В условиях нарастающих рисков кибератак каждому бизнесмену необходимо позаботиться о защите от хакеров и определить, какие инструменты защиты ему нужны на разных этапах развития компании. Александр Герасимов, CISO Awillix, рассказал об уровнях информационной защищенности. Как правило, эксперты выделяют пять таких уровней.
Начальный уровень
На этом уровне защищенности расположились компании, чьи сервисы может атаковать любой студент-безопасник, используя при этом статьи на форумах или видео на YouTube.
Именно на начальном уровне увеличивается вероятность попадания под автоматизированную атаку — злоумышленники просто сканируют сеть и, обнаружив дыру в безопасности, эксплуатируют ее. Но решение для защиты на этом этапе есть — статический анализ кода и использование сканеров. Это поможет автоматически обнаружить и устранить баги сайта до публичного релиза и обезопасит от автоматических атак.
Низкий и средний уровень
Более опытные киберпреступники могут выявить уязвимое место на сайте, посылая в него разнообразные запросы и изучая реакцию системы. В данном случае они будут использовать несколько методик для обхода защитных механизмов и инструменты, специально разработанные для проникновения, потому использование сканеров вам уже не поможет.
Инструменты защиты, которые следует применять в этом случае:
- анализ защищенности;
- ручное тестирование;
- anti-DDoS решения;
- доступные фаерволы.
Они позволяют найти всевозможные уязвимости ИТ-инфраструктуры: технические, логические и все те, что могут привести к мошенническим операциям или отказу обслуживания.
Цель анализа на этом уровне — выявить все возможные риски, приоритизировать их и устранить. Это обезопасит ваш бизнес от целенаправленных атак злоумышленников, не обладающих внушительными ресурсами и временем для взлома вашей системы.
Существенный и высокий уровень
А вот если у вас настроен существенный уровень защиты, то, скорее всего, большая часть злоумышленников откажется тратить время на взлом вашей компании. Но это не отменяет риска, что к атаке могут подключиться настоящие профессионалы и целые группы хакеров.
Для того чтобы преодолеть существенный уровень, злоумышленники могут потратить месяцы и годы, совершенствуя инструменты и методы проникновения после каждой попытки. И кстати, на этом этапе речь не идет об одиночной атаке.
Если же злоумышленнику после очередной атаки удастся получить права минимального уровня внутри вашей инфраструктуры, то он сможет пройти аутентификацию под легитимным пользователем. Это открывает возможность переиспользовать полученные данные для доступа к адресам, которые ему открыты, и повысить уровень собственных привилегий внутри системы. Шаг за шагом хакер, по итогу, доберется до прав администратора домена на одной из машин внутренней сети и захватит управление всей инфраструктурой.
На высшем уровне защиты хакеру придется инвестировать собственные активы, придумывать инновационные методы проникновения, подкупать сотрудников компании.
Для того чтобы защититься от злоумышленников с таким уровнем подготовки, необходимо: выстроить правила предоставления и отзыва доступа для каждого сотрудника, внедрить порядок мониторинга подозрительных активностей и реагирования на инциденты и многое другое.
Чем анализ защищенности отличается от теста на проникновение
Когда анализ защищенности уже проведен, необходимые практики защиты внедрены, и даже сформирован внутренний отдел ИБ, бесспорно возникает вопрос: «А какие слабые места, через которые можно проникнуть внутрь инфраструктуры, еще существуют?»
Цель анализа защищенности — выявить как можно больше брешей во всей инфраструктуре компании (сайтах, приложениях, сервисах). По его завершении вы получите список рекомендаций о действиях, необходимых для повышения уровня защищенности.
Пентест — это самый популярный метод проверки защиты, являющийся имитацией действий хакеров с целью достижения критичных для компании последствий. Его цель — получить доступ к чувствительным данным: взломать сайт, попасть в аккаунт сотрудника и так далее, пока не получишь доступ к базе данных.
Часто бизнес не всегда понимает, что ему требуется — анализ защищенности или пентест. В такой ситуации можно полагаться на одно простое правило: пентест нужен тогда, когда все процессы и меры для построения защиты уже выполнены.
Тотальная безопасность — миф или реальность?
Фантазия хакеров, как и любых других людей, бесконечна, а потому предусмотреть все возможные варианты атак и продумать план защиты от них невозможно даже в теории.
Когда продуктовые компании достигают высшего уровня защищенности, то вступают в Bug Bounty — программу, награждающую хакеров за нахождение сложных эксплойтов и уязвимостей. В ней участвуют Google, Facebook, Apple, Yahoo!, Reddit, Square, Microsoft и множество других известных брендов, дающих разрешение атаковать себя всему миру. Решение вступить в эту программу можно приравнять к непрекращающемуся пентесту мирового масштаба, стремлению приблизиться к идеалу.