Для атакующих, атака – это бизнес.
А любой бизнес – это оборотный капитал.
Главная цель любого бизнеса – увеличение оборотного капитала.
Мы так же, как и любой бизнес, подвержены тем же проблемам. У нас те же заботы. У нас те же слабые места, что и у любого бизнеса. Вот основные проблемы:
1. КАДРОВЫЙ ГОЛОД – это проблема, которую я рассмотрю отдельно и подробно, в следующих статьях.
2. Разрыв баланса – когда доходы месяцами не приходят, а расходы с каждым месяцем не уменьшаются, а еще проценты по кредиту.
3. Маркетинг не работает – тратим деньги на рекламу, а заказчики не заказывают
4. Заказчик не заплатил, образовалась дебиторка (это кстати, хороший вариант, если он готов платить, просто не может)
5. Ключевой сотрудник пропал («забухал» например или в больницу попал)
Перечислять можно долго, да смысла нет. Проблемы те же. Бизнес, самый обычный бизнес.
Когда вашу компанию атакуют, вопрос вашего отношения к этому - вы считаете, что исполнитель атаки злодей и хочет сделать Вам плохо? Нет, это не так! Исполнитель – так же как и ваша компания, занимается бизнесом, в большинстве случаев. Тот кто стоит за исполнителем, вот он может иметь мотивы, о которых вы могли бы подумать. Команда атакующих, просто отрабатывает заказ. Атакующим до вашей компании нет дела. Даже если атакующие являются «конторой», то у них есть бюджет на атаку и принцип восприятие атаки у них такой же, как и у коммерческой фирмы. У них стоит задача и они ее отрабатывают.
Вот простой пример: СБ в течении 6-и месяцев ведет расследование, в команде из 10-и человек, со средней стоимостью человека в 150 000 рублей в месяц. Для расследования вам дополнительно по мимо зарплаты, нужно тратить еще 1 000 000 рублей в месяц на инфраструктуру (например на программное обеспечение, полиграф, слежка, прослушка). За 6 месяцев, вы не добились, совершенно ничего. Какова вероятность, что Вам согласуют продолжение расследования и безграничную трату денег?
А давайте разберем пример, с точки зрения «Атакующего бизнеса». У меня 6 месяцев, 10 человек, профи своего дела, работают по одному проекту. Значит я не могу их пустить на другие проекты. Я обязан зафиксировать убыток и перейти к следующему проекту. И мой чистый убыток – это не только зарплата и 1 000 000 в месяц, там есть и другие расходы, которые я дополнительно несу, каждый месяц. Вокруг этих людей, трудится еще целая команда поддержки. Есть и отдел, который занимается исследованиями, разведкой и так далее. Логично?
Что такое атака – это расходы.
Чем выше уровень защиты, тем больше нужна «оборотка», для проведения атаки. Значит, можно отрезать, большую часть атакующих, просто построением периметра, который потребует колоссальных вложений в атаку. Организаций «Атакующих», которые владеют серьезной «обороткой», для проведения атак ТОП уровня не так много, как могло бы показаться.
В теории звучит хорошо - купил самую дорогую защиту, настроил периметр и мало кто сможет тебя атаковать. Первые месяца 3, может даже 6 – так это и будет работать. Затем в периметре, исследователи найдут дыру. Правда производитель периметра об этом может и не узнать, а дыра будет продана в одни руки, на закрытом аукционе и будет эксплуатироваться довольно долго. Но это другая история.
Я действительно, не понимаю «защитников».
Я понимаю бизнес. Я понимаю, когда бизнес хочет проявить магию в оптимизации расходов и особенно, когда бизнес экономит на персонале.
Расскажу вам одну выдуманную историю:
Команда атакующих, создала очень хороший и полезный материал, для служб безопасности западных стран. Суть материала, сводилась к решению одной проблемы – проверки персонала, особенно стоит отметить, что проверка осуществлялась БЕЗ нарушения закона. Этот материал, был отправлен специалисту по кадровой безопасности низкого уровня, в одной крупной корпорации. Цель была проста, что бы он открыл этот материал и получил на свой компьютер, небольшой «подарок». Как же удивилась команда «Атакующих», когда вместо одного компьютера, в сети появилось несколько десятков компьютеров этой компании. Этот «специалист», сразу поделился со своими коллегами.
А теперь, задайте себе вопрос.
Кто из вас открывает материалы не из проверенных источников? В безопасном окружении? А кто знает, что такое безопасное окружение или хотя бы «песочница»?
Защитники, защищают ключевые точки проникновения в систему. Как думаете - многие защитники, станут защищать специалистов по безопасности? СБ вообще является ключевой точкой, через которую могут проникнуть в систему? А как много информации, можно получить с пары десятков компьютеров специалистов по безопасности? У многих спецов по безопасности, есть функция, просмотра рабочих столов других работников? Вопрос риторический.
По разным данным, хакеры проводят в системе предприятия, до обнаружения от 100 до 200 дней. Хотя данные по разным исследованиям будут расходиться (такая статистика в целом условна). И это не считая времени на разведку и на само проникновение. Нахождение в системе, так же требует денег. Но эта информация, просто для размышления.
Я не понимаю защитников, т.к. мне это не нужно. Мне не нужно понимать, как мыслят службы безопасности. Мне нужно понимать, как мыслит бизнес и на основании чего, бизнес принимает те или иные решения.
Точка проникновения, слабое место – это там, где бизнес принял решение об оптимизации расходов.
Где вместо того, что бы повысить уровень специалистов, которые работают с конфиденциальной информацией бизнес решил, что эти траты не оправданы.
Чем должна заниматься безопасность предприятия в классическом понимании? Защитой периметра. Проникновение в вашу систему с помощью социальной инженерии – это нарушение периметра, который вы защищаете.
Вот простой пример: человек прошел на предприятие, не зарегистрировавшись в системе, не оставив свои данные на проходной, не подписал инструкцию по безопасности и так далее. Его провел директор. Затем директор ушел по своим делам, а его приятель, пошел гулять по цеху и его там случайно убило упавшим сверху ящиком с заготовками. Уголовное дело будет возбуждено? А сколько будет проверок предприятия и какие по факту, будут потери?
А теперь подумайте вот над чем.
За предприятием установили наблюдение «атакующие». Просматривают контракты, бухгалтерию, закупки, продажи, почты. Видят сколько предприятие производит продукции и какую. Видят с кем прямые контакты и на каких условиях. Предприятие не в курсе, что за ним наблюдают. Затем, через какое то время происходит зачистка информации о том, что было наблюдение и его (наблюдение)заканчивают, без нанесения какого либо прямого видимого ущерба. Нанесен ли урон? Ущерба то пока нет.
В обоих примерах есть «возможные потери» но во втором примере, эти потери для экономики предприятия могут быть в разы больше, чем в первом.
Что делала служба безопасности и служба информационный безопасности? Когда принимали бюджет на функцию безопасности решили, что сквозной мониторинг системы и серьезные инвестиции в уровень образования и профессиональных навыков – это слишком дорого. Вы правда так считаете?
Отправить начальника службы безопасности на профильные мероприятия, где поделятся знаниями – ну он же целый рабочий день потеряет, а еще и «командировочные» потратит!
Вернемся к бизнесу.
Деньги любят тишину особенно, когда речь о подобном бизнесе. То, что вы слышите в новостях, обычно связано с громкими случаями шифровальщиков или сливом (утечки) данных. Но о корпоративных инцидентах вы не слышите. Как можно попасть в новости, если предприятие не знает, что оно было взломано? Зачем сообщать в новости и органы, если это ударит по ценам на акции. А если это предприятие, которое занимается серьезными контрактами и работает с секретной информацией? «Выносить сор из избы» не в привычках нашего менеджмента.
Особенность бизнеса «атакующих» в том, что он построен на простом принципе, чем больше вложил денег в специалистов, тем больше у тебя будет оборотный капитал.
Вы при всем желании, не сможете выйти на серьезные обороты, если не вырастите себе команду, в которой четко будут расписаны роли и дублеры. В данном бизнесе, шутка про: «когда в борделе падает прибыль, меняют шлюх» - НЕ РАБОТАЕТ. Команда нужна большая, либо большую часть работы отдавать на фриланс/сервисам.
В этом бизнесе есть расходный материал, как и в любом другом бизнесе. Люди это расходный материал, которым всегда можно пожертвовать и зафиксировать потери. Но как же, ведь чем больше вложил денег в специалистов, тем больше оборотный капитал? Все так, тут нет противоречия. Это правда жизни и она касается любого бизнеса, люди в капитализме – это расходный материал для бизнеса. Вопрос стоит только в уровне потерь от исключения из системы одного из элементов. Как бы самому не стать этим элементом системы, т.к. хорошо построенная система, может исключить и лидера/лидеров. Строитель данной системы, при этом спокойно продолжит работать.
А знаете, в каких обстоятельствах, исключают лидеров в белом бизнесе?
При поглощении! Вспомните громкие новостные сюжеты с такими фактами. Информационная атака на предприятие с публикацией грязного белья руководства. Утечка внутренней переписки с дискриминацией сотрудников по половому признаку. Неожиданные проверки от органов власти, из-за большого числа заявлений от граждан.
Как думаете, откуда информация? Но давайте останемся в розовых очках и будем верить, что все эти новости и «утечки» об одной компании в сжатый промежуток времени появились сами собой. По компании никто не «работает» и ее не собираются покупать за дешево. Просто совпадение.
Продолжение следует…
P.S. Автор - Алексей Меркулов https://t.me/fobscraft специально для канала - sbprobiz.
#fobscraft #меркулов #безопасностьбизнеса #корпоративнаябезопасность #хакинг #шифровальщики
