Need money? Earn it without leaving your home. https://riviello.es/promo
CrytoLauth08/27/2022, 20:56
Launch the financial Robot and do your business. https://riviello.es/promo
CrytoLauth08/27/2022, 18:49
Financial independence is what this robot guarantees. https://riviello.es/promo
CrytoLauth08/27/2022, 14:35
Attention! Financial robot may bring you millions! https://riviello.es/promo
CrytoLauth08/26/2022, 22:20
Watch your money grow while you invest with the Robot. https://riviello.es/promo
CrytoLauth08/26/2022, 20:14
Need money? Get it here easily? https://riviello.es/promo
CrytoLauth08/26/2022, 18:06
Financial robot is a great way to manage and increase your income. https://riviello.es/promo
CrytoLauth08/26/2022, 15:59
Let the financial Robot be your companion in the financial market. https://riviello.es/promo
CrytoLauth08/26/2022, 13:31
The financial Robot is your future wealth and independence. https://riviello.es/promo
CrytoLauth08/26/2022, 11:23
В связи с последними событиями хочется затронуть тему Нанять хакера!
Зачем компании заказывают хакерам взлом своих IT-систем.
На фоне историй о масштабных кибератаках на государства, банки и смартфоны ни в чем не повинных граждан слово «хакер» стало синонимом киберпреступника. По первоначальному определению это были всего лишь сильные программисты, глубоко разбирающиеся в устройстве компьютерных систем. Таких несложно найти и сейчас, и, более того, есть даже целая отрасль «этичных хакеров», взламывающих IT-системы по заказу их владельцев.
Они далеко не так известны, как их коллеги-киберпреступники, но их услуги пользуются стабильным спросом у бизнеса и госсектора. Например, программа цифровой экономики России отводит 800 млн руб. на работу белых хакеров, которые поищут уязвимости в государственных IT-системах и IT-продуктах разных вендоров. ??нтерес понятен, ведь цель работы белых хакеров – указать заказчику на уязвимости, пока ими не воспользовались хакеры-злоумышленники.
Как работают белые хакеры.
Рынок тестов на проникновение (пентесты – от англ. penetration testing) сформировался не так давно, вспоминает директор по развитию бизнеса компании Positive Technologies в России Максим Филиппов. Сначала подход был поверхностным: некоторые компании позволяли себе выдавать за результаты исследований отчеты автоматизированных сканеров уязвимостей, сетует он.
Но рынок эволюционировал. Сейчас тесты на проникновение делятся на внешние и внутренние. В первом случае специалисты играют роль атакующего извне, пытаясь взломать IT-системы заказчика из интернета, рассказывает руководитель группы исследования уязвимостей систем промышленной автоматизации и интернета вещей «Лаборатории Касперского» Владимир Дащенко. Работа с внутренними сетями помогает взглянуть на IT-системы глазами внутреннего злоумышленника (например, сотрудника компании-заказчика), у которого изначально больше данных и больше шансов нанести ущерб, продолжает руководитель направления «Аудит и консалтинг» компании Group-IB Андрей Брызгин.
По итогам проекта пентестеры готовят подробный отчет с методологией, ходом и результатами исследования, подтверждают каждую найденную уязвимость – снимками рабочих столов компьютеров, перечнями учетных записей с фрагментами добытых паролей, что можно проверить у владельцев данных, конфигурационными файлами сетевого оборудования, рассказывает Брызгин. Он обращает внимание, что пентестеры не исправляют обнаруженные уязвимости: это задача штатных специалистов, поскольку именно им предстоит эксплуатировать систему.
В некоторые договоры входит перепроверка результатов после того, как штатные специалисты устраняют недоработки. Есть и практика перекрестных проверок, когда 2–3 компании последовательно проделывают один комплекс работ, уточняет Брызгин, и компания полноценно оплачивает каждую проверку. Но параллельно проводить две независимые проверки не принято, добавляет Дащенко. С ним соглашается начальник управления защиты IT-инфраструктуры горно-металлургической компании «Норникель» Андрей Кульпин – по его словам, параллельно проводить тесты на реальной инфраструктуре может быть опасно. Но в работе белых хакеров может быть элемент спортивного соревнования, когда они на скорость взламывают макеты энергосетей, производственных площадок, транспортной инфраструктуры – но только макеты, указывает Кульпин.
В особо сложных случаях или когда речь идет о критической инфраструктуре могут использоваться так называемые стенды – полные дубляжи инфраструктуры, рассказывают несколько опрошенных «Ведомостями» экспертов. ??х разрешается взламывать, чтобы не нарушить работу основной системы. Дублировать систему довольно дорого, поэтому компании нужно соотносить затраты и пользу такой проверки. Чаще это используется именно в критической инфраструктуре – при управлении опасными производствами, где сбой чреват большими финансовыми потерями.
Кто заказывает тесты.
Самые первые и распространенные заказчики приходят из финансового сектора, но в последнее время перечень отраслей расширяется, солидарны эксперты. Дащенко перечисляет промышленные объекты, телекоммуникационных операторов и интернет-магазины. Директор по работе с ключевыми клиентами Digital Security Алексей Антонов отмечает интерес криптотрейдеров, блокчейн-проектов, участников рынка энергетики и добычи сырья. Операторы большой тройки подтвердили «Ведомостям» использование услуг пентестеров, представитель «Т2 РТК холдинга» (бренд Tele2) отказался от комментариев.
Одни хотят обезопасить бизнес и тестируют приложения, другие, в том числе госорганы, пытаются снизить репутационные риски в случае кибератаки на веб-ресурсы, третьи опасаются за конфиденциальность информации и своих ноу-хау, перечисляет возможную мотивацию заказчиков Филиппов.
Как правило, тесты проводятся после серьезной модернизации инфраструктуры, делится опытом представитель металлургической и горнодобывающей компании Evraz – она тоже пользуется услугами профессиональных пентестеров. Сначала компания проводит два теста: одна и та же команда пентестеров выявляет уязвимости и позже проверяет их устранение. А уже третий тест проводит другая команда – чтобы найти новые векторы атак. Такой цикл проверок Evraz проводит в среднем раз в год, отмечает его представитель.
Пентесты нужны, чтобы проверить скорость реагирования на инциденты внутренней службы информационной безопасности, указывают специалисты «Тинькофф банка». Чаще всего пентестеры находят ошибки самих программистов, вторит представитель Альфа-банка, а вот другие существенные уязвимости находятся редко. При этом основной источник проблем – персонал и несоблюдение цифровой гигиены, критикует Кульпин из «Норникеля». Люди используют слабые пароли, оставляют бреши в средствах защиты, перечисляет представитель Evraz. Словарные пароли и открытые протоколы передачи данных найдены во всех системах, которые проверяли специалисты компании Positive Technologies, а уязвимые версии софта, общедоступные интерфейсы удаленного доступа и управления оборудованием, по их данным, присутствуют в 91% систем.
Другой серьезный фактор риска – регулярность обновления софта заказчиком, указывает Дащенко из «Лаборатории Касперского». По его словам, специалистам компании часто удается обнаружить так называемые уязвимости «нулевого дня». Эти уязвимости не известны даже разработчику софта, и решений для их устранения, соответственно, нет. Тогда, рассказывает эксперт, пентестеры сообщают о проблеме разработчику, а заказчика теста уже позже просят установить обновления, подготовленные разработчиком.
Пентестеры могут привлекаться как на отдельные проекты, так и как часть общего аудита информационной безопасности систем. ??ногда компания встает на постоянное обслуживание. Погружение в проект позволяет находить больше уязвимостей, рассуждает Антонов. Работа по аудиту информационной безопасности ведется непрерывно, уверяет представитель банка ВТБ, различные виды проверок проводятся по своим графикам – еженедельно, ежемесячно, ежеквартально. Сбербанк и вовсе содержит внутреннюю команду пентестеров, отвечает его представитель, их работа тоже поставлена на промышленный поток.
Перспективное занятие.
Каждый проект собирается из разных сервисов и услуг, поэтому стандартной цены теста на проникновение не существует, описывает принцип работы Дащенко. Стоимость проекта может колебаться от сотен тысяч до 1 млн руб., подсчитывает Филиппов. Рынок активно развивается вместе с технологиями, убежден Антонов: злоумышленники тоже вкладывают серьезные средства в собственный инструментарий. ??з-за этого, по словам Антонова, рынок тестов на проникновение как защитной меры будет ежегодно расти на 25%. Сейчас он оценивает российский рынок примерно в 1–1,15 млрд руб. ежегодно, а число заказов достигает 2000. А по оценкам Филиппова, российский рынок пентестов не превышает 500 млн руб., хотя расти он будет в 1,5–2 раза ежегодно.