Согласованный взлом
Зачем компании просят, чтобы хакеры ломали их системы?
Белые «маги»
Андрей Головин, директор департамента информационной безопасности Oberon:
— За последние несколько лет по миру прокатились волны атак: взлом Equifax, в результате которого было похищено свыше 143 млн персональных данных клиентов; гигантский ботнет из бытовых устройств Mirai, оставивший без связи половину США; массовый сбор информации с аккаунтов в Facebook компанией Cambridge Analytica — без согласия соцсети и самих пользователей был осуществлен сбор данных более 87 млн учетных записей, а также использована уязвимость в коде Facebook, чтобы «слить» личные сообщения; массовые атаки на банковский сектор.
Классический подход к охране информации устарел. На практике применяемые средства не могут обеспечить эффективную защиту, несмотря на то что по документации все выглядит идеально. Нужны новые методы.
Для «согласованного взлома» используется термин «тестирование на проникновение» — penetration test, или pentest. Для проведения пентестов часто обращаются к услугам «белых», или этичных, хакеров.
Специалисты по взлому заключают соглашения с компаниями на контролируемые проникновения для проверки и тестирования систем безопасности. Ценность пентеста в возможности смоделировать последовательность действий, выполняемых потенциальным злоумышленником, в условиях, максимально приближенных к реальности.
Главное отличие от реальной атаки в том, что пентестер должен скрупулезно обследовать все информационные системы заказчика одну за другой, даже если уже найдено множество уязвимостей. Реальный хакер ищет самую короткую дорогу к цели. Обнаружив слабое место, преступник сосредотачивается на развитии атаки именно в этой точке.
Тесты на проникновение сейчас делятся на внутренние и внешние: в первом случае имитируется взлом со стороны сотрудника компании, а во втором реализуется сценарий атаки извне. По итогам пентеста организация-заказчик получает детальный отчет обо всех возможных уязвимостях с методологией проникновений и рекомендации по устранению «дыр» в безопасности. Стоит подчеркнуть, что сами пентестеры, как правило, не исправляют уязвимости, а лишь обнаруживают их. Устранением занимаются штатные специалисты.
Думай как хакер
Евгений Киров, пресейл-инженер Bitdefender Russia:
— «Белые» хакеры далеко не так известны, как их «черные» коллеги, но их услуги пользуются стабильным спросом у бизнеса и госсектора. Например, программа цифровой экономики России отводит 800 млн рублей на работу «белых» хакеров, которые поищут недостатки в государственных ИТ-системах и ИТ-продуктах разных вендоров. Интерес понятен, ведь цель работы белых «магов» — указать заказчику на уязвимости, пока ими не воспользовались злоумышленники.
Чаще всего заказчики приходят из финансового сектора, но в последнее время перечень отраслей расширяется.
Это могут быть промышленные объекты, телекоммуникационные операторы, интернет-магазины, криптотрейдеры, блокчейн-проекты, участники рынка энергетики и добычи сырья. Как правило, тесты проводятся после серьезной модернизации инфраструктуры.
Разработчики систем безопасности тоже пользуются услугами профессиональных пентестеров. В рамках устранения ошибок и уязвимостей многие производители реализуют программы bug bounty, в которых может принять участие любой желающий и за вознаграждение найти слабые звенья в системе и указать на них.
Пентесты обычно проводятся по следующему сценарию. Сначала компания проводит два теста: одна и та же команда «белых» хакеров выявляет уязвимости и позже проверяет их устранение. А уже третий тест проводит другая команда — чтобы найти новые векторы атак. Такой цикл проверок рекомендуется проводить в среднем раз в год.
Есть две крупные платформы, которые помогают встретиться исследователям уязвимостей и компаниям, желающим проверить свои сервисы: HackerOne и Bugcrowd. Они, по сути, агрегируют все программы ИТ-компаний, а зарегистрированные участники сервисов могут выбрать то, что им интересно. Сейчас обе платформы объединяют тысячи специалистов по информационной безопасности из разных стран. Даже госструктуры используют подобные площадки.
Каждый ИТ-проект собирается из разных сервисов и услуг, поэтому стандартной цены теста на проникновение не существует. Стоимость пентеста может колебаться от сотен тысяч до миллиона рублей. Рынок активно развивается вместе с технологиями. Киберпреступники тоже вкладывают серьезные средства в собственный инструментарий. По этой причине рынок пентестов, как защитной меры, будет ежегодно расти на 25%.
Невидимый противник
Роман Жуков, директор центра компетенций информационной безопасности «Гарда Технологии»:
— Давайте разберем пример из реальной практики. В довольно крупной компании была развернута известная на рынке CRM-система для управления процессами продаж, доступная в интернете сотрудникам для удобства работы. Стоит ли говорить, что предприятие, естественно, выделило необходимый бюджет на внедрение продвинутых средств защиты информации?
CRM была взломана из-за ошибок администраторов при конфигурировании системы, а также не очень сложных паролей пользователей. Однако целью проводящих пентест экспертов была не только клиентская база и суммы сделок, хранящиеся в CRM.
В ходе контролируемой атаки удалось получить доступ в корпоративную сеть, к файловым ресурсам с коммерческой информацией, к персональным данным сотрудников (включая сведения о доходах), а заодно и административный доступ к корпоративному сайту и некоторым другим сервисам.
Примеров успешных взломов можно привести много, но хотелось бы остановиться на основных выводах.
Во-первых, взломав какую-то одну часть вашей инфраструктуры, хакеры, как правило, не останавливаются, стараясь выжать максимум из каждой своей атаки. Это надо учитывать и не расслабляться, подумав о защите, к примеру, лишь только одного сайта или внешнего периметра.
Во-вторых, не стоит недооценивать подготовку злоумышленников. Они не хуже вас осведомлены об особенностях, недостатках и уязвимостях вашей инфраструктуры. Кроме того, они не скованы рамками корпоративных политик и даже законодательства, имеют практически неограниченные ресурсы для планирования реальных атак.
В-третьих, ошибочно думать, что организация нападения — дорогостоящая операция. Напротив, черный рынок такого рода услуг успешно процветает, обладает всеми признаками зрелой индустрии, включая распродажи, спецпредложения и гарантии возврата денег в случае неуспешной атаки, заказать которую возможно по цене от $30!
Помните: если вас не взломали, то, скорее всего, вы об этом просто еще не знаете.
Фото: из личных архивов экспертов; Shutterstock