, но с ограничением тематики.

Поскольку ИИ может совершать ошибки, оператору надлежит принять меры по их выявлению и ограничить участие такого помощника в принятии решений.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Мошенники крадут данные через поддельные рабочие чаты без живых людей
Новость
Мошенники крадут данные через поддельные рабочие чаты без жи...
Устройства не могут прослушивать разговоры для таргетинга рекламы
Новость
Устройства не могут прослушивать разговоры для таргетинга ре...
Перед майскими праздниками ждут волны фишинга на тему аренды жилья
Новость
Перед майскими праздниками ждут волны фишинга на тему аренды...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.