Кто такие белые хакеры, и как бизнесу использовать их экспертизу
Слово «хакер» вызывает скорее негативные ассоциации, большинство представит себе человека в капюшоне, который ворует деньги, но это не так. Хакер — это образ мышления, способность смотреть на задачу под таким углом, который никто до этого не видел. Бывают ли хакеры этичными и могут ли помочь бизнесу — разбираемся в этой статье.
Кто такие белые хакеры и чем они занимаются
Белый или этичный хакер — это специалист, который ищет уязвимости в ИТ-инфраструктуре компании, продукте или технологии. Но не ради ущерба или шантажа, а чтобы улучшить киберзащищённость объекта атаки. В отличие от преступников, белый хакер действует по запросу бизнеса и официально получает за это деньги.
С помощью белых хакеров бизнес может узнать, есть ли в его ИТ-инфраструктуре уязвимости, из-за которых могут наступить недопустимые события (НС). То есть, не просто бреши в периметре, а возможность полностью «положить систему». Обнаружив цепочки уязвимостей, их можно устранить — чтобы настоящие злоумышленники не смогли пройти тем же путём и украсть деньги, данные или парализовать работу компании.
Бизнес обращается к этичным хакерам, потому что проще и дешевле найти критические уязвимости заранее, чем справляться с последствиями их эксплуатации.
Людям этой профессии свойственны этические принципы. У них те же знания и навыки, что у злоумышленников, но используют они их не ради незаконного обогащения, а чтобы сделать мир лучше и безопаснее.
Какими компетенциями обладает белый хакер
Этичный хакер — это исследователь, готовый месяцами заниматься кропотливой работой по поиску уязвимостей. По техническим навыкам он сильнее сотрудников, которые занимаются построением ИТ-инфраструктуры. В профессию приходят после вуза или курсов.
Как правило, у белых хакеров есть специализация, например:
Пентестер. Это специалист по тестированию на проникновение. Он моделирует реальную атаку на ИТ-инфраструктуру компании: проводит разведку, ищет слабые места, проникает в систему и закрепляется в ней.
Специалист по анализу защищённости веб- или мобильных приложений. Ищет уязвимости: от простых, вроде небезопасного хранения файлов, до сложных — инъекции, чтение файлов, локального или удалённого запуска кода.
Аналитик по информационной безопасности. Такие специалисты могут заниматься поиском уязвимостей в кибербезопасности промышленных предприятий, потребительских устройств, вычислительной техники или транспортных средств. Также аналитики могу выдавать требования разработчикам программного обеспечения (ПО) для поиска уязвимостей или защиты от взлома.
Как этичные хакеры проверяют ИТ-инфраструктуру компании
Работа исследователей привязана к задачам бизнеса. Поиск уязвимостей не самоцель, главное — защитить компанию от недопустимых событий. Глобально этапов для проверки ИТ-инфраструктуры компании всего два:
- Определить список НС вместе с топ-менеджментом компании.
- Искать уязвимости, которые могут привести к реализации НС.
Определить одно или несколько недопустимых событий — это базовый шаг, так у специалистов появляется фокус: они знают, что искать, и могут всесторонне подойти к решению задачи.
Для того чтобы понять, как добраться до чувствительной информации и запустить НС, специалисты используют разные методы:
👩💻 Специальное ПО — самый простой способ взлома это найти ошибки, допущенные людьми при проектировании и построении инфраструктуры. Небольшие компании проверяют стандартными программами. Для сложных задач могут создавать или покупать приложения, и искать уязвимости по несколько месяцев.
👩💻 Оборудование — пентестеры работают не только с программами, но и с «железом». Например, проводят тестовые взломы на производствах. Это практически промышленный шпионаж, только без причинения реального ущерба.
👩💻 Социальную инженерию — сюда входят вредоносные письма и звонки сотрудникам, а также отслеживание случайных ошибок. В том числе с применением искусственного интеллекта: звонки с использованием дипфейков и сгенерированного нейросетью голоса. Например, хакеры могут от имени директора попросить перевести деньги на некий счёт.
Как привлечь белых хакеров и укрепить вашу кибербезопасность
Бизнес может попытаться найти исследователей самостоятельно на специальных платформах: например, BI.ZONE Bug Bounty или Standoff 365 Bug Bounty. Но такой вариант не всегда удобен, а результат не гарантирован — у компании просто может не хватить компетенций, чтобы всё правильно организовать. А ещё нужно убедиться в состоятельности проверки, расшифровать отчеты, разобраться в найденных уязвимостях и закрыть их.
Есть и другая проблема. Не все исследователи работают в парадигме результативной кибербезопасности, где главная цель — обезопасить заказчика именно от наступления недопустимых событий. Специалисты могут искать уязвимости, которые не ведут к НС. Это полезно знать и исправить, но их обнаружение не защитит бизнес от критических угроз. Мы считаем, что искать нужно не «любые уязвимости», а те, что могут нанести компании непоправимый ущерб. Такой подход даёт результат и не сжигает ресурсы вхолостую.
Самый простой и надёжный способ защитить бизнес — Кибериспытание
Методику разработали профессионалы ИБ-сообщества. Мы привлекаем для исследования лучших специалистов и даём однозначный ответ об уровне защищённости компании на языке, понятном людям без специальной подготовки.
В результате кибериспытания владелец или акционеры компании узнают, защищены ли их инвестиции от хакерской атаки вообще, и если да — то на какую сумму. CEO — сможет понять, насколько эффективны вложения в ИБ, а глава информационной безопасности (CISO) увидит, как работает команда и существующие процессы.
Вот как проходит Кибериспытание:
Шаг 1. Подготовка. Вместе с топ-менеджментом заказчика мы определяем недопустимые события. Разрабатываем условия проведения кибериспытания, чтобы обеспечить максимальную реалистичность и объективность оценки.
Шаг 2. Запуск. Привлекаем не менее 50 белых хакеров с нужными компетенциями для поиска уязвимостей.
Шаг 3. Итоги. Экспертный совет подводит итоги испытаний и оценивает уровень кибербезопасности компании по шкале от 0 до 100. В совет входят специалисты из Яндекса, Positive Technologies, Innostage, BI.ZONE, 3 Side, Т-Банка, Озона и других технологических компаний.
Пример Кибериспытания
ИТ-компанию Innostage пытались взломать 930 белых хакеров за вознаграждение 10 млн ₽. Они провели 780 тысяч атак, но результата не достигли. Хотя одному из исследователей удалось частично реализовать недопустимое событие: он скомпрометировал учетную запись сотрудника компании, но закрепиться на корпоративной рабочей станции не смог. Компания получила сертификат Кибериспытаний — подтверждение, что взломать её почти невозможно.
Сколько стоит работа этичного хакера
На специальных площадках, вроде BI.ZONE Bug Bounty, компании привлекают исследователей за вознаграждение. За обнаружение критической уязвимости обычно платят от 150 000 до 500 000 тысяч рублей. А за уязвимости класса «Низкая», «Средняя» и «Высокая» — от 5 000 до 70 000 тысяч. Но мы считаем, что такой подход не совсем оправдан: искать нужно не все уязвимости, а только те, что ведут к наступлению недопустимых событий.
Кибериспытания в 2024 году стоили в среднем 2-3 миллиона рублей в год — существенно ниже доступных на рынке механизмов оценки. Стоимость включает две компоненты: операционные расходы на проведение и вознаграждение исследователям. Последнюю часть бизнес выплачивает только, если этичные хакеры нашли способ нанести критический ущерб.
Размер вознаграждения позволяет управлять количеством и квалификацией исследователей. Чем выше вознаграждение, тем более опытные специалисты включатся в работу, а методы проверки будут сложнее и дороже. Это связано с тем, что высококлассные специалисты не только обладают большими знаниями, но и могут позволить себе дорогие инструменты взлома.
Стоимость взлома складывается из двух вещей: покупка необходимого ПО и оборудования плюс время:
💰 До 1 млн рублей — можно проверить небольшую компанию. Обычно у неё ограниченный периметр безопасности, где мало что можно сломать. При таком бюджете белые хакеры проверяют компанию стандартными методами.
💰 10 млн рублей — можно потратить на исследования значительное время, детально проработать стратегию социальной инженерии и технических атак.
💰 От 50 млн рублей — появляется необходимость купить ПО, которое дорого ценится на чёрном рынке. Например, фрагменты вредоносного кода или последовательности команд для самых современных уязвимостей, которые пока не используют массово и публично.
Даже в случае выплаты исследователю существенной суммы, компания приобретает знание: что нужно сделать, чтобы катастрофа не произошла на самом деле. И цена этого знания несоизмеримо мала относительно цены возможных последствий.
Какой результат получит бизнес от работы белого хакера
В идеале по итогам исследования компания получает перечень критических уязвимостей и способы их устранения.
В случае минимальных действий специалистов бизнес защитится от веерных атак, когда преступники пытаются одновременно взломать множество компаний. Например, с помощью вредоносной рассылки.
В результате комплексной проверки компания сможет выстроить защиту от недопустимых событий. В этом случае взломать систему кибербезопасности будет почти невозможно.
Зная свои критические уязвимости, компания может закрыть их. Тогда реальным злоумышленникам станет труднее и дороже взломать систему. А бизнес получит возможность выгодно застраховать остаточные риски.
Не закрыв критические уязвимости, компания с большой вероятностью получит проблемы: взлом, шантаж, простой и убытки — в дополнение к регулярно выделяемым бюджетам на ИБ.
Вывод: белый хакер — помощник бизнеса
Этичный хакинг — одна из сфер кибербезопасности, со сложившейся культурой, в то же время эта сфера продолжает бурно развиваться. Совершенствуются методы взлома, а вместе с ними и способы защиты. Белые хакеры помогают бизнесу выиграть в этой гонке.