Как этичный хакинг поможет вовремя найти уязвимости в корпоративной сети
Построить сеть, которая работает без сбоев — это полдела. Важно настроить все так, чтобы внутрь не проник посторонний. Кроме того, иногда необходимо соблюдать стандарты безопасности, которые подразумевают устойчивость к атакам. Например, это требует один из пунктов стандарта PCI DSS, причем подтверждать соответствие требованиям нужно каждый год.
Один из хороших способов проверить надежность — воспользоваться этичным хакингом. Его суть проста — специалисты по компьютерной безопасности исследуют корпоративную сеть на предмет слабых мест в элементах сетевой инфраструктуры хакерскими способами.
Как возник этичный хакинг
Этичные хакеры — это полноценное коммьюнити, с традициями и сленгом. Так, представители этих «сил добра» называют сами себя «White Hat», а традиционных хакеров, соответственно, «Black Hat». Движение зародилось в США в 1980-х. Именно тогда хакеров начали привлекать вооруженные силы страны для тестирования ИТ-инфраструктур своих объектов. Эта традиция сохранилась и до наших дней. Так, Министерство обороны США до недавнего времени проводило конкурс с говорящим названием «Hack the Pentagon».
Многие крупные ИТ-компании сегодня поощряют этичных хакеров деньгами за уязвимости, найденные, например, с помощью программ Bug Bounty. На сайтах некоторых компаний существуют отдельные разделы с конкретным перечислением сумм денежного вознаграждения, которые зависят от степени критичности найденной уязвимости. Свои программы есть у Google, Facebook, Microsoft и многих других. Все эти корпорации хорошо понимают, что кроме финансового вознаграждения для людей очень важно и нематериальное признание. Поэтому в качестве дополнения к деньгами они часто присылают этичным хакерам разные сувениры. Facebook, к примеру, дарила лимитированную банковскую карту в специальном дизайне, на которую и начислялись деньги. Первой же эту практику в 90-х ввела Netscape Communications Corporation, разработчик одноименного браузера. Опыт оказался настолько успешным, что очень скоро его переняли и другие компании.
Как и у любого сообщества, у этичных хакеров есть информационные ресурсы. Два популярных — hackerone и bugcrowd. Что касается мотивации специалистов посвящать себя этичному хакерству, оно довольно простое. Это прибыльное занятие. Средний месячный доход востребованного легального хакера может исчисляться десятками тысяч долларов в месяц.
Не опасен ли этичный хакинг
Гораздо опаснее не закрыть вовремя критические уязвимости. Реалии таковы, что если система защищена недостаточно, ее взлом — вопрос времени. Это можно сравнить с поддержанием «боевой готовности» — вещь, которой нужно заниматься на постоянной основе, чтобы предотвратить серьезные неприятности в будущем.
IBM оценивает средний ущерб от утечек данных в 2020 году более чем в $3,86 млн долл. Причина половины из них — хакерские атаки.
Как работают этичные хакеры
Они пользуются теми же инструментами, что и настоящие взломщики. Это, к примеру, универсальные автоматизированные сканеры уязвимостей в приложениях, сетях и операционных системах (Nessus, Burp Site), ручной поиск уязвимостей с помощью адресной строки браузера и другое.
Распространенные уязвимости, на которые могут указать этичные хакеры, сэкономив таким образом деньги, нервы и время:
- возможность работы сотрудников с информацией, не соответствующей уровню доступа;
- несанкционированное повышение сотрудниками своих прав доступа;
- возможность для обхода защиты локальной сети и проникновения в нее извне и многое другое.
Результат такого пробного взлома — подробный отчет, где этичные хакеры рассказывают о найденных уязвимостях, критичности, а также советуют, что сделать для исправления ситуации.
Пентест
Отдельный вид этичного хакинга — тест на проникновение или пентест. Он настолько востребован бизнесом, что давно сформированы стандарты по применению. Существует 5 основных методик, которые регулируют конкретные действия во время теста, свойства сетей, которые будут изучаться и форма составления финального отчета с рекомендациями. Если тест на проникновение проведен по этим стандартам, это значит, что он будет качественным, а отчет будет состоять из конкретных фактов. Существует три основных вида пентеста.
Black Box
В этом случае имитируется атака от злоумышленника, который изначально не имеет доступа к сети компании и ничего не знает об устройстве ее ИТ-инфраструктуры.
Gray Box
Здесь атака ведется от лица хакера, который уже что-то знает о корпоративной сети. Глубину этих знаний вы определяете сами. Возможно, это бывший сотрудник, клиент или пользователи гостевой беспроводной сети.
White Box
В этом случае у злоумышленника есть полный доступ к инфраструктуре и права администратора.
Самой популярной схемой является Black Box, так как она ближе всего к реальной атаке.
Специалисты по ИБ компании ITGLOBAL.COM провели уже не один десяток пентестов для российских и зарубежных компаний. Еще раз повторим, что при пентесте на самом деле сеть и информационные системы не взламываются, выявляется лишь потенциальная возможность взлома. Мы составляем подробный отчет о найденных уязвимостях, и даем рекомендации по тому, как их можно оперативно закрыть.