Представьте, что вы забыли свой пароль. Вы перепробовали несколько разных вариантов паролей, которые часто используете (о гигиене паролей мы поговорим позже), но ни один из них не работает — система или веб-сайт, который вы используете, каждый раз выдает сообщение «Неверный пароль для этой учетной записи». Легко представить, правда?
Итак, вы нажимаете на надежную ссылку «Забыли пароль», и попадаете на новую страницу для ввода адреса электронной почты. При входе в систему видите сообщение: «Электронное письмо для сброса пароля уже отправлено». Все вроде бы просто, теперь вы можете изменить пароль.
Но подождите, в битве между «пользовательским опытом» и «безопасностью», эта система или веб-сайт теперь сообщают всем, кто вводит ваш адрес электронной почты, что у вас есть учетная запись. В этот момент они могут попытаться подобрать пароль методом перебора или, возможно, они уже нашли ваши данные для входа с другого веб-сайта в даркнете и просто попробуют эту комбинацию.
Конечно, это часто довольно безобидно (особенно если у вас хорошая гигиена паролей), но что, если ассоциация с этим сайтом или платформой не была такой уж безобидной. Независимо от того, является ли этот "то-то" злоумышленником или нет, простое знание о существовании учетной записи — это больше информации, чем они должны иметь, потому что контекст является такой же проблемой, как и фактическая утечка информации.
Устранение утечки
Первым шагом в устранении этого типа случайной утечки данных (т.е. технической) для защиты ваших клиентов (и, следовательно, ваших собственных операций, репутации и прибыли) является выявление уязвимостей.
В этом вам поможет тестирование безопасности, в частности тестирование на проникновение. В то время как оценка уязвимостей может выявить проблему, автоматическое сканирование не может предоставить контекст. Человек может определить сбой в системе безопасности и обладает способностью применять контекст, чтобы понять, подразумевает ли это проблему. Это тот вид осознания, который компьютер обеспечить не в состоянии, и именно поэтому люди являются главной частью эффективного теста на проникновение.
Примером этого является тестирование пентестером на наличие недостатков бизнес-логики в рамках тестирования веб-приложения. Таким образом, бизнес-логика требует как понимания технологии, так и ее более широкого контекста. То если есть тот, кто знает, что у вас есть счет в Альфа Банке - это имеет довольно низкий риск; но в то время если тот, кто знает, что у вас есть счет на более «дискретном» веб-сайте, это уже может быть проблематичным. Это немного похоже на знание того, что технически помидор является фруктом, но на самом деле он не годится для добавления во фруктовый салат.
В сочетании с тестированием на наличие недостатков бизнес-логики, консультанты по безопасности, скорее всего, будут следовать OWASP (Open Web Application Security Project) Top 10 — стандартному отраслевому списку, который представляет то, что в целом считается наиболее критичной безопасностью для веб-приложений.
Мы — кибер-сантехники, о необходимости которых вы даже не подозревали
Как и в случае с трубой с медленным протеканием, которая, конечно, влияет на ваш счет за воду, иногда утечка данных может оставаться незамеченной в течение длительного времени или до тех пор, пока не станет слишком поздно. Наши специалисты по безопасности могут провести тест на проникновение на ваших внутренних и внешних веб-сайтах и других системах, чтобы убедиться, что никакие данные не попадут в руки людей, которые не должны ими обладать.
Свяжитесь с нами, чтобы узнать, как мы можем помочь вам устранить эти утечки.
ООО "Клинтолк", Россия, г. Челябинск, ул. Труда, д. 174, оф №3