К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего браузера.

Стража со взломом: какими бывают тесты на защищенность IT-инфраструктуры компаний

Фото Markus Spiske / Unsplash
Фото Markus Spiske / Unsplash
Количество хакерских атак на бизнес растет в течение последних нескольких лет — так, по данным MTS RED, в прошлом году специалисты выявили более 50 000 инцидентов, на 43% больше, чем годом ранее. Проверить и предупредить риски кибербезопасности в таких условиях становится одной из важных задач бизнеса. Самый известный и популярный метод практической проверки защиты на сегодня — это тестирование на проникновение. О том, как провести тестирование, которое эффективно повлияет на защиту, из чего складывается его стоимость и как выбирать подрядчиков не только лишь по цене, рассказывает директор по информбезопасности (ИБ) и сооснователь Awillix Александр Герасимов

Проактивная позиция

Чтобы обнаружить и устранить уязвимые места в IT-ландшафте компании, пока это не сделали злоумышленники, компании нанимают этичных хакеров для взлома самих себя. Действия настоящих хакеров и этичных почти идентичны: они начинают разведку, затем взламывают один из элементов защиты, проникают и закрепляются в системе. Только злоумышленники ищут уязвимости IT-инфраструктуры, чтобы скачать данные, получить доступ к финансам или документации. А этичные хакеры как наемные охотники за уязвимостями и багами получают плату за то, что находят проблемы и рассказывают, как их устранить и надежнее защититься.

Чем более тестирование на проникновение (рenetration test / pentest) приближено к реальным условиям, тем эффективнее будет проведена работа над ошибками, тем устойчивее к атакам станет бизнес.

Forbes.Идеи для бизнеса
Канал о стартапах, новых идеях и малом бизнесе
Подписаться

Знать врага в лицо

Имитацию атаки есть смысл делать, только зная портрет злоумышленника. Численность, оснащенность, подготовленность, осведомленность и действия потенциальных нарушителей — это то, что нужно будет имитировать на проекте, поэтому определить это нужно на берегу.

 

Общепринятой классификации хакеров не существует, но всех их можно разделить по уровню технических компетенций и целям.

В зависимости от размера и сферы бизнеса модель атакующего будет меняться. Например, крупные компании — цель для продвинутых хакеров со сложными таргетированными атаками, тогда как малый и средний бизнес чаще подвергается нападению менее компетентных, но более массовых представителей этой «профессии».

 

Портрет «школьника»

Бизнес, особенно малый, нередко думает, что у него нечего брать. Его действительно не будут атаковать целенаправленно, но можно попасть просто под «общую гребенку». К примеру, если на сайте компании используется популярный плагин для WordPress, злоумышленники могут написать эксплойт-код для этого плагина, автоматически просканировать ресурсы компании на его наличие и попасть на ваш сервер. Последствия такого развития событий — на сервер установят майнеры, взломают сайт или зашифруют файлы базы данных с последующим требованием выкупа. Это все актуальные угрозы для любого бизнеса.

Злоумышленники просто сканируют сеть на наличие известных уязвимостей. А обнаружив «дыру в безопасности», эксплуатируют ее. Это может сделать любой человек, который использует доступные инструменты взлома: статьи на форумах или видео на YouTube. Такую модель злоумышленника можно назвать «школьники» или Script kiddie — те, кто пользуется готовыми скриптами и программами для атаки компьютерных систем и сетей, не понимая механизма их действия. Они слишком неопытные, чтобы самим написать эксплойт или сложную программу для взлома. Их жертвы — небольшие компании, которые не уделяют внимания ИБ. IT-инфраструктура такой компании может быть полностью или частично вынесена за внутренний контур, включает в себя стандартные внешние сервисы: почты, таск-трекеры, 1С, CRM, FTP и т.п. Поддержкой занимаются штатные или приходящие системные администраторы младшего или среднего уровня квалификации.

Портрет хактивиста, начинающего хакера или хакера из другой страны

Следующая ступень развития хакера — применение более продвинутых техник и методов взлома для атаки. Когда говорят про украинских, индийских или китайских хакеров, то это наиболее подходящее описание этого уровня злоумышленников. Они могут выявить уязвимое место на сайте или в приложении, посылая в него разнообразные запросы. Изучать реакцию системы и менять вектор атаки в зависимости от ответа. Использовать технические или логические уязвимости систем. Они существенно автоматизируют эксплуатацию публичных уязвимостей различной степени сложности. Как правило, делают это для шантажа и вымогательства. 

 

Компании-жертвы уже могут уделять отдельное внимание ИБ, но не настолько, чтобы сделать атаку чересчур трудозатратной для этого вида злоумышленника. Часть инфраструктуры компании, которую они атакуют, может находиться на собственных серверах и частично в арендуемых. На внешнем уровне, кроме стандартных сервисов, могут быть также самописные. В штате есть как минимум один-два выделенных ИБ-специалиста, которые следят за безопасностью внешнего и внутреннего контура. Такие компании обычно проводят анализ защищенности не реже одного раза в год.

Портрет организованной группировки

Крупная и успешная компания, которая может быть встроена в цепочки поставок тысячи других крупных заказчиков или представлять из себя критические инфраструктуры и системообразующие бизнесы, в т.ч. обслуживающие миллионы физических лиц, — слишком сложная цель для хакеров, описанных выше, но желанная жертва для организованной группы хакеров с широкими техническими возможностями.

Свой ИБ-департамент, SOC (Security Operations Center — Центр управления безопасностью, отвечает за защиту организации от киберугроз), множества средств защиты и регулярные проверки — это весомая причина, по которой хакеры-одиночки откажутся тратить время на взлом компании. Но в случае целенаправленных, в том числе и выполняемых на заказ атак, к взлому подключаются настоящие профессионалы и APT-группировки (Advanced Persistent Threat, целевая продолжительная атака повышенной сложности; хакеры, обладающие большим уровнем специальных знаний и значительными ресурсами, позволяющими им создавать угрозу особо опасных кибератак. — Forbes), спецслужбы недружественных стран и группировки, связанные с ними. Они используют продвинутые методы, включая внедрение собственного вредоносного ПО, эксплуатацию неизвестных уязвимостей (zero-day) и сложные схемы социальной инженерии.

Цена тестирования

Учитывая гигантский разрыв в подготовке и возможностях хакеров, очевидно, что и имитация их атаки тоже отличается — смотря от чего вы хотите защититься. Выбор пентеста полностью зависит от уровня ИБ бизнеса.

Чтобы узнать, насколько отличается стоимость пентеста по модели «школьника», который будет длиться пять рабочих дней и делаться руками начинающего программиста («джуна»), от стоимости тестирования по модели «APT-группы», который займет три месяца и задействует команду топовых специалистов, сопоставим портреты хакеров с ресурсами для имитации атаки. 

 

Начальный уровень зрелости процессов ИБ

  • Есть только IT-отдел и нет выделенного ИБ-специалиста внутри
  • Модель злоумышленника — Script kiddie
  • Исполнитель пентеста — Junior. Опыт — от одного года
  • Трудозатраты ≈ 60 часов
  • Стоимость проекта ≈ 200 000–400 000 рублей

Средний уровень зрелости процессов ИБ

  • Есть небольшой ИБ-отдел внутри
  • Модель злоумышленника — хакер
  • Исполнитель пентеста — два специалиста среднего уровня («мидлы») и руководитель Senior. Профильные сертификаты в области ИБ: OSCP, OSCE, eWPTX. Опыт — от трех лет
  • Трудозатраты ≈ 350 часов
  • Стоимость проекта ≈ 0,4–1 млн рублей

Высокий уровень зрелости процессов ИБ

  • Собственный ИБ-департамент
  • Модель злоумышленника — АРТ-группировка
  • Исполнитель пентеста — команда senior-специалистов в составе трех-пяти человек и руководитель («лид»). Опыт — от пяти лет. Сертификаты международного уровня — OSEP, OSWE, eWPTX. Победы в CTF (Capture the flag, «захват флага» — командные соревнования в области ИБ), участие в программах Bug Bounty и нахождение уязвимостей zero-day в Enterprise-решениях. Присутствие в «залах славы» крупнейших IT-компаний (Google, Microsoft, Apple).
  • Трудозатраты ≈ от трех месяцев.
  • Стоимость проекта ≈ 1,5–12 млн рублей

Значения в примерах приблизительны, зависят от целей и количества объектов тестирования, но хорошо показывают закономерность в ценообразовании. Средняя зарплата специалистов находится в открытом доступе. У «джуна» она начинается от 70 000 рублей, у «мидла» — от 150 000 рублей, у топовых специалистов заработок стартует от 400 000 рублей и часто не имеет предела ввиду уникальных компетенций на фоне кадрового дефицита на рынке. Понятно, что пентест, в техзадании которого есть требования к топовым специалистам, по всем законам логики не может стоить дешево.

 

Себестоимость проекта складывается из:

  • состава команды;
  • количества рабочих дней, заложенных на проект;
  • модели тестирования: black/gray/white box — это уровень доступа к исходному коду;
  • объема тестирования: объем работ — опубликованные сервисы, Wi-Fi и т.д.;
  • даты последнего аудита;
  • и прочих переменных. Для разных объектов тестирования разный подход к командам и калькуляция.

Резюме

Бизнесу не нужно тратиться на сверхсложное и дорогое тестирование на проникновение, если он только начал выстраивать свои процессы информационной безопасности. На этом этапе лучше провести несколько простых аудитов, чтобы убедиться, что весь ландшафт IT-инфраструктуры покрыт проверками и защищен.

А развитым компаниям, напротив, нужна проверка с более продвинутой моделью злоумышленника. Если компания регулярно проводит тестирования, отлаживает механизмы защиты и ее процессы ИБ уже более зрелые, лучше провести проверку, включающую весь комплекс действий для сложной целевой атаки.

Актуальная для всех и всегда рекомендация — проводить ротацию исполнителей пентеста, чтобы свежим взором исследовать инфраструктуру компании и находить новые, способные нанести ущерб, уязвимости.

 

Чтобы выбрать оптимальное решение для себя, не переплатить и получить тот результат, который удовлетворит потребности бизнеса, нужно знать две вещи: какой уровень злоумышленника представляет угрозу для бизнеса и насколько развиты процессы информационной безопасности в компании.

Мнение редакции может не совпадать с точкой зрения автора

Мы в соцсетях:

Мобильное приложение Forbes Russia на Android

На сайте работает синтез речи

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06

На информационном ресурсе применяются рекомендательные технологии (информационные технологии предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет», находящихся на территории Российской Федерации)

Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2024
16+