«Белые шляпы» против промышленного шпионажа. Как хакеры помогают бизнесу

Компании крайне заинтересованы в защите данных: утечки приводят к серьезным денежным и репутационным потерям, а в случае с промышленными предприятиями могут послужить началом целевой атаки для более серьезных вещей — шпионажа и даже терроризма.

Информационная безопасность (ИБ) — не результат и не состояние. Это непрерывный процесс. Чтобы сотрудники компании, ответственные за информационную безопасность, вовремя смогли обнаружить и правильно — адекватно возникшей угрозе — отреагировать на брешь в системе, необходимо постоянно повышать профессионализм команды, поддерживать в должном состоянии средства защиты информации и проводить независимый аудит хотя бы раз в год.

Рынок ИБ предлагает несколько услуг по анализу защищенности компании: оценка осведомленности персонала в вопросах информационной безопасности, анализ безопасности систем и приложений, тестирование на проникновение (пентест), физический пентест, киберучения в рамках Red Team и Purple Team.

Пентест — этичный взлом

В отличие от черных хакеров, этичных нанимают не для того, чтобы навредить, а для того, чтобы проверить эффективность защиты и отказо­устой­чивость информационной системы. Инструменты и способы атаки используются примерно те же, что и у реальных злоумышленников.

Как это происходит? Пентестер встречается со службой безопасности и получает первичную точку доступа. Далее пытается обойти защиту, вторгнуться в корпоративную сеть и получить доступ к домен-­контроллеру (серверу, управляющему всеми компьютерами в сети), где хранятся учетные записи всех сотрудников компании. То есть его цель — имитировать действия внутреннего или внешнего нарушителя и найти уязвимости в сети, сервисах или конфигурациях, с помощью которых можно получить удаленный доступ к любому компьютеру, украсть данные организации или нанести любой другой ущерб компании.

После завершения работ пентестеры передают заказчику отчет, который содержит информацию о найденных уязвимостях, описывая, как они могут быть использованы злоумышленниками и что делать для их устранения.

Этот отчет играет важную роль в повышении общего уровня безопасности организации, позволяя ей принимать меры по укреплению защиты и предотвращению потенциальных атак.

Тяжело в киберучении — легко в кибербою

Метод киберучения (Red Team) иногда путают с традиционным тестом на проникновение, но всё же это два различных подхода к проверке безопасности информационных систем.

Red Team — проверка боем. Белые хакеры имеют обширные знания о способах нападения. Во-первых, они накапливают опыт во время пентестов, во‑вторых, изучают мировую практику реальных хакерских атак. Во время проведения Red Team хакеры имитируют настоящую кибератаку. Естественно, «нападение» проходит по заранее оговорённым сценариям и не нарушает работоспособность критически важных информационных систем компании. Тщательная подготовка и изучение систем позволяют провести атаку аккуратно и максимально приближенно к реальности. Это напрямую зависит от опыта и уровня профессионализма команды Red Team. Об учениях и мнимой атаке сообщается очень узкому кругу сотрудников компании, в основном топ-менеджменту, чтобы остальные работники вели себя естественно.

Цель Red Team — проникнуть в систему, похитить данные, задокументировать процесс «взлома» и рассказать Blue Team (стороне заказчика) о допущенных ошибках и способах их устранения. В отличие от пентеста, который часто фокусируется на технических аспектах, красная команда оценивает безопасность организации с учетом различных факторов, таких как технические, человеческие, процессуальные и организационные. Получается, что знания и умения синей команды, внутренних экспертов компании, растут за счет того, что красная раз от раза обеспечивает всё более высокий уровень атак.

Red Team более затратен по времени и усилиям, чем пентест, но зато позволяет решить сразу несколько задач:

• проверка эффективности систем ИБ, используемых в компании;
• анализ действий службы ИБ и других сотрудников;
• обучение внутренних специалистов для предотвращения ошибок в дальнейшем.

Еще одна особенность метода Red Team, которая отличает его от других способов анализа уязвимостей, — использование любых вариантов получения нужной информации для проникновения в систему. В том числе методов социальной инженерии и физического пентеста.

Пурпурная команда

Непрерывное совершенствование методов обеспечения безопасности способствует появлению новых направлений. Идея Purple Team возникла из потребности объединить усилия Red Team и Blue Team для создания эффективной стратегии защиты. Основной целью пурпурной команды является сотрудничество между атакующими и защищающимися сторонами с целью выявления слабых мест в системе безопасности и улучшения процессов реагирования на инциденты.

Purple Team отличается от Red Team не только в целях, но и в методах и фокусе работы. Если Red Team занимается моделированием реалистичных атак на организацию для выявления уязвимостей в системе, то Purple Team помимо этого обеспечивает сотрудничество между атакующей и защищающейся сторонами для улучшения процессов обнаружения и реагирования на киберинциденты, обмениваясь информацией о методах атак и эффективности защиты. Такой подход позволяет пурпурной команде оценивать систему безопасности организации в целом, включая технические, человеческие, процессуальные и организационные аспекты.

Проникновение со взломом

Проникновение на объект заказчика, или физический пентест, — довольно деликатная тема. О нём редко говорят, еще реже делятся советами и рекомендациями. Тем не менее для компании проведение физического пентеста очень важно, так как это позволяет полноценно оценить уровень защищенности активов организации и предотвратить потенциальные атаки, основанные на физическом доступе. Метод включает в себя разведку, социальную инженерию и попытки проникновения на территорию заказчика. Цель — выявить уязвимости в системе безопасности или оценить эффективность мер защиты, включая камеры наблюдения, замки´, пропускные системы.

Наши специалисты, исполь­зуя специализированное ­оборудование, по согласованию с заказчиком моделируют поведение злоумышленников, которые пытаются проникнуть в закрытый контур предприятия или офиса, используя бреши в системе безопасности. Порой это бывает значительно проще, чем искать уязвимости в информационных системах.

Итоги

Пентест сегодня можно назвать базовой гигиеной ИБ для каждой компании, будь то проверка отдельных продуктов (например, основного сайта или мобильного приложения) или целой инфраструктуры заказчика. Подобная проверка должна проходить ежегодно.

Кому стоит задуматься о проведении Red Team и Purple Team? Это индивидуальная история. Киберучения не имеют смысла для организаций с начальным уровнем зрелости ИБ — слишком рано. Таким компаниям можно ограничиться традиционными услугами вроде пентеста или технического аудита информационных систем. Мы рекомендуем Red и Purple Team среднему и крупному бизнесу, а также организациям финансово-­технического сектора, которые традиционно являются лакомым кусочком для злоумышленников.

Не стоит бояться проведения учений, особенно внутренним службам безопасности. Цель проверки — не выявить некомпетентность и недостаток экспертизы, а, наоборот, помочь тем, кто занимается ИБ компании, обеспечить максимальную защиту и повысить профессионализм во время учебных боев, чтобы всегда быть наготове и отразить реальную атаку. Как любят повторять белые хакеры, тяжело в киберучении — легко в кибербою.

01.05.2024

---

448

Поделиться: