Новая версия сканера уязвимостей «Сканер-ВС» не только находит уязвимости в программном обеспечении и слабые пароли, но и справляется с поиском ошибок конфигурации. Требования к аппаратному обеспечению снизились, а список сред функционирования расширился. Мы испробовали обновлённый продукт в деле.
Системы для анализа защищенности информационных систем
Инструменты и системы для непрерывного анализа защищенности и сканирования автоматизированных систем
Мнение
Обзоры
Сервис CICADA8 ETM предназначен для управления уязвимостями на внешнем периметре, защиты бренда, поиска корпоративных данных в общем доступе и в даркнете, а также для анализа инфополя.
SafeERP — отечественный программный комплекс, разработанный компанией «Газинформсервис». Имеет модульную архитектуру и позволяет корпоративным заказчикам контролировать безопасность ERP-систем, размещённых на платформах 1С и SAP, а также проверять бизнес-приложения на наличие уязвимостей и выстроить цикл безопасной разработки методом статического и динамического анализа кода, автоматизированного пентеста.
Анализ рынка
Ошибки в коде — не просто баги, а потенциальные «дыры», открывающие путь для атак. Для их выявления российский и мировой рынки предлагают спектр решений и услуг, возможности которых обновляются с учётом усложнения методов взлома и появления новых лазеек. Рассмотрим этот спектр решений подробно.
Цены на пентесты (тестирование на проникновение) в России зависят от многого: уровня зрелости кибербезопасности компании-заказчика, масштаба последней, охвата работы, модели злоумышленника, а также от опыта, репутации и нормы прибыли отдельных исполнителей. Для ориентирования в этих переменных и реалистичной оценки предложений разберёмся, из чего складывается себестоимость таких проектов.
Для любой организации, использующей программное обеспечение с открытым исходным кодом, анализ состава ПО является обязательной частью выявления угроз безопасности. Поэтому компаниям важно использовать инструменты SCA (Software Composition Analysis) в процессе разработки, а также понимать их основные ограничения.
Технологии и практика
Дистрибутивы Linux, рассчитанные на специалистов в области безопасности или тех, кто сильно озабочен обеспечением своей конфиденциальности, выпускаются уже около 20 лет. Их не так много, но каждый из них имеет свои особенности и далеко не универсален, что осложняет выбор. Мы сделали гайд по этим сборкам.
Команда Positive Technologies разработала собственные стандарты ИБ — PT Essentials. Они позволяют закрыть основные недостатки в защите организаций. Эксперты компании рассказали, на чем основаны эти стандарты, как они обеспечивают практический результат и почему обычный комплаенс-контроль порой не работает.
Секрет эффективной работы с GenAI, казалось бы, прост: надо задавать правильные вопросы и понимать, что делать с ответами. Но для пентестеров важно глубокое понимание тем, под которые ИИ не обучали специально. Может ли чат-бот помочь им? Посмотрим на примере одного из российских лидеров — GigaChat.
Сравнения
Для решения задачи по эффективной защите цифровых активов можно выделить два подхода: использование автономных средств обнаружения или полуавтоматизированное исследование. Какой предпочтительнее? Предлагаем разобраться на примере отечественного облачного решения — F.A.C.C.T. Attack Surface Management.