Как не стать жертвой кибератаки, когда нет миллиона долларов на SOC. Советы фаундера, который делает сканер уязвимостей
Один мой знакомый занимался заказной разработкой и создавал мобильные приложения для больших федеральных компаний. При очередном релизе забыл закрыть один из портов, который следовало закрыть. Злоумышленники этим воспользовались, заблокировали доступ к приложению и стали вымогать криптоденьги за разблок. Пришлось платить.
Другой знакомый разрабатывал веб-сервис с аудиторией в несколько миллионов пользователей и базой данных в ElasticSearch, стоящей открытой одним местом всему интернету. Сюжет об утечке 2 миллионов пользователей попал в федеральные СМИ. Было неприятно.
Третий знакомый (я) искал какое-то простое решение по кибербезопасности и чертыхался. Большие компании (PT, Солар, Bi.Zone и другие) имеют очереди из enterprise клиентов. А до малого бизнеса как будто никому нет дела. Услышав про бюджет в несколько сотен тысяч рублей, менеджеры включали режим "невидимки" и отвечать на сообщения переставали.
Вот так и появился наш продукт.
Дожили. 3 месяца назад у меня была хорошо оплачиваемая работа в крупной компании. Затем я отклонил 2 оффера с двух других еще более высокооплачиваемых работ. А теперь пишу статьи на VC про свой стартап. Все произошло стремительно. Инкорпорирование, акселератор, SAFE, cap-table и последние 3 месяца без единого выходного в стремлении сначала не облажаться с разработкой, а теперь не облажаться с продажами, построить CJM (сustomer journey map) и найти тот заветный product market fit. Бойтесь своих желаний…
Кибербезопасность — это не только про большие компании.
Допустим, у вас есть сайт, веб-сервис, мобильное приложение, API, любая цифровая инфраструктура, которая внешним периметром смотрит в интернет. А миллиона долларов на то, чтобы содержать собственный SOC (security operation center) со штатом специалистов по ИБ, нет.
Довольно часто встречающийся кейс, кстати.
Следовательно, вы можете стать жертвой кибератаки. Результат этой атаки может быть любым: вымогательство, слив данных в даркнет или конкурентам, майнинг криптовалюты на ваших серверах и далее по списку.
Чтобы снизить вероятность такого исхода событий процентов этак на 98%, достаточно не совершать детских ошибок: правильно конфигурировать серверное окружение, не открывать порты, вовремя обновлять софт, не ставить слабые пароли и т.д.
Звучит логично и просто.
На практике, к сожалению, всё не так. Надо срочно развернуть новый сервер. Временное решение. Сделали и забыли. Безопасность? А нам за это не платят! Главное, чтобы работало. Да вы пробовали сами что-то сконфигурировать на AWS? Там же чёрт ногу сломит в настройках!
Я был в лёгком шоке, когда собственными ушами услышал, как уважаемый сеньор DevOps-инженер при мне жаловался ИТ-директору, что вот, мол, не могу понять, почему вот эта фича не работает. Я уже все порты открыл, а она все равно не работает.
И как итог, вот те примеры, которые были в начале статьи. И громкие утечки, которые вы видите в новостях, это часто про вот эти вот детские ошибки, до исправления которых как-то руки не дошли.
Никому нельзя доверять
Если вы руководитель/собственник компании, верите ли вы своим ИТ-специалистам на слово, когда они говорят, что с кибер безопасностью у вас в компании все ОК?
Если вы тот самый ИТ-специалист, который отвечает за инфраструктуру, то вот, по-честному только, как часто вы проверяете?
После каждого релиза? Раз в квартал? Раз в год? Понимаю, что запустить NMAP дело нехитрое. Но вопрос именно в том, как часто вы это делаете.
И другой вопрос: сколько именно проверок вы делаете? Одними открытыми портами дело же не ограничивается (вспомним про XSS, SQL-инъекции, etc….)
Вот, например, были на VC отличные статьи:
Но даже если вы заказываете аудит (или делаете его самостоятельно) каждые полгода, то между этими аудитами у вас достаточно времени, чтобы совершить какую-нибудь детскую ошибку. Версия прошивки, которая вчера была безопасной, сегодня уже может получить критическую уязвимость, потому что со времён первых обнаруженных вирусов конца 80—х годов кол-во уязвимостей удваивается каждый год.
Выше я пытался обрисовать контекст, боли и проблемы. Теперь к сути.
Что делать? Сканеры уязвимостей!
Сканеры уязвимостей. Принцип работы простой. Регулярно запускаем скан периметра и получаем картину как есть: где дыра, где дыриииищщще. А дальше уже решаем, что в первую очередь исправлять, что когда-нибудь потом.
Многое (но не все) умеет тот самый бесплатный NMAP. И, разумеется, коммерческие продукты то же есть. Вот список:
- Acunetix.com
- Detectify.com
- Pentest-tools.com
- Qualys.com
- Tenable.io
- Xsignal.io
- Rapid7.com/products/nexpose/
- Immuniweb.com/products/discovery
- Intruder.io
- Balbix.com
- Ptsecurity.com/ru-ru/products/xspider/
- Scaner-vs.ru
- Metascan.ru
Подробно про конкурентов не буду. У кого-то интерфейс и архитектура двумя ногами в 90-х. У кого-то только ежегодная подписка и цена как крыло от самолета. У кого-то база данных не обновлялась со времён акций Tesla по $30 долларов. Кто-то на один скан тратит по 20 часов. Конкуренты нашему продукту есть. Это глупо отрицать. Но мы стараемся быть лучше. И вот почему:
XSignal.io - облачный сканер уязвимостей
Минутка саморекламы.
Как и у других сканеров, наш главный функционал — искать уязвимости во внешнем периметре, делать это регулярно и оповещать о новых уязвимостях. Но есть и свои фишки/бонусы:
- парсим все главные базы уязвимостей и ежедневно делаем обновления;
- полный скан за 15 минут;
- сканы по расписанию, мониторинг 24/7;
- PDF-отчёты по каждому скану, которые можно и директору на стол положить;
- гибкие сортировки результатов (по порту, по сервису);
- модуль комплаенс (про него отдельно ниже);
- тариф от $29 в месяц и 14-дневный триал-период.
А вот, что будет скоро:
- сканы подсетей, до /24 (в сентябре 2021);
- on-premise для скана внутреннего периметра (осень 2021);
- интеграция с Jira и другими популярными таск-менеджерами (осень 2021);
- кастомизируемые отчёты (скоро).
А вообще, если есть 4 минуты 4 секунды, то можно и ролик посмотреть.
Про GDPR
Многие слышали про злой и ужасный закон GDPR (General Data Protection Regulation (его близкий аналог в России — ФЗ-152, а в США —CCPA), по которому то одну, то другую компанию штрафуют на десятки, а то и сотни миллионов долларов за неправильную работу с персональными данными. Но не многие знают, что это вообще такое.
Объяснить в одном абзаце будет сложно. Но для владельцев сайтов/веб-сервисов есть простые общие правила, которые следует соблюдать, чтобы не попасть в группу риска:
1) Размещать на всех страницах веб-ресурса privacy политики (важно! На всех страницах, т.к. точкой входа на сайт пользователя из поисковой системы может быть внутренняя страница, а не только главная).
2) Спрашивать у пользователя явное согласие на обработку его ПД (те самые баннеры про cookie, которые вы наверняка уже видели). То есть не просто разместить политику, но и предложить кликнуть на ОК.
3) Не блокировать доступ к содержимому веб-ресурса до момента выражения пользователем согласия на обработку ПД.
4) Не начинать собирать ПД до момента согласия пользователя.
5) По запросу пользователя предоставлять ему отчёт о том, какие уже данные собрали.
Мы проверим ваш веб-ресурс на соответствие основным пунктам GDPR и покажем какие cookie собирает этот ресурс. И этот функционал у нас доступен на любом тарифе, даже базовом.
Кстати, анализ cookie — это хороший инструмент для интернет-маркетолога. Можно проверить на сайте своих клиентов (или конкурентов), есть ли аналитика, GTM, умный пиксель и тд.
Вы наш клиент
Вы наш клиент, если у вас есть цифровая инфраструктура (сайты, БД, приложения, API) и вы задумываетесь о кибербезопасности, чтобы застраховать себя от глупых ошибок.
При этом:
1) нет миллиона долларов на SOC;
2) разбираться в инструментах кибербезопаности нет времени и возможности; 3) хотите проверить своих айтишников;
4) хотите спать спокойно, зная что у вас нет явных дыр в безопасности.
И вообще, раньше говорили, что есть два типа компаний: кто уже делает бэкапы, а кто еще нет. Теперь можно то же самое говорить и про кибербезопасность.
Оффер 1
Нам, как и любому стартапу, хочется сделать этот мир чуточку лучше. Поэтому, если вы тоже стартап и денег совсем нет, а продукт наш нужен, мы пойдём вам на встречу. Лимит 50 годовых лицензий. Напишите мне на почту (d.gorbunov(at)xsignal.io) или в телеграм (@gorbunov_me) в свободной форме, кто вы и зачем вам наш продукт. И мы договоримся.
Оффер 2
Если вы специалист по кибербезопасности, тоже напишите. Во-первых, у нас есть реферальная программа. И мы платим 30% от всех платежей ваших клиентов. Во-вторых, мы готовы поставлять вам клиентов, которые сделали скан, нашли уязвимость, а как исправить ее, не знают.
Будем благодарны за обратную связь!
Цитировать статьи на vc — хороший тон. Недавно в одной из лучших статей про продажи, которые я читал на VC, был совет: «Надо не продавать в лоб, а просить совета».
Вот и я прошу совета. Посмотрите наш продукт и посоветуйте, что можно улучшить, что добавить, чтобы вы точно купили наш продукт ? Спасибо!
Бонус для тех, кто дочитал до конца
-- Шеф, у нас дыра в безопасности!
-- Ну хоть что-то у нас в безопасности....
Неплохо надо затестить