BIS Journal №1(36)/2020

10 февраля, 2020

«Белые хакеры» на страже бизнеса

Кибератаки на банки, государства и компьютеры граждан давно не редкость. Понятие «хакер» в массовом сознании неразрывно связано с темой киберпреступлений. Тем не менее, хакер — необязательно злоумышленник: продвинутые «взломщики» умеют не только нарушить покой, но и знают, как его сберечь. Поговорим о том, как работают «белые хакеры» и чем они могут быть полезны вашему бизнесу.

 

«КРУЧЕ» ПЕН-ТЕСТИНГА

Компании кровно заинтересованы в защите данных: утечки приводят к серьёзным денежным и репутационным потерям. Информационная безопасность — не результат и не состояние, а непрерывный процесс. Чтобы сотрудники компании, ответственные за информационную безопасность, вовремя смогли обнаружить и правильно, адекватно возникшей угрозе, отреагировать на брешь в системе, необходимо постоянно повышать профессионализм команды.

Рынок информационной безопасности предлагает несколько услуг по анализу защищённости компании, среди которых:

  • анализ безопасности систем и приложений,
  • тестирование на проникновение,
  • оценка осведомлённости персонала в вопросах информационной безопасности

Самый эффективный метод, на наш взгляд, – киберучения в рамках RedTeam*.

Метод этот схож с традиционным тестом на проникновение (пентестом), который используется для проверки сетей, сервисов, систем и беспроводных точек доступа, но не стоит их путать. Пентестинг — оценка пассивной защищённости информационных систем, Red Teaming — оценка активной защищённости.

Специалисты-пентестеры выезжают к заказчику со сканерами и другим оснащением и, не таясь, пытаются «взломать» систему (сразу скажу, статистика неблагоприятная). После проверки и анализа пишут отчёт о проведённой работе, о наличии уязвимостей, дают рекомендации по их устранению.

Red Team — «проверка боем». Наши белые хакеры имеют обширные знания о способах нападения. Во-первых, они накапливают опыт во время пентестов, во-вторых, изучают мировую практику реальных хакерских атак. Во время проведения Red Team хакеры имитируют настоящую кибератаку. Естественно, «нападение» проходит по заранее оговорённым сценариям и не нарушает работоспособность критически важных информационных систем компании.

Тщательная подготовка и изучение систем позволяют провести атаку аккуратно и максимально приближенно к реальности. Это, конечно, напрямую зависит от опыта и уровня профессионализма команды Red Team. Об учениях и мнимой атаке сообщается очень узкому кругу людей, чтобы остальные сотрудники вели себя естественно. 

 

КОРПОРАТИВНЫЕ КИБЕРУЧЕНИЯ

Цель Red Team, «красной команды», − достичь поставленных целей, то есть проникнуть в систему, похитить данные, задокументировать процесс «взлома» и рассказать «синей команде» (стороне заказчика) о допущенных ошибках и способах их устранения. Получается, что знания и умения «синей команды», внутренних экспертов компании, растут за счёт того, что «красная» раз от раза обеспечивает всё более высокий уровень атак.

«Редтиминг» более затратен по времени и усилиям, чем пентест. Но зато позволяет решить сразу несколько задач:

  • проверка эффективности систем информационной безопасности, используемых в компании;
  • анализ действий службы информационной безопасности и других сотрудников;
  • обучение внутренних специалистов для предотвращения ошибок в дальнейшем.

Ещё одна особенность метода Red Team, которая отличает его от других способов анализа уязвимостей, — использование любых вариантов добычи нужной информации для проникновения в систему. В том числе, методов социальной инженерии.

Самое слабое звено в безопасности информационной системы, как известно, не софт и не «железо», а сами пользователи. Хакеры используют психологические приёмы и особенности поведения людей для получения информации о доступе в систему. Несмотря на то,что о социальной инженерии активно пишут СМИ и общая осведомлённость в этом вопросе растёт, на уровне корпоративной защиты она, как правило, не обнаруживается.

Кроме того, меняются способы психологических атак: массовые письма и сообщения уступают место таргетированному воздействию. В ход идут телефонные разговоры, дружба в социальных сетях и общение в чатах. В нашей практике есть удачный кейс взлома системы с использованием информации, добытой в закрытом корпоративном чате в WhatsApp.

 

ИСПЫТАНИЕ НА ПРОДВИНУТОСТЬ

О том, как злоумышленники могут выудить нужную информацию, мы рассказываем во время киберучений Red Team. Обучаем, кстати, не только специалистов служб информационной безопасности, повышаем киберграмотность всех сотрудников компании.

Кому стоит задуматься о проведении «редтиминга»? Киберучения не имеют смысла для организаций с начальным уровнем зрелости информационной безопасности, слишком рано. Таким компаниям можно ограничиться традиционными услугами вроде пентеста или технического аудита информационных систем.

Мы рекомендуем «редтиминг» среднему и крупному бизнесу и организациям финансово-технического сектора. Тем организациям, которые традиционно являются лакомым кусочком для злоумышленников.

Не стоит бояться проведения учений, особенно внутренним службам безопасности. Цель проверки − не выявить некомпетентность и недостаток экспертизы. Наоборот, помочь тем, кто занимается информационной безопасностью компании, обеспечить максимальную защиту и повысить профессионализм во время учебных боёв, чтобы всегда быть наготове и отразить реальную атаку. Как любят повторять наши белые хакеры: тяжело в киберучении — легко в кибербою.

*Понятие RedTeam и Blue Team пришло в информационную безопасность из военной терминологии, где Red Team – команда нападающих, а Blue Team – защищающих. В контексте кибербезопасности Blue Team означает команду экспертов, задача которых — обеспечивать защиту инфраструктуры. 

 

Смотрите также