Почему полезно время от времени взламывать свою корпоративную сеть

Практика «белого» хакерства получила широкое распространение в среде крупных технологических и медиа-компаний, в том числе и в России. «Белым» хакерам выплачивают солидные гонорары за поиск уязвимостей информационных систем. Контролируемый взлом собственной корпоративной сети может быть полезным инструментом для построения эффективной системы кибербезопасности, для обнаружения багов, эксплойтов после обновлений, при переходе с физического на облачный хостинг и для упреждающей защиты.

Когда компания взламывает собственную сеть, у нее появляется шанс оказаться на шаг впереди «плохих парней». В данном случае используют те же самые техники, что и киберпреступники, для тестирования и построения защиты информационных систем предприятия.

Взломы корпоративных систем и утечки данных обходятся компаниям по всему миру все дороже. За 5 лет этот показатель вырос на 12 %, в 2019 году каждый сбой в системе, вызванный хакерской атакой или человеческой ошибкой, обходится бизнесу в среднем в 3,92 миллионов долларов. Сильнее других страдают организации из индустрии здравоохранения.

Group 5

Суммарная средняя стоимость сбоя системы в мирев миллионах USD

⠀⠀⠀

Три причины, чем может быть полезен хакер в компании

В деле построения информационной защиты компании необходимо постоянно держать в уме две базовые вещи:

  1. Ни один инструмент или технология не дают стопроцентной защиты от хакерских атак и кражи данных. Это как с прививкой от гриппа, которая готовит организм к сопротивлению нескольким самым распространенным штаммам вируса. Никакой гарантии, что вы не подцепите заразу, не существует.
  2. Корпоративная сеть может быть взломана в любой момент. Особенно, если компания использует консервативную защиту по периметру, ставя физические перегородки на каждый значимый узел.

В этом материале можно узнать, как улучшить информационную защиту систем методом микросегментации сети.

Есть способы свести к минимуму ущерб от потенциальных кибератак. Иногда самыми эффективными являются радикальные и нестандартные решения. Метод «взломай себя первым» (Hack Yourself First) только на первый взгляд звучит несколько дико, в реальности он давно уже стал стандартной практикой информационной безопасности. Приведем три причины, почему вам могут понадобиться услуги по тестированию на проникновение.

1. Обнаружить уязвимость в информационной защите компании, прежде чем это сделают другие

Многие известные компании (Google, Facebook, Twitter, Microsoft, «Яндекс» и Mail.ru в России) платят деньги за то, чтобы их контролируемо взломали, привлекая к поиску багов в том числе бывших «черных» хакеров. Технологические гиганты, по оценкам экспертов, тратят на это порядка 200 тысяч долларов ежедневно.

Цель подобного «белого» хакерства проста — выявить уязвимости в системе до того, как киберпреступники смогут ими воспользоваться. Здесь важна оперативность и передача отчета и методологии напрямую заказчику, поэтому принципиально важно привлекать проверенных тестировщиков.

Нередко можно наблюдать публичные эксперименты по проверке систем на уязвимость. В 2017 году ВВС США устроили для хакеров со всего мира челлендж по взлому их серверов. Недавно в России хакерам предложили взломать систему электронного голосования на выборах в Мосгордуму, находящуюся в стадии тестирования, за вознаграждение. По некоторым сведениям, французский криптограф успешно справился с задачей, восстановив все зашифрованные ключи.

Алгоритм работы наемных «взломщиков» обычно таков: они находят возможные ошибки в работе программ и приложений, затем тестируют инфраструктуру на предмет того, как эти уязвимости могут быть использованы против компании, выдают подробный отчет.

При этом доступны два сценария:

  • можно ограничиться тем, что хакер сделает описание уязвимостей, конфигурации и кода внутренней структуры слабого узла системы;
  • можно имитировать реальную хакерскую атаку на приложение, чтобы оценить, как оно будет функционировать в «боевых условиях».

При реализации второго сценария важно настроить условия теста проникновения так, чтобы взлом не оказал деструктивных последствий на работу всей системы.

2. Традиционные варианты ответов на киберугрозы устарели

Неоднократно говорилось о том, что средства взлома информационных систем и ИТ-инфраструктуры эволюционируют быстрее, чем средства их защиты, поскольку почти все решения по ИБ оптимизируются не на упреждение, а в ответ.

Если атака на корпоративную сеть компании намеренна, а не просто кто-то на всякий случай решил проверить, точно ли закрыты все «форточки», физические перегородки, антивирусы, файервол могут лишь на некоторое время отсрочить взлом и кражу данных.

3. Сделать систему ИБ компании более гибкой

Очевидно, что многое зависит от того, насколько ваша компания и ваш бренд чувствительны к рискам сбоя в работе информационных систем. Если чувствительность повышена, новые угрозы будут возникать практически ежедневно.

Это не значит, что вам нужно взламывать свою корпоративную сеть на постоянной основе, жертвуя ее производительностью. Но в целом self-hacking — полезный инструмент для проверки безопасности серверов и приложений, который подходит любой компании, вне зависимости от размера и сферы деятельности.

Существует несколько десятков способов проникнуть в корпоративную сеть и выкрасть конфиденциальные данные. Недавно специалисты IBM описали еще один, относительно новый, вариант проникновения — Warshipping. Суть этого метода в том, что в компанию доставляется посылка с устройством, подключенным через IoT-модем. Оно собирает данные, ключи безопасности, хэши, которые потом можно взломать уже на стационарной аппаратуре.

⠀⠀⠀

Как нанять хакера в компанию, и какие есть риски

Для того чтобы провести серию тестов на проникновение в корпоративную сеть, вам придется нанять в команду хакера на постоянной или временной основе. Считается, что хакерству научиться нельзя, хотя сегодня есть масса открытых ресурсов, чтобы прокачать свои умения взламывать чужие системы. Придется искать тех, кто уже имеет подобный опыт и перешел на «светлую сторону силы».

Для подбора кандидатуры существует две наиболее известные платформы, объединяющие тысячи специалистов по ИБ из разных стран — HackerOne и Bugcrowd. Есть специальная программа для поиска уязвимостей за вознаграждение — Bug Bounty, через которую можно объявлять официальные конкурсы на обнаружение багов и тестинг. Еще один вариант — внимательно присмотреться к сотрудникам вашего ИТ-отдела. Вполне возможно, что кто-то из них имеет необходимый опыт и навыки.

Здесь можно посмотреть список полезных ресурсов для самостоятельной практики этичного хакинга, которые помогут идентифицировать и устранять уязвимости, изучать и тестировать распространенные атаки на приложения.

В вопросе найма хакера для поиска уязвимостей корпоративной сети есть свои плюсы и минусы. Для удобства мы свели их в таблицу.

Шаблон таблицы (1)

Намеренный взлом собственной системы на регулярной основе или, по крайней мере, после каждого серьезного обновления может сэкономить кучу времени, нервов и средств, которых вы рискуете лишиться в результате выявления преступниками слабых мест вашей сети, о которых вы даже не подозревали.

Это могут быть недостатки используемых операционных систем, проблемы с несовместимостью, уязвимости в коде приложений или даже низкая грамотность сотрудников по части безопасности. «Белый» хакер укажет на существующие бреши в защите и снизит риск вероятного взлома.