Что в первую очередь приходит на ум, когда мы слышим термин «информационная безопасность»? Предположу, что ассоциативный ряд довольно прозаичен – Антивирус, менеджеры паролей, инженеры-администраторы, приказы ФСТЭК и многое-многое другое…
Что ж, все вышеперечисленное вполне
резонно будет отнести к Defensive
Security или «Оборонительной безопасности» – направлению,
обеспечивающему комплексную защиту репутации, цифровых и финансовых активов посредством
внедрения средств защиты и определенных процессов, позволяющих своевременно
реагировать на инциденты.
В наше время ни в коем случае не стоит
забывать о «Наступательной безопасности» (Offensive Security).
Это еще одно ключевое направление, основным принципом которого является
использование технологий и методов потенциальных злоумышленников для
обнаружения разного рода недостатков и уязвимостей в информационных системах.
Любопытный факт: каждая четвертая компания
не имеет представления примерно о трети своих ресурсов, про которые забыли или
не знают представители штатных ИТ и ИБ подразделений. В таком случае подобные
активы являются приоритетной целью хакеров – в их отношении не были применены
политики информационной безопасности и актуальные обновления, а мониторинг не
производится. Подобные угрозы позволяют эффективно устранять белые хакеры,
которые проводят идентификацию поверхности атаки на старте работ.
Термин «White hacking»
(белый хакинг) был впервые сформирован в США в 1980-х годах как антипод
традиционной политике хакеров – Black
hacking (черный хакинг), а позднее представители «белой»
стороны были привлечены для работ по тестированию безопасности объектов
министерства обороны. Так и в наши дни белые хакеры (они же этичные, они же
пентестеры), используя инструментарий и методы, присущие злоумышленникам,
производят тщательную экспертизу информационных систем для обнаружения
недостатков и уязвимостей. Важно отметить, что специалисты всегда действуют в
рамках законодательства Российской Федерации.
Основной задачей этичного хакера является
выявление уязвимостей информационных систем для дальнейшего их устранения.
Специалисты по тестированию на проникновение предоставляют подробное описание
обнаруженных недостатков и подробные рекомендации по их исправлению, в том
числе, тесно взаимодействуют с представителями штатных подразделений
информационной безопасности для оперативного взаимодействия и своевременного
принятия мер в отношении актуальных угроз.
Представим простую ситуацию: руководитель
службы информационной безопасности крупного банка регулярно привлекает
специалистов для проведения работ по тестированию на проникновение, а также
контролирует процесс оперативного устранения недостатков и трендовых уязвимостей,
что позволяет поддерживать безопасность инфраструктуры и веб-приложений на
высоком уровне. Хакеры, в свою очередь, дают о себе знать, но уже не могут оперативно
обнаружить возможностей деструктивного воздействия. Получается, CISO, заняв проактивную позицию, оказался на шаг впереди –
своевременно выявил и исправил уязвимости. В этом и кроется главная ценность
этичного хакинга – обнаружить и устранить недостатки до того, как их найдет и
проэксплуатирует злоумышленник, а компания понесет существенные финансовые и
репутационные потери.
Для обеспечения высокого уровня защищенности
цифровых активов специалисты по защите информации совместно с этичными хакерами
рекомендуют придерживаются следующей последовательности действий:
1. Поиск поверхности атаки.
На данном этапе проводится идентификация
ресурсов и поиск «теневых» или забытых активов.
2. Исследование и поиск уязвимостей
В рамках текущего этапа специалисты
используют методологию и техники злоумышленников для обнаружения уязвимостей
или недостатков конфигурации.
3. Устранение уязвимостей и недостатков
Администраторами ИБ и ИТ-специалистами
производится оперативное устранение обнаруженных уязвимостей в соответствии с
предоставленным описание и рекомендациями.
4. Перепроверка выявленных недостатков
Этичные хакеры производят повторное
исследование в отношении выявленных недостатков для подтверждения факта
применения корректирующих мер и устранения уязвимостей.
5. Регулярное повторение пп. 1 – 4
Автор: Котиков Никита, специалист по наступательной безопасности Card Security
Оригинал публикации на сайте CISOCLUB: "Роль этичного хакинга в повышении уровня кибербезопасности российских компаний".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
