Пентесты: можно ли вас «хакнуть»?

Шокирующая новость для бизнеса – рано или поздно вас попытаются «хакнуть». И дело не только в конкурентах, нацелившихся на новые разработки, и не в злоумышленниках, вознамерившихся заняться шантажом. Любая компания может просто попасть под удар рандомной ковровой бомбардировки, например фишинга. Или вчерашние школьники найдут уязвимость нулевого дня и не упустят случая ею воспользоваться. В конце концов, никто не застрахован от очередного блэкаута, который случился в недалеком 2017 от вирусов семейства Petya.

Вот всего лишь несколько громких примеров утечек информации в США.

Финансовый сектор: Morgan Stanley, Carbanak, Experian и Scottrade потеряли данные примерно 50 миллионов пользователей. Общий урон исчисляется миллиардами. И это при том, что банковская сфера одна из самых защищенных, – всего 5% кибератак оказывается успешными. Подобный хороший показатель, во многом, достигнут благодаря внешним факторам – государственным регуляторам, вынуждающим финансовые учреждения использовать современные средства защиты.

Самый уязвимый сектор – медицинские учреждения: в общей сложности 39% атак достигают цели. И это при том, что ниша здравоохранения содержит наиболее «чувствительную» информацию. Anthem, Inc., Premera Blue Cross, CareFirst BlueCross BlueShield, Beacon Health System, UCLA Health и Excellus BlueCross BlueShield потеряли данные о более чем 110 миллионах пациентах и сотрудниках медицинских центов. Список можно продолжать дальше.

Даже медиагиганты и ИТ-сектор не застрахованы от утечек. Корпорация Sony несколько раз становилась жертвой скандалов, связанных с нарушением периметра информационной безопасности третьими лицами. В эпицентр неприятностей попадали сайты знакомств – Ashley Madison и Adult Friend Finder. И даже один из крупнейших хостингов, известный по всему миру, – GoDaddy, не смог сохранить целостность своей защиты. Атаки онлайн-сервисов оказываются успешными в 31% случаев.

Статистика нефтегазовой отрасли также неутешительна: порядка трети компаний используют устаревшее ПО и системы защиты, которые могут быть легко взломаны «народными умельцами».

У любого руководителя возникает закономерный вопрос: что делать? Как выстроить надежную систему защиты, потратив при этом не все деньги мира? Масло в огонь подливает и Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» (ФЗ-187), обязавший бизнес, владеющий критической инфраструктурой, присоединиться к ГосСОПКЕ. Но как же быстро и безболезненно найти уязвимости системы?

Решить ситуацию поможет так называемый Penetration testing, или сокращенно «pentesting» – тестирование на проникновение. При тестировании специалисты-профессионалы в области кибербезопасности используют те же методы, что и хакеры: атаки, взломы, кража паролей, фишинг, вирусы и социальную инженерию. Их цель – найти уязвимое звено и получить доступ к ИТ-системам.

Отличный результат – неудача пентеста, что свидетельствует о надежности систем защиты. Но, если периметр безопасности удалось вскрыть, собственник бизнеса получает ряд значительных преимуществ.

Первое – уязвимость найдена раньше, чем ее обнаружили хакеры. А значит, есть время на «работу над ошибками».

Второе – выявление приоритетов для инвестирования. Не стоит чинить то, что работает. Гораздо эффективнее и дешевле укреплять уязвимые места.

Третье – «особое мнение». Вы можете доверять вашим айтишникам и использовать самые дорогие программные продукты. Однако это вовсе не гарантирует 100% защиту. Всегда есть шанс, что из фокуса внимания специалистов выпала уязвимость. Результат краш-теста системы безопасности либо подтвердит ее надежность и компетенции специалистов, либо поможет предвосхитить возможные проблемы.

Тестирование на проникновение – один из новых пакетов, которые предлагают компании Softline и «Инфосекьюрити». Несмотря на относительную «молодость» услуги, у нас уже есть несколько примеров пентеста в различных компаниях.

Крупная компания «А» решила проверить на прочность свою систему безопасности. Их бизнес находится в сегменте B2B: продажи товаров реселлерам – интернет-магазинам, которые, подключившись к специальной онлайн-платформе, могут заказать оптовую партию товаров и перепродать на своем ресурсе.

Результатом пентеста оказался полный доступ к базе данных с логинами и паролями всех интернет-магазинов сервиса. А также сведения о денежных средствах, находящихся на балансе партнеров.

Завладев этой информацией, злоумышленники смогли бы закупить техники на миллионы рублей. Или вывести деньги со счетов. И антимошенническая проверка, в данной ситуации, оказалась бы бессильна. Обладая полным доступом, хакер мог переписать контактную информацию реселлера и подтвердить практически любое действие!

Среди наших услуг есть несколько видов тестирования: внешний, внутренний и социотехнический. И именно с первого начинается кейс номер два.

Компания «Б», разработчик программного обеспечения, решила проверить внешнюю линию обороны. Результатом стало проникновение наших специалистов во внутреннюю сеть. Руководство вознамерилось пойти дальше и узнать, как далеко может зайти реальный хакер, и с этого момента началось внутреннее тестирование.

Структура сети заказчика состояла из трех доменов: для разработчиков, для тестеров и основной домен. Однако получить доступ ко всей инфраструктуре можно было из каждого. 

Наши специалисты проанализировали весь серверный сегмент, обнаружили уязвимости, повысили свои права до уровня Администратора и получили доступ к интернет-банку, файловому хранилищу с коммерческой информацией и новым разработкам.

Попади такая информация в руки злоумышленнику – ущерб был бы колоссальным!

В третьем кейсе тестированию подверглась очень крупная компания со штатом в несколько тысяч человек. Внешняя сеть оказалась серьезно защищенной, а найденные небольшие уязвимости не влияли на работу компании и безопасность информации.

Специалисты Softline и «Инфосекьюрити» приступили к внутреннему тестированию и выехали на место, для того чтобы попробовать подключиться к внутренней сети физически, через Wi-Fi или по витой паре.

При анализе было найдено огромное количество уязвимостей на серверных и клиентских сегментах, а также обнаружено отсутствие фильтрации интернет-трафика и передачи данных в локальной сети.

Если бы подобными уязвимостями в защите воспользовались конкуренты, они могли бы легко получить доступ ко всей корреспонденции, документации и критической информации, тем самым полностью остановив и обанкротив международный бизнес.

Чем больше технических и человеческих ресурсов в компании, тем выше шанс утечки данных. Сложная система была, есть и остается скоплением «слепых зон», обнаружить которые не так просто.

Даже «школьник» представляет угрозу. Однако серьезные атаки всегда являются целенаправленным заказом от конкурентов.

Тестирование на проникновение обходится гораздо дешевле, чем убытки от утечки данных и ликвидация последствий.