Эксперты группы ЛАНИТ рассказали, как научить бизнес отражать кибератаки

В современном мире практически все бизнес-процессы перемещены  в интернет-пространство, что значительно увеличивает риски информационной безопасности. Только за этот год количество кибератак на компании из различных сфер выросло в 10 раз. 

Николай Фокин, директор Центра информационной безопасности компании “ЛАНИТ-Интеграция” подчеркнул необходимость проведения аудита безопасности, важным этапом которого является пентест — услуга, дающая возможность обнаружить недостатки в организации безопасности заказчика и обратить внимание на наименее защищенные компоненты инфраструктуры.

Пентест представляет собой процесс моделирования реальной кибератаки или определенных действий злоумышленника, направленных на получение доступа к информации или к управлению информсистемами. Пентест разделяется на два типа: внутренний и внешний. “В процессе тестирования проводится пассивная разведка внешней инфраструктуры заказчика, и через обнаруженные уязвимости нам удается проникнуть во внутреннюю инфраструктуру. Дальше мы уже на площадке заказчика анализируем его внутренние сервисы, всю корпоративную сеть, выявляя различные недостатки”, ― пояснил директор департамента по противодействию киберугрозам компании “Информзащита” Илья Завьялов.

Проведение пентеста может осуществляться в трех подходах: “черный”, “серый” и “белый” ящики. Они различаются количеством информации, которой компания делится с пентестерами для оценки безопасности.

Мурад Мустафаев, руководитель службы информационной безопасности компании “Онланта”, отметил, что сейчас услугой активно пользуются представители госсектора: правительственные организации, муниципалитеты, федеральные службы. Для проверки защищенности своих информационных систем госструктуры чаще выбирают метод “серого ящика”, в рамках которого осуществляется поиск сотрудников организации в соцсетях, проведение брутфорс-атаки и использование социальной инженерии. По словам эксперта, причиной 85% взломов является недостаточная информированность сотрудников о правилах безопасности ИТ-инфраструктуры. “И какими бы современными и дорогостоящими средствами защиты компания не обладала, если человек отдаст свой логин-пароль, то вероятность успешного взлома инфраструктуры велика. Поэтому заказчики, как правило, просят провести работу и обучение по социальной инженерии с сотрудниками организации”, ― добавил Мурад Мустафаев.

Директор департамента по противодействию киберугрозам компании “Информзащита” Илья Завьялов выделил еще одну проблему  — веб-уязвимости, которые являются следствием низкого уровня развития культуры безопасной разработки интернет-сервисов и приложений в некоторых компаниях. Он уточнил, что запуск в общий доступ или обновление продукта  далеко не всегда сопровождаются его аудитом, что в результате может привести к утечке исходных кодов и сохраненных паролей.

Илья Завьялов также сделал акцент на еще одном способе проникновения во внутреннюю инфраструктуру компании — инсайдерские угрозы. Крупные компании, рассказал он, часто пользуются услугами сторонних организаций для установки оборудования, клининга или доставки товаров. “Люди стали задумываться, что нужно уделять больше внимания безопасности своих поставщиков. Сейчас много кейсов, когда к нам приходят с запросом провести так называемую supply chain attack (атаку на цепочку поставок)”, ― говорит  эксперт.

По данным “Информзащиты”, большое количество уязвимостей в информационных системах российских компаний возникает по причине  отсутствия процессов обеспечения безопасности внутренней инфраструктуры. Одним из таких процессов является управление уязвимостями (Vulnerability Management), предполагающее регулярное полное сканирование внутренней инфраструктуры и инвентаризацию ИТ-активов. Глубокое сканирование помогает найти недостатки в настройках службы каталогов Active Directory, доступ к которой дает злоумышленнику  максимальные привилегии.

Список существующих уязвимостей Илья Завьялов дополнил возможностью удаленного выполнения кода за счет сервиса SMB, дающей хакеру доступ к первой учетной записи для проведения кибератаки. Также эксперт выделил проблему слабой парольной политики: “Камеры и принтеры часто не контролируются сотрудниками ИБ. Злоумышленнику достаточно знать стандартный пароль этих устройств, чтобы, получив к ним доступ, найти учетные данные доменных пользователей, с которых можно начать атаку”.

Несмотря на то, что большинство пентестов проводится в ручном режиме, все более востребованным становится внедрение систем непрерывного мониторинга и запуска пентестов для автоматизации процесса тестирования. Николай Фокин считает, что данный тренд связан с ростом количества кибератак, а также с постоянным изменением и усложнением инфраструктуры в условиях дефицита квалифицированных ИТ-специалистов.

Системы автоматизации пентеста BAS (Breach and Attack Simulation) и системы тестирования безопасности (AVS) на сегодняшний день считаются самыми распространенными. В число этих решений входит платформа автоматизированного тестирования на проникновение PenTera, созданная на основе технологий искусственного интеллекта и способная моделировать мышление и поведение хакера. “Машинные алгоритмы платформы позволяют автоматизированно эмулировать техники и тактики, которые применяют хакеры в реальности. Понятно, что полностью заменить потенциального взломщика системы пентеста пока не могут, потому что у человека есть креативное мышление. Но, что касается скорости охвата инфраструктуры, а также исключения ошибок, связанных с человеческим фактором, ― всё это система обеспечивает”, ― рассказал Николай Фокин.

Компания “ЛАНИТ-Интеграция” успешно внедрила систему в крупном промышленном холдинге, имеющем географически распределенную инфраструктуру на более 20 тысячах сетевых устройств, в том числе системах IoT.