Offensive security: откуда берутся пентестеры

Рами Мулейс, менеджер продуктов безопасности Yandex Cloud, рассказал, как специалисты в области информационной безопасности стараются думать и действовать как хакеры, чтобы быстрее находить и устранять бреши.

Чтобы умело отражать растущее число кибератак, сегодня в ход идут не только привычные средства защиты. Всё чаще бизнес и государство выбирают подходы наступательной безопасности — проводят проверку надёжности с помощью атак на свои собственные IT‑системы.

Награда за ошибку

В последнее время одним из самых востребованных инструментов наступательной безопасности становится bug bounty («охота за ошибками»). Организация публично приглашает внешних экспертов в сфере информационной безопасности попробовать найти дыры в своей IT‑системе. Участник, нашедший подтверждённую уязвимость, получает не только денежное вознаграждение, но и публичное признание в профессиональной сфере.

В мире за прошлый год количество программ bug bounty увеличилось на 34%. По оценкам Tadviser, Россию ждёт бурный рост этой ниши. Уже около 40 российских компаний «поохотились» на уязвимости. Среди них — Delivery Club, Ozon, QIWI, Yandex, ПИК, «Азбука вкуса», Avito, «ЮMoney», «Тинькофф», Лаборатория Касперского и другие. Недавно стало известно, что с помощью bug bounty Минцифры будет проверять защищённость самого крупного государственного портала для граждан — сайта Госуслуги.

В основном заказчики bug bounty в России — это крупный бизнес. Всё потому, что сделать такую программу непросто из‑за дороговизны и юридических тонкостей. Во‑первых, компаниям важно иметь ресурсы, чтобы проверить каждую присланную участником программы уязвимость и оценить её риск для бизнеса.

Во‑вторых, правовая база для работы этичных хакеров ещё прорабатывается. Регуляторы недавно начали работать над законопроектом, который позволит ввести понятие «охота за ошибками» в правовое поле, чтобы упростить организацию публичных программ поиска уязвимостей. Это важный шаг, который также будет способствовать росту рынка.

Тест на прочность

Более привычный вариант атаковать систему извне — провести пентест (от penetration test — тест на проникновение). Организация нанимает пентестеров — специалистов, которые будут проводить технический аудит системы организации, играя роль злоумышленников.

Однако результаты пентестов быстро теряют актуальность из‑за кратковременного характера таких проектов. По данным Vulners, в среднем в публичный доступ выходит информация о 77 новых уязвимостях в день.

Если же компании необходима более полная картина об уровне защищённости информационных активов с использованием последних хакерских методик, то существует подход red teaming. Специальная команда этичных хакеров (red team) атакует сеть компании, ищет слабые места в системах и пытается получить нелегальный доступ. Ей противостоит «синяя» команда защитников — специалистов по реагированию на кибератаки. При этом атака и защита идут без жёстких временных ограничений — это формирует у службы безопасности готовность к угрозам в любой момент и развивает необходимый для работы здоровый уровень паранойи. Порой сотрудники компаний могут даже не знать, что такие учения ведутся.

Одна из наиболее частых причин отказа менеджмента от red teaming или bug bounty — это отсутствие доверия людям и экспертам, которые взламывают компании. Возникает вопрос, на который сложно найти ответ: «Как мы можем быть уверенными, что пентестер или участник bug bounty не продаст найденную уязвимость в даркнете?» Доверие — действительно тонкий момент. Оно формируется на основе репутации и подтверждённого опыта специалистов.

Кто круче всех ломает

Всё меньше службы безопасности при найме команд белых хакеров ценят формальные сертификаты и всё больше внимания обращают на достижения и признание в сообществе.

Заработать репутацию и получить легальный опыт взлома киберспециалист может, участвуя в уже упомянутых bug bounty, тренингах или профессиональных хакерских турнирах СTF (от англ. capture the flag — захват флага). Организаторы таких соревнований моделируют IT‑инфраструктуру компании, специально закладывают туда уязвимости, основываясь на реальных инцидентах. Задача участников — найти уязвимости и «сломать» систему. Часто CTF проводят по индустриям: в сфере финансов, энергетики, ретейла, e‑commerce и т. д.

Yandex Cloud помогает организовывать онлайн-соревнования по кибербезопасности, в том числе Bank Security Challenge и СTFZONE. Так, для проведения Bank Security Challenge платформа предоставила собственные облачные ресурсы: более 70000 ГБ пространства HDD-дисков и 400 ГБ SSD-дисков, 3000 виртуальных машин с 6500 vCPU и объёмом RAM более 6000 ГБ. 200 команд (каждая из пяти человек) в игровой форме стремились захватить сетевую инфраструктуру банка. В процессе нужно было взломать зашифрованную базу данных, обмануть голосовую идентификацию и проникнуть в зону обработки транзакций. Победителями стали команды под псевдонимами BlackSec, Bulbahackers и Конструктив. Если вы отвечаете за безопасность в финансовой организации — ищите названия этих команд в резюме специалистов по безопасности, с которыми планируете работать. Они знают, как взламывать банки, — значит, отлично понимают, где искать бреши.

Участие специалистов в подобных соревнованиях говорит о том, что они точно знакомы с актуальными трендами в сфере безопасности, знают свежие методы атак. Кроме того, часто именно из СTF‑команд формируются будущие специалисты для red teaming. Пользу от CTF получают и сами компании, чьи представители наблюдают за ходом соревнований или участвуют в их организации.

Прозрачность как принцип безопасности

Наступательная безопасность обогащает традиционный подход защиты организаций, основанный на принципе сокрытия информации о своих IT‑системах и принципах их работы (Security through obscurity). Полная закрытость приводит к снижению общего уровня безопасности, как минимум потому, что у компании нет внешней, независимой оценки.

По мере усложнения IT‑инфраструктуры и роста используемых сотрудниками сервисов и приложений периметр организации размывается. Это приводит к тому, что раз за разом злоумышленники будут находить всё новые варианты атак и компрометации данных.

Именно поэтому инструменты наступательной безопасности (CTF, bug bounty и т. д.) будут играть всё более важную роль. Кроме того, на этих площадках формируется доверие между бизнесом и хакерским сообществом. Компании смогут повысить свою надёжность через «профилактические» атаки, а молодые люди увидят, что с помощью их навыков можно и нужно заработать легально.

author
Рами Мулейс
Менеджер продуктов безопасности

Напишите нам

Начать пользоваться Yandex Cloud

Безопасность Yandex Cloud

Узнать больше про безопасность платформы

Мероприятия

Календарь событий Yandex Cloud
Offensive security: откуда берутся пентестеры