«Пора ломать» или «зачем приглашать этичного хакера на свое предприятие»

Легальный, «белый» хакинг – идея не новая, однако в большинстве компаний среднего и даже крупного звена к ней прибегают не так уж часто. Преимущественно этому способствует слабая осведомленность о явлении. Чтобы исправить это, сегодня мы поговорим о назначении этичного хакинга и расскажем, почему сейчас он как никогда актуален.

Для начала, разберемся с основным термином статьи – Pentest (пентест). Так обозначают тестирование на проникновение в цифровую инфраструктуру компании, а представляет из себя он набор разнообразных методов взлома с целью изучения уязвимостей защитных систем заказчика. Масса различных подходов к этому процессу позволяет атакующему комплексно проверить все элементы, от уровня подготовки рядовых сотрудников компании до скорости реагирования отдела ИБ на появление угрозы.

 

Кому это нужно?

Как правило, именно крупные компании прибегают к услугам пентеста – так как, соответственно, обладают большим объемом ценных данных и сильнее зависят от гладкого функционирования и всех элементов цифрового механизма. У таких фирм, как правило, достаточно внушительная и продуманная система информационной безопасности, с разнообразными программными продуктами – и клиентскими, и внутренними корпоративными, и, порой, даже мобильными (например, приложения банков). Но если банки имеют законодательную обязанность проводить подобные проверки, то для крупного бизнеса и госкорпораций других направлений проверки по-прежнему остаются добровольным решением. Инфобезопасность, еще с начала пандемии показывающая стабильный рост интереса в связи с тотальным переходом на удаленную работу, после февральский событий стала едва ли не главной темой в сфере ИТ, однако на самом пентесте сказалась слабо – о нем, по-прежнему, говорят не так уж много, что сказывается и на потребителях, на самом деле, порядком нуждающихся в таких услугах.

Казалось бы, зачем, имея собственный ИБ-отдел, тратить средства и время на пентест? Однако сотрудники службы безопасности, хорошо знающие, как работает система, будут сосредотачивать свое внимание преимущественно на известных им слабостях, рискуя пропустить «слепые пятна» в, казалось бы, хорошо защищенных, неподозрительных областях.

 

Как это работает?

После приглашения специалиста или группы этичных хакеров, заказчик и исполнитель определяются с тем, что требуется проверить в первую очередь. Чаще всего приоритеты проектов по пентесту в компаниях выглядят следующим образом: внешний пентест, социо-технический пентест, внутренний пентест.

Внешний периметр компаний всегда находился и сейчас находится под постоянным вниманием со стороны злоумышленником. Происходят регулярные сканирования на уязвимости всего интернета в поисках легких точек входа. Поэтому защита внешнего периметра всегда будет первостепенной задачей компании, услуги по внешнему пентесту – наиболее популярны.

Если же периметр пробит, и злоумышленник попал во внутреннюю сеть компании, то, согласно усредненной статистике и особо печальным кейсам, около 80% атак закончатся полной компрометацией сети заказчика.

По статистике большинство успешных нарушений периметра начинаются с удачной социо-технической атаки, например рассылки вредоносных писем. В таком случае одна ошибка сотрудника может позволить злоумышленнику попасть во внутреннюю сеть. Именно поэтому в последние годы возросла популярность социо-технических тестирований на проникновение, а также программы обучения сотрудников основам информационной безопасности.

Наконец, внутренний пентест направлен на оценку поведения сотрудников – насколько хорошо они противостоят искушению открыть фишинговое письмо, к примеру, и сколько урона может причинить «обиженный» сотрудник. Внутренний пентест - имитация атаки осуществляется авторизованным пользователем со стандартными правами доступа, что позволяет определить, какой ущерб может нанести сотрудник, имеющий какие-то личные счеты по отношению к руководству. Зачастую сотрудники ИБ-отдела компании могут «замылить глаз» на ежедневных задачах и забыть оповестить коллег из других отделов о новых типах угроз или сделать напоминание о техниках цифровой гигиены во время работы. Взгляд со стороны, в данном случае, взгляд специалиста по проникновениям, может спасти компанию от атаки, своевременно обновив бдительность всех участников обнаружением внезапной бреши.

 

Подходы и состав пентеста

Чаще всего сам состав теста включает некий список пунктов для проверки, заходов к атаке с разных углов. Так, например, тест на проникновение в сеть компании включает выявление уязвимостей сетевого и системного уровня, определение неправильных конфигураций и настроек, выявление уязвимости беспроводной сети, мошеннические услуги, отсутствие надежных паролей и наличие слабых протоколов.

Тест на проникновение приложений включает уже другие пункты: выявление недостатков прикладного уровня, подделка запросов, применение злонамеренных скриптов, нарушение работы управления сеансами и т.п.

Тест на физическое проникновение встречается чуть реже, так как не все компании в нем заинтересованы, но определенный набор проверок есть и в нем: взлом физических барьеров, проверка и взлом замков, нарушения работы и обход датчиков, вывод из строя камер видеонаблюдения и т.д.

Наконец, актуальность приобрел и тест на проникновение устройств (IoT): выявление аппаратных и программных недостатков устройств, брутфорс слабых паролей, определение небезопасных протоколов, API и каналов связи, нарушение в конфигурации и многое другое.

 

Что с подводными камнями?

Технически, деятельность этичных хакеров и пентестеров не регламентирована законодательно. По крайней мере, с разрешительной стороны – подвести правовую основу под деятельность энтузиастов баг-хантинга Минцифры только планирует, в то же время не торопясь внести уточняющие корректировки в имеющиеся законы, по которым подобная деятельность может трактоваться как попытка неправомерного доступа к информации. Для «легитимности» всего процесса рекомендуем заключать договор с исполнителем, чтобы в дальнейшем избежать недопониманий.

К минусам также можно отнести и некоторую ограниченность результата – все же, если вы приглашаете одного специалиста, а не команду, стоит быть готовыми либо к продолжительной работе, либо к тому, что проверки будут вестись «точечно», по приоритетным для вас местам. Учитывая, что настоящими взломами кибермошенники в последнее время занимаются организованно, группами, стоит противопоставлять им аналогичные команды этичных хакеров, пусть и на разовой основе. Это поможет быстрее провести все нужные тесты.

 

Какие есть преимущества?

Неоспоримый и главный плюс – беспрецедентная экономия финансов. Вместо перебора десятка новых решений в попытке защититься от всего и сразу, по результатам пентеста достаточно будет внедрить всего одно, а, возможно, и вовсе только обновить/доработать имеющееся.

Еще один повод пустить хакера в свою компанию – это возможность проверить, насколько легко злоумышленники могут добраться до ценных данных. Очевидно, что после успешной атаки настоящие кибермошенники могут потребовать некомфортно большие суммы выкупа за украденные данные, и далеко не всегда даже после выплаты готовы их вернуть – информация легко может быть уничтожена или повреждена в процессе шифровки. Таким образом, своевременный пентест – это страховка фирмы от непредвиденных расходов в дальнейшем.

 

Выводы

Определившись, нужен ли конкретно вашей компании опыт пентеста, в случае согласия можно сэкономить деньги и время. И, конечно, стоит помнить о том, что за конкретными продуктами для устранения обнаруженных дыр в защите стоит обратиться за профессиональной помощью – например, воспользовавшись услугами системных интеграторов, имеющих опыт работы с областью информационной безопасности и сотрудничающих с ведущими производителями решений в ИБ. В каждом случае решения подбираются индивидуально и с полным погружением в условия предприятия.