Журнал «Информационная безопасность»

Сертификаты – это далеко не только КЭП и НЭП, они являются основой для более широкого спектра инфраструктур на базе открытых ключей. Корпоративный CA (Certificate Authority) выдает, приостанавливает и отзывает сертификаты, используемые внутри компании для различных технологических нужд, и в первую очередь – для целей аутентификации пользователей и оборудования в корпоративной среде. Без этих функций доверенная корпоративная инфраструктура просто не может существовать. Автор: Артем Мульдияров, архитектор...

Отрасль здравоохранения является одной из самых зарегулированных. Однако, число инцидентов ИБ растет [1], и цена нарушения в медучреждении высока. Разберем, с какими типовыми нарушениями сталкиваются медицинские организации и как на практике реализуются меры информационной безопасности в здравоохранении. Автор: Дмитрий Вощуков, GR-специалист "СёрчИнформ" Ежегодно медицинские организации оказываются под прицелом хакеров и других кибермошенников. По данным МТС RED, в первом полугодии 2024 г. количество атак на организации сферы здравоохранения увеличилось на 32% [2]...

Avanpost SmartPAM – система управления привилегированным доступом: техническая составляющая, ключевые компоненты, возможности. Автор: Сергей Померанцев, владелец продукта Avanpost SmartPAM В Avanpost мы поставили перед собой амбициозную цель: предложить рынку инновационный продукт, обеспечивающий высокий уровень защиты за счет проактивного реагирования на угрозы. Кроме того, мы хотели усилить успешную линейку фокусирующихся на управлении доступом продуктов, поэтому в этом году анонсировали Avanpost SmartPAM – систему управления привилегированным доступом...

Между моментом обнаружения уязвимости и ее фактическим устранением часто пролегает глубокий организационно-технический разрыв. Его способен закрыть патч-менеджмент, интегрированный в VM-решение, сделав процесс управления уязвимостями завершенным и управляемым. Рассмотрим обязательную функциональность, которая для этого должна быть реализована в решении. Автор: Андрей Никонов, главный аналитик, “Фродекс” Системы управления уязвимостями (VM) традиционно воспринимаются ИБ-сообществом как сканеры уязвимостей в инфраструктуре...

Одна из наиболее острых проблем – лавинообразный рост количества уязвимостей и скорость появления эксплойтов для них. Заказчики сталкиваются с постоянно растущим бэклогом невыполненных исправлений. Отдел ИБ должен выстраивать процессы так, чтобы не утонуть в этой волне. Редакция журнала "Информационная безопасность" поинтересовалась, какие рекомендации могут дать эксперты. Многие компании обращаются в коммерческие SOC или выстраивают собственные SOC. В SOC выстроены процессы по определению приоритетов и критичности уязвимостей в ИТ-активах...

В последние несколько лет растет количество успешных кибератак на компании во всем мире. По данным исследования Positive Technologies, эксплуатация уязвимостей является одним из основных методов кибератак на российские организации: по итогам трех кварталов 2024 г. уязвимости эксплуатировались практически в каждой пятой (19%) успешной атаке. Автор: Александр Леонов, ведущий эксперт PT Expert Security Center, компания Positive Technologies Не сканер детектирует уязвимости в ИT-инфраструктуре организации...

В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.). Идея выделить ИБ-специалистов, занимающихся VM, в отдельную структурную единицу оправдана в случае большой ИТ-инфраструктуры и наличия выделенных специалистов...

Мир современных финансов стремительно меняется под влиянием технологического прогресса. Одним из самых революционных явлений стало появление концепции Finternet, объединяющей финансовую сферу и цифровые технологии. Это не просто эволюция традиционных финансовых систем, а их полное преобразование, позволяющее осуществлять банковские операции, инвестировать, кредитовать и страховать риски в цифровой среде без посредников и территориальных границ. Автор: Александр Подобных, член международного комитета...

Корпоративный Certificate Authority (CA) – краеугольный камень обеспечения доверия в инфраструктуре. Однако геополитические предпосылки, ужесточение регуляторных требований и необходимость соответствия современным стандартам вынуждают компании задумываться о миграции на новые решения. Этот процесс имеет шансы стать весьма болезненным, он требует не только технической подготовки, но и глубокого понимания рисков, стратегического планирования и слаженной работы всех заинтересованных сторон. Корпоративный...

Уход Microsoft три года назад стал поворотным моментом для обеспечения информационной безопасности в большинстве отраслей экономики. Отсутствие поддержки и обновлений программного обеспечения от вендора создало серьезные проблемы для устойчивости коммерческих и государственных ИТ-инфраструктур. Автор: Александр Санин, генеральный директор SafeTech Lab (SafeTech Group) Центр сертификации Microsoft Certificate Authority (CA) – один из ключевых сервисов вендора, который применяется для обеспечения безопасности и стабильности работы информационных систем...

Как показал опрос Банка России [1], больше половины участников финансовой системы используют в той или иной мере аутсорсинг какой-либо функции. Но чем чаще заказчики прибегают к такой услуге, тем больше рисков, что поставщики не смогут качественно и своевременно выполнить взятые обязательства. Автор: Кирилл Чекудаев, ведущий консультант по управлению рисками RTM Group Регулятор финсистемы Банк России определил основные зависимости в ИТ-сфере, способствующие появлению новых вызовов и угроз. Они, в...

Редакция журнала "Информационная безопасность" традиционно сделала подборку новинок, о которых узнала в начале года. Разработчик: Yandex B2B Tech Назначение: платформа для разработки Время появление на российском рынке: февраль 2025 г. Подробности: https://sourcecraft.dev/ Разработчик: Axel PRO Назначение: AppSec-платформа для управления ИБ-дефектами в программном обеспечении Время появление на российском рынке: январь 2025 г. Подробности: https://axel.pro/sherlock Разработчик: СМЛ Секьюрити Назначение:...