Новости

«Пора ломать» или «зачем приглашать этичного хакера на свое предприятие»

19.08.2022

Оригинальный способ выбить клин клином – но дешевле и безопаснее прочих.

Следите за актуальными новостями в нашем Telegram-канале

Легальный, «белый» хакинг – идея не новая, однако в большинстве компаний среднего и даже крупного звена к ней прибегают не так уж часто. Преимущественно этому способствует слабая осведомленность о явлении. Чтобы исправить это, сегодня мы поговорим о назначении этичного хакинга и расскажем, почему сейчас он как никогда актуален.

Для начала, разберемся с основным термином статьи – Pentest (пентест). Так обозначают тестирование на проникновение в цифровую инфраструктуру компании, а представляет из себя он набор разнообразных методов взлома с целью изучения уязвимостей защитных систем заказчика. Масса различных подходов к этому процессу позволяет атакующему комплексно проверить все элементы, от уровня подготовки рядовых сотрудников компании до скорости реагирования отдела ИБ на появление угрозы.

 

Кому это нужно?

Как правило, именно крупные компании прибегают к услугам пентеста – так как, соответственно, обладают большим объемом ценных данных и сильнее зависят от гладкого функционирования и всех элементов цифрового механизма. У таких фирм, как правило, достаточно внушительная и продуманная система информационной безопасности, с разнообразными программными продуктами – и клиентскими, и внутренними корпоративными, и, порой, даже мобильными (например, приложения банков). Но если банки имеют законодательную обязанность проводить подобные проверки, то для крупного бизнеса и госкорпораций других направлений проверки по-прежнему остаются добровольным решением. Инфобезопасность, еще с начала пандемии показывающая стабильный рост интереса в связи с тотальным переходом на удаленную работу, после февральский событий стала едва ли не главной темой в сфере ИТ, однако на самом пентесте сказалась слабо – о нем, по-прежнему, говорят не так уж много, что сказывается и на потребителях, на самом деле, порядком нуждающихся в таких услугах.

Казалось бы, зачем, имея собственный ИБ-отдел, тратить средства и время на пентест? Однако сотрудники службы безопасности, хорошо знающие, как работает система, будут сосредотачивать свое внимание преимущественно на известных им слабостях, рискуя пропустить «слепые пятна» в, казалось бы, хорошо защищенных, неподозрительных областях.

 

Как это работает?

После приглашения специалиста или группы этичных хакеров, заказчик и исполнитель определяются с тем, что требуется проверить в первую очередь. Чаще всего приоритеты проектов по пентесту в компаниях выглядят следующим образом: внешний пентест, социо-технический пентест, внутренний пентест.

Внешний периметр компаний всегда находился и сейчас находится под постоянным вниманием со стороны злоумышленником. Происходят регулярные сканирования на уязвимости всего интернета в поисках легких точек входа. Поэтому защита внешнего периметра всегда будет первостепенной задачей компании, услуги по внешнему пентесту – наиболее популярны.

Если же периметр пробит, и злоумышленник попал во внутреннюю сеть компании, то, согласно усредненной статистике и особо печальным кейсам, около 80% атак закончатся полной компрометацией сети заказчика.

По статистике большинство успешных нарушений периметра начинаются с удачной социо-технической атаки, например рассылки вредоносных писем. В таком случае одна ошибка сотрудника может позволить злоумышленнику попасть во внутреннюю сеть. Именно поэтому в последние годы возросла популярность социо-технических тестирований на проникновение, а также программы обучения сотрудников основам информационной безопасности.

Наконец, внутренний пентест направлен на оценку поведения сотрудников – насколько хорошо они противостоят искушению открыть фишинговое письмо, к примеру, и сколько урона может причинить «обиженный» сотрудник. Внутренний пентест - имитация атаки осуществляется авторизованным пользователем со стандартными правами доступа, что позволяет определить, какой ущерб может нанести сотрудник, имеющий какие-то личные счеты по отношению к руководству. Зачастую сотрудники ИБ-отдела компании могут «замылить глаз» на ежедневных задачах и забыть оповестить коллег из других отделов о новых типах угроз или сделать напоминание о техниках цифровой гигиены во время работы. Взгляд со стороны, в данном случае, взгляд специалиста по проникновениям, может спасти компанию от атаки, своевременно обновив бдительность всех участников обнаружением внезапной бреши.

 

Подходы и состав пентеста

Чаще всего сам состав теста включает некий список пунктов для проверки, заходов к атаке с разных углов. Так, например, тест на проникновение в сеть компании включает выявление уязвимостей сетевого и системного уровня, определение неправильных конфигураций и настроек, выявление уязвимости беспроводной сети, мошеннические услуги, отсутствие надежных паролей и наличие слабых протоколов.

Тест на проникновение приложений включает уже другие пункты: выявление недостатков прикладного уровня, подделка запросов, применение злонамеренных скриптов, нарушение работы управления сеансами и т.п.

Тест на физическое проникновение встречается чуть реже, так как не все компании в нем заинтересованы, но определенный набор проверок есть и в нем: взлом физических барьеров, проверка и взлом замков, нарушения работы и обход датчиков, вывод из строя камер видеонаблюдения и т.д.

Наконец, актуальность приобрел и тест на проникновение устройств (IoT): выявление аппаратных и программных недостатков устройств, брутфорс слабых паролей, определение небезопасных протоколов, API и каналов связи, нарушение в конфигурации и многое другое.

 

Что с подводными камнями?

Технически, деятельность этичных хакеров и пентестеров не регламентирована законодательно. По крайней мере, с разрешительной стороны – подвести правовую основу под деятельность энтузиастов баг-хантинга Минцифры только планирует, в то же время не торопясь внести уточняющие корректировки в имеющиеся законы, по которым подобная деятельность может трактоваться как попытка неправомерного доступа к информации. Для «легитимности» всего процесса рекомендуем заключать договор с исполнителем, чтобы в дальнейшем избежать недопониманий.

К минусам также можно отнести и некоторую ограниченность результата – все же, если вы приглашаете одного специалиста, а не команду, стоит быть готовыми либо к продолжительной работе, либо к тому, что проверки будут вестись «точечно», по приоритетным для вас местам. Учитывая, что настоящими взломами кибермошенники в последнее время занимаются организованно, группами, стоит противопоставлять им аналогичные команды этичных хакеров, пусть и на разовой основе. Это поможет быстрее провести все нужные тесты.

 

Какие есть преимущества?

Неоспоримый и главный плюс – беспрецедентная экономия финансов. Вместо перебора десятка новых решений в попытке защититься от всего и сразу, по результатам пентеста достаточно будет внедрить всего одно, а, возможно, и вовсе только обновить/доработать имеющееся.

Еще один повод пустить хакера в свою компанию – это возможность проверить, насколько легко злоумышленники могут добраться до ценных данных. Очевидно, что после успешной атаки настоящие кибермошенники могут потребовать некомфортно большие суммы выкупа за украденные данные, и далеко не всегда даже после выплаты готовы их вернуть – информация легко может быть уничтожена или повреждена в процессе шифровки. Таким образом, своевременный пентест – это страховка фирмы от непредвиденных расходов в дальнейшем.

 

Выводы

Определившись, нужен ли конкретно вашей компании опыт пентеста, в случае согласия можно сэкономить деньги и время. И, конечно, стоит помнить о том, что за конкретными продуктами для устранения обнаруженных дыр в защите стоит обратиться за профессиональной помощью – например, воспользовавшись услугами системных интеграторов, имеющих опыт работы с областью информационной безопасности и сотрудничающих с ведущими производителями решений в ИБ. В каждом случае решения подбираются индивидуально и с полным погружением в условия предприятия.

 

Другие новости

ГосСопка, ФСТЭК, НКЦКИ: все что нужно знать об оснащении КИИ. Часть 3

Касаемся роли ФСТЭК и реестров, разбираемся в их назначении, а в заключение статьи подробно касаемся вопроса наказаний за несоблюдение требований закона.

22.09.2022

«В объективе»: видеоаналитика для предприятий в вопросах и ответах

Для чего нужна видеоаналитика, какие возможности она открывает перед предприятием и как подобрать нужное, но не набрать лишнего

20.09.2022

ГосСопка, ФСТЭК, НКЦКИ: все что нужно знать об оснащении КИИ. Часть 2

Продолжаем знакомиться с устройством ГосСОПКИ, НКЦКИ и требованиями ФСТЭК. В этой части материала – подробно о НКЦКИ и всем, что происходит с данными.

15.09.2022

ГосСопка, ФСТЭК, НКЦКИ: все что нужно знать об оснащении КИИ. Часть 1

В этой части: подробный разбор назначения, принципа работы и требований к подключению центров ГосСОПКА

07.09.2022

«Вопрос хранения»: как изменились потребности крупного бизнеса в СХД

Краткий анализ актуального состояния рынка и произошедших на нем изменений за последние полгода

30.08.2022

Защита КИИ: жизнь после санкций

Внезапное исчезновение привычных решений поставило ребром вопрос защиты критической информационной инфраструктуры собственными силами. Кому выгодны атаки на КИИ и как от них защититься в нынешних условиях?

24.08.2022

Утечки корпоративных данных: превентивная обработка

Рассматриваем виды утечек, причины возникновения и способы их устранения до того, как они станут проблемой.

11.08.2022

ВБК и SHVACHER выставке «ТЕХНОПРОМ-2022»

Наша компания в партнерстве с отечественным производителем серверного оборудования на IX Международном форуме технологического развития

08.08.2022

Контрольный вопрос: перспективы производства контроллеров для SSD в РФ

Обзор потенциальных путей развития русско-китайского партнерства в области совместного производства электроники

08.07.2022

Практическое пособие по ИБ: как защитить свою организацию за 20 шагов

Конкретные рекомендации для исключения рисков заражения шифровальщиком

01.07.2022

Обратная связь