[[slotProps.postItem.title]]
В 2022 году число утечек конфиденциальной информации в России значительно выросло по сравнению с 2021 годом. Основными причинами являются политическая мотивация хакеров, уход производителей систем защиты, проблемы с привлечением к ответственности злоумышленников, действующих из-за границы. На рынке наблюдается рост спроса на инструменты защиты информационных систем, в том числе на защитные продукты российских разработчиков и услуги специалистов по безопасности.
Количество кибератак на государственные и корпоративные ресурсы, относящиеся к критической информационной инфраструктуре, за последние полгода выросло в 1,5 раза в сравнении с аналогичным периодом 2021-го. Под особым ударом находятся стратегические отрасли, такие как энергетика, нефтяной и финансовый секторы, но атакам хакеров подвергаются также ретейл, логистическая и страховая отрасли, государственный и образовательный секторы[1].
Слово «хакер» в привычном понимании вызывает в воображении образ злоумышленника, который ищет все возможные способы украсть, уничтожить или изменить информационные данные компании, вывести из строя отдельные устройства или системы. Индустрия кибербезопасности называет таких хакеров "Black hats" (или «черные шляпы»), но на самом деле они не единственные, скрывающиеся в киберпространстве.
"Grey hats" по собственной инициативе без разрешения компаний взламывают веб-сайты или сети ради интереса и демонстрации своих навыков, получения известности и признания. В большинстве случаев "Grey hats" действительно показывают «узкие места» информационных систем и предоставляют компаниям ценную информацию по повышению их эффективности. Однако руководство компаний редко положительно оценивает такие взломы информационной инфраструктуры, а кибермир не считает такие методы этичными.
"White hats" же используют свои способности для того, чтобы санкционированно взламывать информационные системы организации с целью выявления недостатков безопасности и помощи в защите от «черных шляп». В отличие от хакеров в «черной или серой шляпе», этичные хакеры полностью раскрывают все обнаруженные ими уязвимости компании или владельцу продукта, ответственному за устранение недостатков, чтобы проблемы могли быть решены до того, как ими воспользуются злоумышленники.
Рассмотрим, как компании могут использовать методы "White hats" в качестве инструмента управления своими киберрисками. Организации нанимают «белых шляп» для стресс-тестирования информационных систем, которое проводится методами взлома, используемыми злоумышленниками. Белые хакеры предлагают различные услуги, включающие имитацию проникновения (пентест), тестирование сайтов, внутренних сетей и серверов, баз данных и учетных систем, корпоративных беспроводных сетей.
Внутреннее тестирование на проникновение считается одной из самых сложных услуг на рынке. Результаты работы пентестера могут быть вполне содержательными и полезными для заказчика: в отчеты включаются выявленные риски и уязвимости ИТ-систем, таких как 1C, SAP, WMS, CRM, Jira, внутренних корпоративных мессенджеров и других. Наиболее часто встречающимися уязвимостями являются:
- Устаревшие, необслуживаемые вендорами программы и системы, которые не обновляются и, соответственно, не защищаются должным образом.
- Частная смена паролей (например, раз в три месяца) – чаще всего сотрудники не придумывают каждый раз уникальные сложные пароли с разными символами, а используют однотипные, например, содержащие только разные названия месяцев и похожие комбинации цифр.
- Папки общего доступа со старыми или неразобранными файлами, в которых можно найти пароли пользователей и сервисные учетные записи, также в них есть возможность поставить «ловушку»-ярлык и собирать данные учетных записей зашедших пользователей.
- Настройки антивирусов и избыточные исключения, позволяющие злоумышленникам создавать специальные файлы и папки в расположениях, на которые не распространяются действия антивируса.
В своей работе белые хакеры используют следующие инструменты:
- Сканирование безопасности: проводится на начальных этапах тестирования на проникновение. Этичные хакеры используют различные инструменты для автоматизации процесса поиска известных уязвимостей, которые могут включать веб-приложения, такие как Acunetix или Netsparker. Сканирование на уязвимости делится на два вида:
· WhiteBox (Белый ящик): сканер запускается внутри исследуемой сети без необходимости «угадывания» типа сервиса или ОС. Преимущество метода состоит в полном и комплексном подходе к исследованию, но при этом он менее приближен к реальной жизни и настоящей атаке злоумышленника;
· BlackBox (Черный ящик): сканер запускается извне корпоративной сети с помощью веб-приложений, которым необходимо провести анализ открытых портов, определить службы и сервисы и на основании полученной информации выявить уязвимости. Такой вариант уже более приближен к настоящему взлому, так как в качестве входящих данных у сканера есть только IP или доменное имя для проверки, как у настоящего злоумышленника.
- Имитация DoS-атак: этот тип атаки временно нарушает или снижает производительность сетевых ресурсов, делая их недоступными для пользователей;
- Социальная инженерия: использование слабостей человеческой природы и доверие, чтобы обманом заставить сотрудников нарушить протоколы безопасности или выдать конфиденциальную информацию. В этом случае при выявлении уязвимостей тестируются сотрудники компании. Для этого используются такие приемы как массовая рассылка вредоносных писем с просьбой открыть вложение или перейти по ссылке, звонки в техподдержку с просьбой дать полные права доступа или сбросить пароль скомпрометированной учетной записи, звонки ассистентам руководителей с просьбой выдать личную информацию (телефоны, адреса, номера машин). Собственники бизнеса могут просить провести тестирование и в отношении внутренней службы безопасности компании (так называемой Blue team): насколько бдительно сотрудники отслеживают текущие угрозы, как быстро реагируют.
Такой комплекс мероприятий позволяет сократить время простоя и восстановления бизнеса в случае реального взлома и утечки или уничтожения данных. Бизнесу важно убедиться, что он принимает достаточные превентивные меры, устанавливая качественную защиту от вредоносных программ, использует инструменты для удаления шпионских программ, а также продвинутые технологии шифрования данных.
Помимо частных заказов, существуют целые площадки (как «песочницы» для обучения, так и настоящие задания), предусматривающие программу финансовой мотивации и неденежных поощрений для поиска уязвимостей белыми хакерами – Bug Bounty. Такие задания объявляют разработчики приложений и сетевых платформ, чтобы обнаружить проблемы в безопасности своих продуктов.
Bug Bounty бывают трех типов:
1. Внутренняя, где найти и устранить уязвимости могут сотрудники компании;
2. Закрытая, в которой участвуют определенные приглашенные люди;
3. Открытая, где принять участие могут все пользователи.
Министерство цифрового развития, связи и коммуникаций РФ до конца 2022 года планирует провести программу Bug Bounty для портала Госуслуг, чтобы найти ошибки в системах сервиса, и за каждое обнаруженное «слабое место» государство выплатит белым хакерам вознаграждение[2].
Что касается юридических аспектов, то в российском законодательстве действия этичных хакеров и Bug Bounty никак не определены и могут быть расценены как «неправомерный доступ к компьютерной информации» и попасть под действие статьи 272 Уголовного кодекса РФ. В настоящее время Минцифры прорабатывает возможность ввести понятие Bug Bounty в правовое поле и легитимизацию рынка таких услуг. Это необходимо, потому что российские компании все активнее начинают использовать эти инструменты для управления рисками информационной безопасности. Так сейчас есть две программы Bug Bounty от «Азбуки вкуса» и Positive Technologies, а до конца 2022 года планируется вовлечение еще 10–20 партнеров. Программа поиска уязвимостей есть также у «СКБ Контур» и Bi.Zone. Легализация в правовом поле позволит распространить такие программы и на государственный сектор и объекты критической информационной инфраструктуры. Инициатива, с которой выступило Минцифры, должна стать одним из стандартов оценки реальной защищенности организаций как коммерческих, так и государственных, что может дать хороший толчок для развития информационной безопасности и белых хакерских инициатив в России[3].
Таким образом, привлечение белых хакеров действительно является эффективным инструментом в борьбе с киберрисками, учитывая поддержку со стороны государства. При этом ущерб, который может понести компания в случае реализации киберугроз, как правило, намного превышает затраты на услуги этичных хакеров.
[1] https://www.comnews.ru/content/221855/2022-08-24/2022-w34/prichinit-vzlom-chislo-kiberatak-biznes-i-gosorgany-vyroslo-do-semi-raz
[2] https://www.securitylab.ru/news/534248.php
[3] https://www.vedomosti.ru/technology/articles/2022/07/17/931742-mintsifri-belih-hakerov
Автор: Дарья Бочарова
