Автор - АО НИП "ИНФОРМЗАЩИТА".
Красная команда белых хакеров: как «взломщики» помогают бизнесу
Кибератаки на банки, государства и компьютеры граждан давно не редкость. Понятие «хакер» в массовом сознании неразрывно связано с темой киберпреступлений. Тем не менее, хакер — не обязательно злоумышленник: продвинутые «взломщики» умеют не только нарушить покой, но и знают, как его уберечь. Поговорим о том, как работают «белые хакеры» и чем они могут быть полезны вашему бизнесу.
Компании «кровно» заинтересованы в защите данных: утечки приводят к серьезным денежным и репутационным потерям. Информационная безопасность — не результат и не состояние. Это непрерывный процесс. Чтобы сотрудники компании, ответственные за информационную безопасность, вовремя смогли обнаружить и правильно — адекватно возникшей угрозе — отреагировать на брешь в системе, необходимо постоянно повышать профессионализм команды.
Рынок информационной безопасности предлагает несколько услуг по анализу защищенности компании: анализ безопасности систем и приложений, тестирование на проникновение, оценка осведомленности персонала в вопросах информационной безопасности и т.д., но самый эффективный метод, на наш взгляд, – киберучения в рамках Red Team*.
Этот метод схож с традиционным тестом на проникновение (пентестом), который используется для проверки сетей, сервисов, систем и беспроводных точек доступа, но не стоит их путать. Пентестинг — оценка пассивной защищённости информационных систем, Red Teaming — оценка активной защищённости. Специалисты-пентестеры выезжают к заказчику со сканерами и другим оснащением и, не таясь, пытаются «взломать» систему (сразу скажу, статистика неблагоприятная). После проверки и анализа пишут отчет о проведенной работе и о наличии уязвимостей, дают рекомендации по их устранению.
Red Team — «проверка боем». Наши белые хакеры имеют обширные знания о способах нападения. Во-первых, они накапливают опыт во время пентестов, во-вторых, изучают мировую практику реальных хакерских атак. Во время проведения Red Team хакеры имитируют настоящую кибератаку. Естественно, «нападение» проходит по заранее оговоренным сценариям и не нарушает работоспособность критически важных информационных систем компании. Тщательная подготовка и изучение систем позволяют провести атаку аккуратно и максимально приближенно к реальности. Это, конечно, напрямую зависит от опыта и уровня профессионализма команды Red Team. Об учениях и мнимой атаке сообщается очень узкому кругу людей, чтобы остальные сотрудники вели себя естественно.
Цель Red Team, «красной команды», — достичь поставленных целей, то есть проникнуть в систему, похитить данные, задокументировать процесс «взлома» и рассказать «синей команде» (стороне заказчика) о допущенных ошибках и способах их устранения. Получается, что знания и умения «синей команды», внутренних экспертов компании, растут за счёт того, что «красная» раз от раза обеспечивает все более высокий уровень атак.
«Редтиминг» более затратен по времени и усилиям, чем пентест. Но зато позволяет решить сразу несколько задач:
· проверка эффективности систем информационной безопасности, используемых в компании;
· анализ действий службы информационной безопасности и других сотрудников;
· обучение внутренних специалистов для предотвращения ошибок в дальнейшем.
Еще одна особенность метода Red Team, которая отличает его от других способов анализа уязвимостей, — использование любых вариантов добычи нужной информации для проникновения в систему. В том числе, методов социальной инженерии.
Самое слабое звено в безопасности информационной системы, как известно, не софт и не «железо», а сами пользователи. Хакеры используют психологические приёмы и особенности поведения людей для получения информации о доступе в систему. Несмотря на то, что о социальной инженерии активно пишут СМИ и общая осведомленность в этом вопросе растет, на уровне корпоративной защиты она, как правило, не обнаруживается. Кроме того, меняются способы психологических атак: массовые письма и сообщения уступают место таргетированному взаимодействию. В ход идут телефонные разговоры, дружба в социальных сетях и общение в чатах. В нашей практике есть удачный кейс взлома системы с использованием информации, добытой в закрытом корпоративном чате в WhatsApp. О том, как злоумышленники могут выудить нужную информацию, мы рассказываем во время киберучений Red Team. Обучаем, кстати, не только специалистов служб информационной безопасности, повышаем киберграмотность всех сотрудников компании.
Кому стоит задуматься о проведении «редтиминга»? Киберучения не имеют смысла для организаций с начальным уровнем зрелости информационной безопасности — слишком рано. Таким компаниям можно ограничиться традиционными услугами вроде пентеста или технического аудита информационных систем. Мы рекомендуем «редтиминг» среднему и крупному бизнесу и организациям финансово-технического сектора, которые традиционно являются лакомым кусочком для злоумышленников.
И хочу сказать, что не стоит бояться проведения учений. Особенно внутренним службам безопасности. Цель проверки не выявить некомпетентность и недостаток экспертизы, а, наоборот, помочь тем, кто занимается информационной безопасностью компании, обеспечить максимальную защиту и повысить профессионализм во время учебных боёв, чтобы всегда быть наготове и отразить реальную атаку. Как любят повторять наши белые хакеры: тяжело в киберучении — легко в кибербою.
* Понятие Red Team и Blue Team пришло в информационную безопасность из военной терминологии, где Red Team – команда нападающих, а Blue Team – защищающих. В контексте кибербезопасности Blue Team означает команду экспертов, задача которых — обеспечивать защиту инфраструктуры.