«Нас невозможно взломать»: результаты первого в стране кибериспытания
В 2024 году компания Innostage, провайдер инфобезопасных решений, первая в России прошла открытое кибериспытание. Больше 1 000 белых хакеров пытались найти уязвимости в её киберзащите, чтобы забрать вознаграждение в 10 000 000 ₽.
Рассказываем, как кибериспытание помогло Innostage трансформироваться в единственную компанию в России, которую официально невозможно взломать.
Дано: зачем кибериспытание ИБ-компании
Innostage предлагают услуги и продукты по киберзащите, поэтому их собственные системы должны быть отлично защищены.
С 2022 года российский интернет стал популярной мишенью для хакеров. Компании пользуются гибридными решениями для киберзащиты, ИБ-специалистов не хватает. Киберпреступники, напротив, стали действовать более нагло: каждый год атак становится в полтора раза больше — в первом полугодии 2024-го их число выросло на 30% по сравнению с тем же периодом в 2023-м.
У СЕО Innostage, Айдара Гузаирова, возникли опасения: действительно ли у Innostage надёжная защита. Если злоумышленники взломают Innostage, то смогут добраться до клиентов и партнёров, компании. Это непозволительно — ИБ-компания должна служить примером киберустойчивости.
Если можно взломать компанию, которая защищает от хакеров, то что говорить об остальных? Innostage должна быть примером киберустойчивости
Какие есть методы проверки киберзащиты компании
Кибербезопасность обычно проверяют с помощью четырёх инструментов: пентеста, Red Team, Bug Bounty и открытых кибериспытаний.
⭕ При пентесте нанимают команду белых хакеров для аудита кибербезопасности. Главный недостаток пентеста — высокая вероятность столкнуться с некачественной работой.
Для некоторых компаний в законодательстве прописана обязанность подобных аудитов. Поэтому на рынке существуют недобросовестные поставщики: они готовы по сравнительно низкой цене подготовить документы о том, что никаких уязвимостей найти не удалось.
⭕ Red Team — более продвинутый вариант пентеста. Это похоже на учебную пожарную тревогу, где «красная команда» нападает на инфраструктуру компании, а ИБ-специалисты — «синяя команда», отражают эти кибератаки.
Основной недостаток метода том, что это разовый проект, невозможно проводить такую проверку постоянно. Также важно каждый раз находить новые команды, поскольку у одной и той же группы белых хакеров может замылиться глаз, могут закончиться идеи.
⭕ Bug Bounty — это конкурс среди белых хакеров, организованный на специальной площадке. Он идёт 24/7 и до тех пор, пока компания-заказчик его не остановит. На такие мероприятия откликаются более квалифицированные исследователи, которые никогда не пришли бы в рамках пентестов.
Минус Bug Bounty — риски: опытные исследователи могут не заинтересоваться, а начинающие — находить только небольшие и некритичные уязвимости.
👩💻Чем белые хакеры отличаются от киберпреступников, рассказали в отдельном материале.
🟢 Открытые кибериспытания наиболее приближены к реальности: угроза существует постоянно, и у атакующих есть конкретная задача, реализация которой критична для компании. Кибериспытания сочетают бонусы Red Team — высококлассные специалисты, и Bug Bounty — непрерывный анализ.
🛠 Для эффективной проверки кибербезопасности нужен подходящий инструмент. В Innostage выбрали открытые кибериспытания.
Как Innostage готовились к кибериспытанию
В 2023 году Айдар Гузаиров планировал заявить на Kazan Digital Week, что Innostage выходит на открытые кибериспытания. Об этом он предварительно рассказал команде, но в ответ услышал, что компания пока не готова. Было решено: кибериспытаниям быть, но не сейчас, а через 9 месяцев — этого должно хватить на подготовку. Об этом Айдар Гузаиров заявил на Kazan Digital Week.
До сих пор помню речь на совещании. Я говорил про основные цели, высокую компетентность и про то, что мы должны на своём примере показать, как бороться с хакерами. Но команда сказала: «Айдар, извини, но мы не готовы»
При подготовке к кибериспытанию важно сделать две вещи:
1. Определить недопустимое событие (НС). НС или критическая угроза — это последствие кибератаки, которое приведёт к существенным потерям или закрытию бизнеса. Innostage определили, что для них это — кража денег со счёта компании.
🚩 У каждого бизнеса своя критическая угроза
Как определить недопустимое событие именно для вашей компании — подробно разобрали в другой статье.
2. Назначить точку неотвратимости. Это дата, когда кибериспытание начнётся, вне зависимости от готовности компании. Точкой неотвратимости для Innostage стало 26 мая 2024 года — об этом Айдар заявил на Kazan Digital Week.
Innostage разделили подготовку к кибериспытанию на 4 уровня:
— Технический: аудит и апгрейд решений.
— Организационный: отладка процессов.
— Образовательный: усиленная работа с сотрудниками.
— Внешний: работа с партнёрами, вендорами и подрядчиками.
Также внедрили новые программные продукты:
— Систему анализа сетевого трафика. Она позволяет точнее отслеживать некоторые типы атак прямо в трафике, а не на конечных точках.
— Средство раннего обнаружения целевых атак. Система управления приманками и ловушками позволяет с высокой точностью обнаружить кибератаку — это отличное дополнение к классическому мониторингу событий ИБ.
— Систему оркестрации. Она позволяет кратно ускорить скорость реакции на инцидент, благодаря доступу к различным инструментам реагирования на одной консоли.
В процессе подготовки Innostage трансформировали не только архитектуру киберзащиты и процессы, но и сознание сотрудников. Каждый в компании понимал: хакеры взламывают не системы, а людей.
🙋 В нашем материале подтвердили исследованиями, что самое слабое место любой киберзащиты — это люди.
Старт кибериспытания: 780 000 кибератак от 1 000 белых хакеров
26 мая 2024 года начались кибериспытания Innostage. У исследователей была задача — украсть 2 000 ₽ со счёта компании. За это белый хакер получил бы награду в 5 000 000 ₽.
Эта сумма недостаточно мотивировала специалистов: в первые месяцы была только разведка и самые базовые атаки. Тогда Innostage увеличила награду в два раза — до 10 000 000 ₽. К кибериспытанию подключились три сильнейшие в России Red Team команды: DreamTeam, Wetox и True0xA3. Реализовать недопустимое событие никому так и не удалось.
Чтобы подстегнуть исследователей, Innostage ввели промежуточные вознаграждения:
💲100 000 ₽ — за компрометацию корпоративной учётной записи сотрудника компании с закреплением на корпоративной рабочей станции.
💰 До 300 000 ₽ — за преодоление сетевого периметра и закрепление на узле в инфраструктуре компании.
🤑 До 1 млн ₽ — за получение доступа в систему учёта финансов и создание платёжных поручений под релевантной для недопустимого события или привилегированной учётной записью.
Два исследователя нашли лазейки, но не смогли продвинуться дальше:
— Первый пообщался с сотрудниками и составил очень правдоподобное фишинговое письмо. Попались три сотрудника, несмотря на постоянные обучения и пентесты внутри компании.
Исследователь получил награду в 100 000 ₽, так как показал, что внутреннее обучение и пентесты — не панацея. Если фишинговое письмо составлено аккуратно, оформлено в стиле и ToV компании, на него могут клюнуть даже подготовленные сотрудники.
— Вторая команда исследователей создала фальшивую бесплатную Wi-Fi точку возле офиса Innostage. Телефоны двух сотрудников подключились автоматически, но хакерам не удалось скачать пароли.
✍ Подробно про то, как проходит кибериспытание, рассказали в отдельном материале.
Итог: Innostage не взломать даже за 10 000 000 ₽
Innostage «кибериспытана» — об этом знают клиенты, партнёры и реальные злоумышленники.
Благодаря кибериспытаниям Innostage достигла точки антихрупкости: компания продолжает выдерживать сильные воздействия, но получает от этого только пользу. Киберустойчивость — признак лидерства и элемент конкурентного превосходства.
Innostage решили не прекращать кибериспытания. В планах — увеличить вознаграждение до 50 000 000 ₽.
После кибериспытаний мы как минимум улучшили отношения с партнёрами: нам стали ещё больше доверять. Некоторые отношения вышли на новый уровень
Если безопасность моей компании постоянно проверяется на кибериспытании, я могу предоставить большую степень доверия по защите информации клиентам. Если говорить о моей личной трансформации — теперь я могу снова спать спокойно: белые хакеры подсветят уязвимости сильно раньше, чем реальные злоумышленники до нас доберутся
🤖Чтобы спать спокойно, как CEO Innostage, запишите вашу компанию на кибериспытание.
🛟 Или воспользуйтесь Кибестрахованием. Если компанию взломают, расходы по восстановлению возместит страховая компания.