Эксперты группы ЛАНИТ рассказали, как бороться с кибератаками

В настоящее время большая часть современных бизнес-процессов находится в интернет-пространстве, что связано с повышенными рисками информационной безопасности. Только за 2022 год в 10 раз увеличилось число кибератак на компании из различных сфер. Работа пентестеров направлена на то, чтобы научить компании предотвращать и отражать подобные атаки.

Николай Фокин, директор Центра информационной безопасности компании “ЛАНИТ-Интеграция” отметил, что решение проблемы информационной безопасности должно начинаться с ее аудита, в котором ключевую роль играет пентест. Это услуга, позволяющая отследить недостатки в организации безопасности заказчика и выделить компоненты, наиболее нуждающиеся в защите. Эксперт утверждает, что для компании, которая ранее не подвергалась кибератакам, пентест является единственным эффективным способом оценки надежности защиты информации.

Пентест  представляет собой имитацию реальной кибератаки или действий хакера, стремящегося получить доступ к информации или к эксплуатации информсистем. Пентесты делятся на внутренние и внешние. В первом случае специалисты компании-исполнителя работают в инфраструктуре заказчика и, например, совершают попытки повысить права пользователя. Во втором случае тестовая кибератака по инфраструктуре заказчика наносится извне.

По подходу к тестированию выделяется три типа пентестов: “черный”, “серый” и “белый” ящики. Данные методы отличаются объемом информации, который компания предоставляет пентестерами для оценки уровня безопасности.

По словам Мурада Мустафаева, руководителя службы информационной безопасности компании “Онланта”, услуги пентеста пользуются спросом среди представителей госсектора: правительственных организаций, муниципалитетов, федеральных служб. Для тестирования защищенности информационных систем госструктуры чаще всего используют сценарий “серого ящика”. В этом подходе один из методов пентеста предполагает поиск сотрудников организации в соцсетях, проведение брутфорс-атаки и использование социальной инженерии. Эксперт обратил внимание на то, что в 85% случаев основной причиной взломов становится человеческий фактор, а именно, недостаточная осведомленность сотрудников о политике безопасности ИТ-инфраструктуры. “И какими бы современными и дорогостоящими средствами защиты компания не обладала, если человек отдаст свой логин-пароль, то вероятность успешного взлома инфраструктуры велика. Поэтому заказчики, как правило, просят провести работу и обучение по социальной инженерии с сотрудниками организации”, ― рассказал Мурад Мустафаев.

Илья Завьялов, директор департамента по противодействию киберугрозам компании “Информзащита”, сделал акцент на еще одной важной проблеме  — веб-уязвимостях. Эксперт уверен, что первостепенным фактором влияющим на их появление является отсутствие культуры безопасной разработки интернет-сервисов и приложений. Так осуществляя запуск в общий доступ или обновление продукта, специалисты зачастую не обращают должного внимания на проведение аудита, что значительно повышает вероятность утечки исходных кодов и сохраненных паролей.

Еще один способ проникновения во внутреннюю инфраструктуру компании — инсайдерские угрозы. Илья Завьялов объяснил, что частое обращение крупных организаций к сторонним поставщикам услуг дает возможность злоумышленнику использовать их коммуникации для выхода на офис главного заказчика. “Люди стали задумываться, что нужно уделять больше внимания безопасности своих поставщиков. Сейчас много кейсов, когда к нам приходят с запросом провести так называемую supply chain attack (атаку на цепочку поставок)”, ― добавил  Илья Завьялов.

Данные “Информзащиты” демонстрируют, что большая доля уязвимостей в информационных системах российских компаний возникает по причине отсутствия процессов обеспечения безопасности внутренней инфраструктуры. В числе таких процессов —  управление уязвимостями (Vulnerability Management), предполагающее систематическое полное сканирование внутренней инфраструктуры и инвентаризацию ИТ-активов. Сканирование позволяет найти недостатки в настройках службы каталогов Active Directory. Например, если уязвимость существует в сервисе Exchange, который отвечает за доставку почты в домене, то взлом данного сервиса дает злоумышленнику максимальные привилегии, поскольку сервис Exchange имеет права на все учетные записи домена.

На сегодняшний день большинство пентестов проводится в ручном режиме, однако вместе с этим наблюдается рост спроса на внедрение систем непрерывного мониторинга и запуска пентестов, помогающих автоматизировать процесс тестирования. “Спрос на автоматизацию пентестов вызван ростом количества кибератак, а также связанными с этим постоянными изменениями и усложнениями инфраструктуры при одновременной нехватке ИТ-специалистов”, —  подчеркнул Николай Фокин.

В связи со сложившейся ситуацией, на рынок вышел новый класс систем – системы автоматизации пентеста. Самыми распространенными считаются системы BAS (Breach and Attack Simulation) и системы тестирования безопасности (AVS). К подобным решениям относится платформа автоматизированного тестирования на проникновение  PenTera. Благодаря технологиям искусственного интеллекта, платформа способна моделировать мышление и поведение хакера. “Машинные алгоритмы платформы позволяют автоматизированно эмулировать техники и тактики, которые применяют хакеры в реальности. Понятно, что полностью заменить потенциального взломщика системы пентеста пока не могут, потому что у человека есть креативное мышление. Но, что касается скорости охвата инфраструктуры, а также исключения ошибок, связанных с человеческим фактором, ― всё это система обеспечивает”, ― резюмировал Николай Фокин.

Компания “ЛАНИТ-Интеграция” провела успешное внедрение системы в крупном промышленном холдинге, имеющем географически распределенную инфраструктуру на более 20 тысячах сетевых устройств, в том числе системах IoT.