24/07/25
Банк «Оранжевый» успешно испытал в своей ИТ-инфраструктуре систему Positive Technologies для автоматического внутреннего тестирования на проникновение — PT Dephaze. В течение нескольких месяцев продукт проводил контролируемый автопентест, проверяя возможность реализации множества сценариев атак на инфраструктуру банка. PT Dephaze продемонстрировал высокую эффективность в обнаружении реальных векторов кибератак и стабильность работы.
Согласно требованиям Банка России, организации финансового рынка обязаны проводить тестирование на проникновение и анализ уязвимостей не реже одного раза в год. Продукт позволил компании автоматизировать значительную часть задач, связанных с внутренним пентестом, и убедиться в ценности регулярных проверок. Такой подход помогает подготовиться к ручному анализу, чтобы инвестировать финансовые ресурсы в поиск действительно сложных уязвимостей, а также оценить работу имеющихся средств защиты.
«После каждой проверки PT Dephaze выдавал качественные отчеты с четкими рекомендациями по усилению киберзащиты. Данных, которые предоставляет PT Dephaze, достаточно, чтобы превентивно устранить недостатки. Для нас это показатель надежности и результативности: мы знаем, что не потратим время зря и на самом деле укрепим киберзащиту банка», — рассказал Михаил Ивлев, заместитель председателя правления по обеспечению информационной безопасности банка «Оранжевый».
«PT Dephaze запущен в коммерческую эксплуатацию в марте этого года, — прокомментировал Ярослав Бабин, директор по продуктам для симуляции атак, Positive Technologies. — Несмотря на новизну, уже доказано, что система может эффективно встраиваться в процессы ИБ компаний разных отраслей, в том числе финансового сектора, и стабильно обнаруживать слабые места, прежде чем ими воспользуются злоумышленники. Внедрив PT Dephaze, организации смогут проводить контролируемые проверки с нужной периодичностью, ориентируясь на частоту изменений в инфраструктуре».
Опираясь на первичный опыт использования продукта, банк «Оранжевый» планирует внедрить PT Dephaze и масштабировать автоматизированный внутренний пентест на другие сегменты инфраструктуры.
