Стража со взломом: какими бывают тесты на защищенность IT-инфраструктуры компаний
Проактивная позиция
Чтобы обнаружить и устранить уязвимые места в IT-ландшафте компании, пока это не сделали злоумышленники, компании нанимают этичных хакеров для взлома самих себя. Действия настоящих хакеров и этичных почти идентичны: они начинают разведку, затем взламывают один из элементов защиты, проникают и закрепляются в системе. Только злоумышленники ищут уязвимости IT-инфраструктуры, чтобы скачать данные, получить доступ к финансам или документации. А этичные хакеры как наемные охотники за уязвимостями и багами получают плату за то, что находят проблемы и рассказывают, как их устранить и надежнее защититься.
Чем более тестирование на проникновение (рenetration test / pentest) приближено к реальным условиям, тем эффективнее будет проведена работа над ошибками, тем устойчивее к атакам станет бизнес.
Знать врага в лицо
Имитацию атаки есть смысл делать, только зная портрет злоумышленника. Численность, оснащенность, подготовленность, осведомленность и действия потенциальных нарушителей — это то, что нужно будет имитировать на проекте, поэтому определить это нужно на берегу.
Общепринятой классификации хакеров не существует, но всех их можно разделить по уровню технических компетенций и целям.
В зависимости от размера и сферы бизнеса модель атакующего будет меняться. Например, крупные компании — цель для продвинутых хакеров со сложными таргетированными атаками, тогда как малый и средний бизнес чаще подвергается нападению менее компетентных, но более массовых представителей этой «профессии».
Портрет «школьника»
Бизнес, особенно малый, нередко думает, что у него нечего брать. Его действительно не будут атаковать целенаправленно, но можно попасть просто под «общую гребенку». К примеру, если на сайте компании используется популярный плагин для WordPress, злоумышленники могут написать эксплойт-код для этого плагина, автоматически просканировать ресурсы компании на его наличие и попасть на ваш сервер. Последствия такого развития событий — на сервер установят майнеры, взломают сайт или зашифруют файлы базы данных с последующим требованием выкупа. Это все актуальные угрозы для любого бизнеса.
Злоумышленники просто сканируют сеть на наличие известных уязвимостей. А обнаружив «дыру в безопасности», эксплуатируют ее. Это может сделать любой человек, который использует доступные инструменты взлома: статьи на форумах или видео на YouTube. Такую модель злоумышленника можно назвать «школьники» или Script kiddie — те, кто пользуется готовыми скриптами и программами для атаки компьютерных систем и сетей, не понимая механизма их действия. Они слишком неопытные, чтобы самим написать эксплойт или сложную программу для взлома. Их жертвы — небольшие компании, которые не уделяют внимания ИБ. IT-инфраструктура такой компании может быть полностью или частично вынесена за внутренний контур, включает в себя стандартные внешние сервисы: почты, таск-трекеры, 1С, CRM, FTP и т.п. Поддержкой занимаются штатные или приходящие системные администраторы младшего или среднего уровня квалификации.
Портрет хактивиста, начинающего хакера или хакера из другой страны
Следующая ступень развития хакера — применение более продвинутых техник и методов взлома для атаки. Когда говорят про украинских, индийских или китайских хакеров, то это наиболее подходящее описание этого уровня злоумышленников. Они могут выявить уязвимое место на сайте или в приложении, посылая в него разнообразные запросы. Изучать реакцию системы и менять вектор атаки в зависимости от ответа. Использовать технические или логические уязвимости систем. Они существенно автоматизируют эксплуатацию публичных уязвимостей различной степени сложности. Как правило, делают это для шантажа и вымогательства.
Компании-жертвы уже могут уделять отдельное внимание ИБ, но не настолько, чтобы сделать атаку чересчур трудозатратной для этого вида злоумышленника. Часть инфраструктуры компании, которую они атакуют, может находиться на собственных серверах и частично в арендуемых. На внешнем уровне, кроме стандартных сервисов, могут быть также самописные. В штате есть как минимум один-два выделенных ИБ-специалиста, которые следят за безопасностью внешнего и внутреннего контура. Такие компании обычно проводят анализ защищенности не реже одного раза в год.
Портрет организованной группировки
Крупная и успешная компания, которая может быть встроена в цепочки поставок тысячи других крупных заказчиков или представлять из себя критические инфраструктуры и системообразующие бизнесы, в т.ч. обслуживающие миллионы физических лиц, — слишком сложная цель для хакеров, описанных выше, но желанная жертва для организованной группы хакеров с широкими техническими возможностями.
Свой ИБ-департамент, SOC (Security Operations Center — Центр управления безопасностью, отвечает за защиту организации от киберугроз), множества средств защиты и регулярные проверки — это весомая причина, по которой хакеры-одиночки откажутся тратить время на взлом компании. Но в случае целенаправленных, в том числе и выполняемых на заказ атак, к взлому подключаются настоящие профессионалы и APT-группировки (Advanced Persistent Threat, целевая продолжительная атака повышенной сложности; хакеры, обладающие большим уровнем специальных знаний и значительными ресурсами, позволяющими им создавать угрозу особо опасных кибератак. — Forbes), спецслужбы недружественных стран и группировки, связанные с ними. Они используют продвинутые методы, включая внедрение собственного вредоносного ПО, эксплуатацию неизвестных уязвимостей (zero-day) и сложные схемы социальной инженерии.
Цена тестирования
Учитывая гигантский разрыв в подготовке и возможностях хакеров, очевидно, что и имитация их атаки тоже отличается — смотря от чего вы хотите защититься. Выбор пентеста полностью зависит от уровня ИБ бизнеса.
Чтобы узнать, насколько отличается стоимость пентеста по модели «школьника», который будет длиться пять рабочих дней и делаться руками начинающего программиста («джуна»), от стоимости тестирования по модели «APT-группы», который займет три месяца и задействует команду топовых специалистов, сопоставим портреты хакеров с ресурсами для имитации атаки.
Начальный уровень зрелости процессов ИБ
- Есть только IT-отдел и нет выделенного ИБ-специалиста внутри
- Модель злоумышленника — Script kiddie
- Исполнитель пентеста — Junior. Опыт — от одного года
- Трудозатраты ≈ 60 часов
- Стоимость проекта ≈ 200 000–400 000 рублей
Средний уровень зрелости процессов ИБ
- Есть небольшой ИБ-отдел внутри
- Модель злоумышленника — хакер
- Исполнитель пентеста — два специалиста среднего уровня («мидлы») и руководитель Senior. Профильные сертификаты в области ИБ: OSCP, OSCE, eWPTX. Опыт — от трех лет
- Трудозатраты ≈ 350 часов
- Стоимость проекта ≈ 0,4–1 млн рублей
Высокий уровень зрелости процессов ИБ
- Собственный ИБ-департамент
- Модель злоумышленника — АРТ-группировка
- Исполнитель пентеста — команда senior-специалистов в составе трех-пяти человек и руководитель («лид»). Опыт — от пяти лет. Сертификаты международного уровня — OSEP, OSWE, eWPTX. Победы в CTF (Capture the flag, «захват флага» — командные соревнования в области ИБ), участие в программах Bug Bounty и нахождение уязвимостей zero-day в Enterprise-решениях. Присутствие в «залах славы» крупнейших IT-компаний (Google, Microsoft, Apple).
- Трудозатраты ≈ от трех месяцев.
- Стоимость проекта ≈ 1,5–12 млн рублей
Значения в примерах приблизительны, зависят от целей и количества объектов тестирования, но хорошо показывают закономерность в ценообразовании. Средняя зарплата специалистов находится в открытом доступе. У «джуна» она начинается от 70 000 рублей, у «мидла» — от 150 000 рублей, у топовых специалистов заработок стартует от 400 000 рублей и часто не имеет предела ввиду уникальных компетенций на фоне кадрового дефицита на рынке. Понятно, что пентест, в техзадании которого есть требования к топовым специалистам, по всем законам логики не может стоить дешево.
Себестоимость проекта складывается из:
- состава команды;
- количества рабочих дней, заложенных на проект;
- модели тестирования: black/gray/white box — это уровень доступа к исходному коду;
- объема тестирования: объем работ — опубликованные сервисы, Wi-Fi и т.д.;
- даты последнего аудита;
- и прочих переменных. Для разных объектов тестирования разный подход к командам и калькуляция.
Резюме
Бизнесу не нужно тратиться на сверхсложное и дорогое тестирование на проникновение, если он только начал выстраивать свои процессы информационной безопасности. На этом этапе лучше провести несколько простых аудитов, чтобы убедиться, что весь ландшафт IT-инфраструктуры покрыт проверками и защищен.
А развитым компаниям, напротив, нужна проверка с более продвинутой моделью злоумышленника. Если компания регулярно проводит тестирования, отлаживает механизмы защиты и ее процессы ИБ уже более зрелые, лучше провести проверку, включающую весь комплекс действий для сложной целевой атаки.
Актуальная для всех и всегда рекомендация — проводить ротацию исполнителей пентеста, чтобы свежим взором исследовать инфраструктуру компании и находить новые, способные нанести ущерб, уязвимости.
Чтобы выбрать оптимальное решение для себя, не переплатить и получить тот результат, который удовлетворит потребности бизнеса, нужно знать две вещи: какой уровень злоумышленника представляет угрозу для бизнеса и насколько развиты процессы информационной безопасности в компании.
Мнение редакции может не совпадать с точкой зрения автора