Стресс-тест или взлом своей же сети: полезно ли использование «белых хакеров» для корпоративной безопасности

Проверка на устойчивость, использование специалистов со стороны и работа над ошибками — как понять, что вам нужны услуги пентестера?

Слышали ли вы о крупных утечках данных, или, может быть, сами сталкивались с последствиями хакерских атак? В любом случае, в современном мире сложно встретить хотя бы одного человека, не имеющего ни малейшего представления о проблемах информационной безопасности.

Хакеры и кража персональных данных перебрались в нашу реальность из пугающих представлений о мире будущего. Они всё чаще появляются перед нами в лице мелких мошенников и вымогателей, опустошающих банковские счета наивных пользователей. Но, помимо мелких краж, жертвами взломщиков всё чаще становятся владельцы как малого, так и крупного бизнеса.

По данным аналитического центра Info-Watch, число утечек конфиденциальных сведений из организаций в России за 2016 год увеличилось на 80 процентов – за этот год было зафиксировано 213 случаев – и это число продолжает расти, уступая по размерам лишь кражам данных в Америке.

24 октября этого года произошла одна из крупнейших за последнее время утечек баз данных. Жертвой атаки стал Сбербанк, признавший потерю более чем 5 тысяч записей с личными данными своих клиентов. По заявлению самих взломщиков, в их руках оказалась финансовая информация как минимум 11 тысяч клиентов банка.

Кроме того, за два месяца этой осени, жертвами хакерских атак стали такие гиганты информационной индустрии, как Instagram, и оператор фискальных данных «Дримкас». В последнем случае, в сеть утекли более чем 76 млн строчек информации, связанной с налоговой службой Российской Федерации.

Массовые кражи и провалы в обеспечении безопасности не были прецедентами в работе отдельных фирм. Чтобы убедиться в этом, достаточно взглянуть на список пострадавших компаний за последние два-три года. Не считая преобладания финансовых корпораций и мобильных операторов, жертвами мошенников часто становились базы данных как крупных онлайн-магазинов, так и множества мелких организаций.

Но относится ли опасность взлома к владельцам куда более скромных компаний, не обладающих внушительным количеством филиалов и многомилионными оборотами? Безусловно, да. Несмотря на все способы защиты, услуги взломщиков и их популярность лишь набирают обороты в последние несколько лет.

Так, на одном из популярных сервисов «теневого» интернета – InsideHackers – цена взлома начинается от 5$, увеличиваясь в соответствии со сложностью задания. В одном из последних отчётов SecureWorks в те же 5$ оценивается часовая DDoS-атака на неугодный сервис – в зависимости от сложности, цена варьируется от 30 до 400$ за обрушение сервера на весь день.

По мнению этой же исследовательской группы – являющейся, кроме всего прочего, дочерней компанией Dell – рынок хакеров переживает настоящий бум, начиная с 2016 года. Говоря об увеличении масштабов, можно сказать, что теперь хакеры работают сверхурочно, отвечают за качество своей работы и расширяют спектр предлагаемых услуг, чтобы привлечь клиентов, подстраиваясь под требования потребителей.

Стоит ли говорить, к чему приводят хакерские атаки и рост спроса на их услуги? Помимо финансовых потерь, владельцы атакованных сервисов получают и существенный деловой ущерб, представ перед своими клиентами как лица, не способные обеспечить безопасность их данных и финансов.

Первое, что необходимо сделать при создании корпоративной сети – организовать её безопасность по современным стандартам. На рынке доступно множество готовых решений, различающихся ценой и ориентированностью на крупные или малые организации – так, например, облачный сервис CloudFlare спасает атакованные сервера от перегрузки, перенаправляя поток запросов в свою сторону – но, часто их оказывается недостаточно, чтобы противостоять серьёзным атакам.

Каждое ПО имеет свои изъяны, а индивидуальные решения и модификации грешат не менее индивидуальными ошибками, часто позволяющими обойти любые барьеры, выстроенные специалистами. Но как, в таком случае, обезопасить свою сеть?

Вы наверняка слышали о краш-тестах автомобилей, проверяющих их устойчивость к столкновениям, или смотрели видео с этими поездками в один конец. Помимо исследования последствий, такие тесты выявляют слабые места машины, позволяя исправить ошибки в конструкции перед выходом в массовое производство, обеспечивая максимальную сохранность автомобиля при реальных авариях.

Те же проверки можно провести и на корпоративной сети, не дожидаясь первых встреч с серьёзными проблемами. В отличие от реальных краш-тестов, система не подвергается физическому воздействию, что позволяет существенно сэкономить на исправлении ошибок в её конструкции.

На помощь в этой нелёгкой задаче приходят «белые хакеры», противопоставляющие себя привычному образу интернет-мошенника. Именно они способны провести контролируемую атаку на сеть, выявляя и, в некоторых случаях, исправляя ошибки в её структуре.

Стоит отметить, что эта профессия имеет достаточно много имён – от уже озвученных «белых хакеров», до «пентестеров» (от англ. penetration testing – тест на проникновение) и «этичных хакеров». В отличие от своих коллег, эти взломщики действуют по заказу владельца сети, и работают за его же вознаграждение.

Такая практика не является чем-то необычным – так, например, в Facebook Bug Bounty обещают выплату от 25 до 40 тысяч долларов любому, кто найдёт проблемы в системах безопасности соцсети. Но как найти такого хакера самостоятельно?

Обычно, они работают индивидуально, но требования рынка все чаще приводят к появлению отдельных должностей тестировщиков в штате компаний, работающих с вопросами информационной безопасности. В этом можно убедиться, задав запрос «заказать тест на проникновение» в любом поисковом сервисе.

Можно сколько угодно говорить о неэффективности старых методов защиты, но лучше убедиться в этом на практике. Существует три основных аргумента в пользу взлома своей сети.

Пример с краш-тестом автомобилей демонстрирует основную особенность этого подхода – действие на опережение. Пока кто-то тратит время и средства на покупку самого дорого и разрекламированного защитного ПО, «белые хакеры» находят и исправляют все слабые места в действующей корпоративной сети прежде, чем их используют реальные злоумышленники.

Но, ситуация с корпоративными сетями всё же имеет свои особенности. Тест на столкновение чаще всего выявляет слабые места во внешних барьерах системы – но не учитывает возможность появления внутренних злоумышленников. Специалисты по информационной безопасности также исследуют возможность атаки с места одного из сотрудников, сводя вероятность проникновения до минимально возможного уровня.

Что может быть проще и понятней, чем покупка лицензии на антивирусное ПО, обещающее защитить вас от всех бед? К сожалению, такие барьеры уже давно не является действительно актуальным решением для защиты корпоративных сетей.

Главная проблема антивирусного ПО – ориентированность на взаимодействие с конкретными, известными угрозами. Такие системы защитят вас от часто встречающихся вирусов-вымогателей, но едва ли предотвратят прямое вторжение в сеть, в лучшем случае задержав взломщика на время обхода барьеров.

Несмотря на новизну подхода, эффект от его использования нельзя назвать достаточно долгим. Рынок взломщиков лишь набирает обороты, и количество способов атаки и кражи информации растёт с каждым днём.

Единоразовый тест поможет выявить актуальные проблемы сети на день проверки, но не обеспечит защиту системы на всё время её использования. Стоит проводить такие проверки регулярно – или, посмотрев на примеры Google и Facebook, назначить награду за нахождение ошибок в защите системы.

Вряд ли кто-то оспорит необходимость иметь постоянного специалиста, обеспечивающего безопасную и стабильную работу внутренней сети. Но можем ли мы сказать то же самое о человеке, тестирующем её защиту? Да и вообще, стоит ли доверять хакерам «со стороны»?

Сложно искать общие критерии для оценки специалистов, занимающихся, фактически, довольно творческой деятельностью. Тем не менее, можно выделить несколько плюсов и минусов, характерных для работы практически всех «белых хакеров».

Большую часть недостатков, приведённых в таблице, можно отнести и к фриланс-хакерам, и к штатным работникам компаний, занимающихся вопросами безопасности. Но, почти все они отходят на задний план при наличии отзывов от конкретных компаний, пользующихся услугами проверенных специалистов.