Автор Неизвестен - Атаки на подрядчиков. Эксплуатация доверия
Название: | Атаки на подрядчиков. Эксплуатация доверия | |
Автор: | Автор Неизвестен | |
Жанр: | Учебники и самоучители по компьютеру | |
Изадано в серии: | неизвестно | |
Издательство: | неизвестно | |
Год издания: | - | |
ISBN: | неизвестно | |
Отзывы: | Комментировать | |
Рейтинг: | ||
Поделись книгой с друзьями! Помощь сайту: донат на оплату сервера |
Краткое содержание книги "Атаки на подрядчиков. Эксплуатация доверия"
Читаем онлайн "Атаки на подрядчиков. Эксплуатация доверия". [Страница - 3]
- 1
- 2
- 3
- 4
- 5
- . . .
- последняя (11) »
на несколько часов из-за кибератаки на стороннего
поставщика ИТ-услуг — компанию Supeo.
Атака на разработчика VoIP-решений 3CX. Десктопный
клиент 3CXDesktopApp был скомпрометирован и использовался для распространения вредоносного ПО среди клиентов компании. Потенциальное количество атакованных —
более 600 000 компаний по всему миру, включая American
Express, Coca-Cola, BMW, Toyota, IKEA и др.
ИнфоТеКС, утечка архива c 60 912 учетными записями
пользователей по вине подрядчика, ответственного
за разработку нового сайта.
5
Jet Security Trusted
Relationship Framework
В 2022 году в центре информационной безопасности
«Инфосистемы Джет» был разработан собственный
фреймворк — Jet Security Trusted Relationship Framework (JSTRF).
Результаты экспертных аудитов ИБ, опыт работы с широкой
линейкой средств защиты различных классов, а также собственная пентест-лаборатория помогли сформулировать основные
проблемы, с которыми сталкиваются компании, и определить,
что позволяет киберпреступникам успешно совершать атаки на
эксплуатацию доверия.
Инициализация взаимодействия
1
Управление взаимоотношением
2
Прекращение работы
3
Фреймворк представляет собой концепцию управления рисками
безопасности третьих лиц и учитывает три ключевых этапа жизненного цикла взаимодействия с подрядчиками.
В рамках исследования перечисленные этапы были
сгруппированы в три укрупненных блока:
1. Инициализация взаимодействия
2. Управление взаимоотношением
3. Прекращение работы
Далее каждый из этапов подробно рассматривается
с использованием методологии BAD Pyramid в контексте
контролей безопасности, входящих в состав фреймворка JSTRF.
6
Планирование взаимоотношений с поставщиком
Оценка целесообразности привлечения третьих лиц
Определение перечня
критичных функций/сервисов
и ограничений при
привлечении третьих лиц
Анализ/независимая
оценка целесообразности
взаимодействия
Набор защитных мер
Методология
Политики взаимодействия
c поставщиками в рамках
модели жизненного
цикла
Политики выбора
третьих лиц и оценки
их уровня
безопасности
Ресурсная модель
управления
процессом и RACI
Политики безопасного
использования сервисов
и ресурсов для работников
/поставщиков
Управление рисками
поставщиков в политике
закупок/управлении
проектами
Типовые
архитектуры ИБ при
взаимодействии
Управление рисками
Профили рисков
поставщиков
Оценка рисков
взаимодействия
Управление инцидентами
Метрики
эффективности и
контрольные показатели
уровня риска
Сценарии/планы реагирования
на инциденты с поставщиком
(утечки и пр.)
Оценка и выбор поставщиков
Оценка «зрелости ИБ» поставщика
Независимый аудит
третьей стороной
Оценка цифровых
рисков (DRP)
Оценка потенциала поставщика
Оценка по формальным
контролям/ собственный аудит
Оценка квалификации
и ресурсного обеспечения
Оценка ограничений при взаимодействии
Оценка репутации
и финансового положения
Оценка
регуляторных
ограничений
Оценка зависимости
деятельности поставщика
от субподрядчиков
Кадровая
безопасность
сотрудников поставщика
Непрерывность бизнес–процессов
Оценка
лицензионных
и иных ограничений
Поддержка перечня
альтернативных
поставщиков
Мониторинг уровня
концентрации функций
у поставщиков
План поддержания процессов
отработки отказов (BCM/DRP),
стратегия «выхода»
Закрепление обязанностей сторон
Соглашение о взаимодействии
Разграничение
ответственности и управление
обязательствами сторон в области ИБ
Учет регуляторных
требований при
взаимодействии
Совместное
управление
инцидентами ИБ
Совместное использование
интеллектуальной собственности,
коммерческой и иных видов тайн
Штрафные санкции
за нарушение мер
безопасности
Учет поставщиков
Управление персональными
обязательствами
(Personal NDA)
Обеспечение непрерывности
и восстановления функций
(SLA)
Аспекты ИБ
и условия привлечения
субподрядчиков
Управление персональными
обязательствами
(Personal NDA)
Ведение расширенного
реестра поставщиков
и перечня атрибутов
Инициализация взаимодействия
Организация безопасного доступа к --">
поставщика ИТ-услуг — компанию Supeo.
Атака на разработчика VoIP-решений 3CX. Десктопный
клиент 3CXDesktopApp был скомпрометирован и использовался для распространения вредоносного ПО среди клиентов компании. Потенциальное количество атакованных —
более 600 000 компаний по всему миру, включая American
Express, Coca-Cola, BMW, Toyota, IKEA и др.
ИнфоТеКС, утечка архива c 60 912 учетными записями
пользователей по вине подрядчика, ответственного
за разработку нового сайта.
5
Jet Security Trusted
Relationship Framework
В 2022 году в центре информационной безопасности
«Инфосистемы Джет» был разработан собственный
фреймворк — Jet Security Trusted Relationship Framework (JSTRF).
Результаты экспертных аудитов ИБ, опыт работы с широкой
линейкой средств защиты различных классов, а также собственная пентест-лаборатория помогли сформулировать основные
проблемы, с которыми сталкиваются компании, и определить,
что позволяет киберпреступникам успешно совершать атаки на
эксплуатацию доверия.
Инициализация взаимодействия
1
Управление взаимоотношением
2
Прекращение работы
3
Фреймворк представляет собой концепцию управления рисками
безопасности третьих лиц и учитывает три ключевых этапа жизненного цикла взаимодействия с подрядчиками.
В рамках исследования перечисленные этапы были
сгруппированы в три укрупненных блока:
1. Инициализация взаимодействия
2. Управление взаимоотношением
3. Прекращение работы
Далее каждый из этапов подробно рассматривается
с использованием методологии BAD Pyramid в контексте
контролей безопасности, входящих в состав фреймворка JSTRF.
6
Планирование взаимоотношений с поставщиком
Оценка целесообразности привлечения третьих лиц
Определение перечня
критичных функций/сервисов
и ограничений при
привлечении третьих лиц
Анализ/независимая
оценка целесообразности
взаимодействия
Набор защитных мер
Методология
Политики взаимодействия
c поставщиками в рамках
модели жизненного
цикла
Политики выбора
третьих лиц и оценки
их уровня
безопасности
Ресурсная модель
управления
процессом и RACI
Политики безопасного
использования сервисов
и ресурсов для работников
/поставщиков
Управление рисками
поставщиков в политике
закупок/управлении
проектами
Типовые
архитектуры ИБ при
взаимодействии
Управление рисками
Профили рисков
поставщиков
Оценка рисков
взаимодействия
Управление инцидентами
Метрики
эффективности и
контрольные показатели
уровня риска
Сценарии/планы реагирования
на инциденты с поставщиком
(утечки и пр.)
Оценка и выбор поставщиков
Оценка «зрелости ИБ» поставщика
Независимый аудит
третьей стороной
Оценка цифровых
рисков (DRP)
Оценка потенциала поставщика
Оценка по формальным
контролям/ собственный аудит
Оценка квалификации
и ресурсного обеспечения
Оценка ограничений при взаимодействии
Оценка репутации
и финансового положения
Оценка
регуляторных
ограничений
Оценка зависимости
деятельности поставщика
от субподрядчиков
Кадровая
безопасность
сотрудников поставщика
Непрерывность бизнес–процессов
Оценка
лицензионных
и иных ограничений
Поддержка перечня
альтернативных
поставщиков
Мониторинг уровня
концентрации функций
у поставщиков
План поддержания процессов
отработки отказов (BCM/DRP),
стратегия «выхода»
Закрепление обязанностей сторон
Соглашение о взаимодействии
Разграничение
ответственности и управление
обязательствами сторон в области ИБ
Учет регуляторных
требований при
взаимодействии
Совместное
управление
инцидентами ИБ
Совместное использование
интеллектуальной собственности,
коммерческой и иных видов тайн
Штрафные санкции
за нарушение мер
безопасности
Учет поставщиков
Управление персональными
обязательствами
(Personal NDA)
Обеспечение непрерывности
и восстановления функций
(SLA)
Аспекты ИБ
и условия привлечения
субподрядчиков
Управление персональными
обязательствами
(Personal NDA)
Ведение расширенного
реестра поставщиков
и перечня атрибутов
Инициализация взаимодействия
Организация безопасного доступа к --">
- 1
- 2
- 3
- 4
- 5
- . . .
- последняя (11) »
Книги схожие с «Атаки на подрядчиков. Эксплуатация доверия» по жанру, серии, автору или названию:
Другие книги автора «Автор Неизвестен»:
Автор Неизвестен - Романсы бельевой веревки: Деяния женщин, преступивших закон Жанр: Древнеевропейская литература Год издания: 2020 Серия: Пространство перевода |