Offensive security: откуда берутся пентестеры

Чтобы умело отражать растущее число кибератак, сегодня в ход идут не только привычные средства защиты. Всё чаще бизнес выбирает подходы наступательной безопасности — проводит проверку надёжности с помощью атак на собственные ИТ-системы.

Рами Мулейс, менеджер продуктов безопасности Yandex Cloud, рассказал, как специалисты в области информационной безопасности стараются думать и действовать как хакеры, чтобы быстрее находить и устранять бреши.

В последнее время одним из самых востребованных инструментов наступательной безопасности становится bug bounty («охота за ошибками»). Организация публично приглашает внешних экспертов в сфере информационной безопасности попробовать найти дыры в своей ИТ-системе. Участник, нашедший подтверждённую уязвимость, получает не только денежное вознаграждение, но и публичное признание в профессиональной среде.

За прошлый год количество программ bug bounty в мире увеличилось на 34 %. По оценкам TAdviser, Россию ждёт бурный рост этой ниши. Уже около 40 российских компаний «поохотились» на уязвимости. Среди них — Delivery Club, Ozon, QIWI, Яндекс, ПИК, «Азбука вкуса», Avito, «ЮMoney», «Тинькофф», «Лаборатория Касперского».

В основном заказчики bug bounty в России — это крупный бизнес. Всё потому, что сделать такую программу непросто из-за дороговизны и юридических тонкостей. Во-первых, компаниям важно иметь ресурсы, чтобы проверить каждую присланную участником программы уязвимость и оценить её риск для бизнеса. Во-вторых, правовая база для работы этичных хакеров ещё прорабатывается. Регуляторы недавно начали работать над законопроектом, который позволит ввести понятие «охота за ошибками» в правовое поле, чтобы упростить организацию публичных программ поиска уязвимостей. Это важный шаг, который также будет способствовать росту рынка.

Более привычный вариант атаковать систему извне — провести пентест (от penetration test — «тест на проникновение»). Компания нанимает пентестеров — специалистов, которые будут проводить технический аудит системы организации, играя роль злоумышленников.

Однако результаты пентестов быстро теряют актуальность из-за кратковременного характера таких проектов. По данным поисковой системы Vulners, в среднем в публичный доступ выходит информация о 77 новых уязвимостях в день.

Если же компании необходимо получить более полное представление об уровне защищённости информационных активов с использованием последних хакерских методик, то существует подход red teaming. Специальная команда этичных хакеров (red team) атакует сеть компании, ищет слабые места в системах и пытается получить нелегальный доступ. Ей противостоит «синяя» команда защитников — специалистов по реагированию на кибератаки. При этом атака и защита идут без жёстких временных ограничений — это формирует у службы безопасности готовность к угрозам в любой момент и развивает необходимый для работы здоровый уровень паранойи. Порой сотрудники компаний могут даже не знать, что такие учения ведутся.

Одна из наиболее частых причин отказа менеджмента от red teaming или bug bounty — это отсутствие доверия к людям и, в частности, к экспертам, которые взламывают компании. Возникает вопрос, на который сложно найти ответ: «Как мы можем быть уверены, что пентестер или участник bug bounty не продаст найденную уязвимость в даркнете?» Доверие — действительно тонкий момент. Оно формируется на основе репутации и подтверждённого опыта специалистов.

Всё меньше службы безопасности при найме команд белых хакеров ценят формальные сертификаты и всё больше внимания обращают на достижения и признание в сообществе.

Заработать репутацию и получить легальный опыт взлома киберспециалист может, участвуя в уже упомянутых bug bounty, тренингах или профессиональных хакерских турнирах СTF (от англ. capture the flag — «захват флага»). Организаторы таких соревнований моделируют ИТ-инфраструктуру компании и специально закладывают туда уязвимости, основываясь на реальных инцидентах. Задача участников — найти уязвимости и «сломать» систему. Часто CTF проводят по индустриям: в сфере финансов, энергетики, ритейла, e-commerce и т. д.

Yandex Cloud помогает организовывать онлайн-соревнования по кибербезопасности, в том числе Bank Security Challenge и СTFZONE. Так, для проведения Bank Security Challenge платформа предоставила собственные облачные ресурсы: более 70000 ГБ пространства HDD-дисков и 400 ГБ SSD-дисков, 3000 виртуальных машин с 6500 vCPU и объёмом RAM более 6000 ГБ. 200 команд (каждая из пяти человек) в игровой форме стремились захватить сетевую инфраструктуру банка. В процессе нужно было взломать зашифрованную базу данных, обмануть голосовую идентификацию и проникнуть в зону обработки транзакций. Победителями стали команды под псевдонимами BlackSec, Bulbahackers и Конструктив. Если вы отвечаете за безопасность в финансовой организации — ищите названия этих команд в резюме специалистов по безопасности, с которыми планируете работать. Они знают, как взламывать банки, — значит, отлично понимают, где искать бреши.

Участие специалистов в подобных соревнованиях говорит о том, что они точно знакомы с актуальными трендами в сфере безопасности и знают свежие методы атак. Кроме того, часто именно из СTF-команд формируются будущие специалисты для red teaming. Пользу от CTF получают и сами компании, чьи представители наблюдают за ходом соревнований или участвуют в их организации.

Наступательная безопасность обогащает традиционный подход к защите организаций, основанный на сокрытии информации о своих ИТ-системах и принципах их работы (security through obscurity). Полная закрытость приводит к снижению общего уровня безопасности как минимум потому, что у компании нет внешней, независимой оценки.

По мере усложнения ИТ-инфраструктуры и роста используемых сотрудниками сервисов и приложений периметр организации размывается. Это приводит к тому, что раз за разом злоумышленники находят всё новые варианты атак и компрометации данных. Уследить за стремительно расширяющимся периметром — сложная задача даже для команды профессионалов.

Именно поэтому инструменты наступательной безопасности (CTF, bug bounty и т. д.) будут играть всё более важную роль. Кроме того, на этих площадках формируется доверие между бизнесом и хакерским сообществом. Компании смогут повысить свою надёжность через «профилактические» атаки, а молодые люди увидят, что с помощью их навыков можно и нужно зарабатывать легально.

Подписывайтесь на блог Yandex Cloud, чтобы узнавать еще больше новостей и историй об IT и бизнесе.

Другие истории наших партнеров и клиентов, которые активно читают наши подписчики:

#yandexcloud #облачные_сервисы #технологии