Алексей Качалин

Ломать – не строить: краш-тест как бизнес-идея

Алексей Качалин, руководитель Expert Security Center (Positive Technologies) и член оргкомитета форума Positive Hack Days, рассказывает, кто и как проводит краш-тесты в ИТ-индустрии и имеет ли право на жизнь такая бизнес-идея.


Сегодня краш-тесты стали практически неотъемлемой частью создания любого продукта. Производители постоянно работают над улучшением качества товара, будь то мобильный телефон или модель автомобиля. Некоторые компании проводят даже краш-тесты бизнеса как такового.

ИТ-сфера не осталась в стороне: каждая новая разработка проходит проверку на наличие уязвимостей, что можно отнести к тестированию нефункциональных компонентов информационных систем.


Какие бывают краш-тесты?

Продолжая говорить о проверке новшеств в сфере ИТ, все краш-тесты условно можно разделить на два больших класса: анализ безопасности информационной системы в целом и анализ безопасности конкретных приложений.

В первом случае необходимо проверить компоненты сетевой серверной инфраструктуры на наличие уязвимых версий ПО, операционных систем, выявить ошибки конфигурации (слабые пароли, настройки по умолчанию и т.п.).

Во втором случае детально анализируется отдельное приложение или комплекс приложений, выявляются недочеты, допущенные разработчиком на этапах проектирования и программирования приложения.


Атака с разных флангов: как это происходит

В зависимости от условий проведения исследования, «атакующему» о системе может быть известно почти все вплоть до доступа к исходным кодам (это так называемый «белый ящик»), либо он может работать «вслепую» («черный ящик»). Это два наиболее популярных сегодня подхода к выполнению работ по тестированию на проникновение.

Атакующий, как правило, – это специально приглашенный хакер, действует поэтапно. Сначала собирается информация о сервисах и компонентах, к которым возможен доступ, выявляются уязвимости. После успешной эксплуатации уязвимости атакующий может извлечь выгоду сразу или попробовать развить атаку: то есть, используя новые возможности доступа, повторно провести разведку. И так далее, пока не будет достигнута конечная цель.

Если рассматривать этот процесс на примере веб-сайта, атака будет выглядеть следующим образом: хакер обнаруживает уязвимость в web-приложении, получает возможность загрузки и выполнения на сайте своего web-приложения (web-shell).

Далее – через web-shell  можно получить доступ к операционной системе, на которой выполняется web-приложение, а следовательно – воздействовать на другие приложения в обход средств защиты. Так, если web-сервис предоставляет возможность оплаты какого-то товара (а это весьма распространенная сегодня функция), то злоумышленник может исказить платежные реквизиты в свою пользу (подменив данные получателя платежа) или использовать личные данные иным способом, с выгодой для себя.

Цель crush-теста – выявить подобные возможности на различных этапах и дать рекомендации по их устранению.  

Важным в этом случае является не только защита того, что лежит «на поверхности». Современные темпы разработки приложений и выявления уязвимостей таковы, что не позволяют исключить «пробив» первых защитных мер, а значит надо обеспечить максимальную многоуровневую безопасность web-приложения.


Хакерские конференции

Сообщество специалистов в области информационных технологий с начала 2000-х годов активно развивается – и уже наработало внушительный арсенал методик, которые помогают повысить уровень защищенности.

Кроме того, каждый серьезный специалист по практической безопасности постоянно повышает свой уровень, получает новые знания.

Существенную роль в развитии информационной безопасности играют «хакерские конференции» − мероприятия, организованные хакерами и для хакеров, которые дают возможность представить для обсуждения свои идеи, раскрыть детали исследований, обменяться опытом.

Также важным аспектом работы является аналитика: после анализа требуется обобщить полученную информацию, выявить, интерпретировать и устранить проблемы.


Что у нас тут?

В России исследованиями защищенности занимаются несколько типов компаний: специализированные организации, подразделения системных интеграторов и консалтеров, исследовательские коллективы в рамках вузов и НИИ. ​

Специализированные компании ориентированы на проведение анализа с последующим воплощением экспертных знаний в продукты. Интеграторские подразделения помогают выявить проблемы систем для повышения эффективности их проектирования и развития. А исследовательские группы используют работы по анализу ИБ для проверки и углубленного развития инструментов и методик (как правило) в достаточно узкой области, но зато в ней они могут занимать лидирующее место как в России, так и в мире.

Несмотря на кризис, рынок исследований интернет-безопасности продолжает активно развиваться.

Значительная часть бизнес-процессов переносится в область IТ, что повышает риски, связанные, в первую очередь, с информационной безопасностью. Следовательно, компании стремятся проводить больше исследований и выбирать наиболее оптимальные и эффективные средства защиты. Это оправдано и экономически: простой или нарушение в процессе может повлечь убытки в сотни раз превосходящие расходы на работы, вплоть до потери бизнеса, например, в случае утечки клиентской базы или кражи средств.

Сфера информационной безопасности также нуждается в законодательном регулировании. Как и в других странах, в России государство уделяет внимание формированию требований, определяющих «минимальный уровень безопасности». Раньше мощным фактором развития отрасли интернет-безопасности были нормативно-правовые акты о персональных данных.

Сейчас на первый план выходят постановления о системе обнаружения и предотвращения компьютерных атак (ГосСОПКА), необходимые условия по предоставлению безопасности критически-важным объектам и инфраструктурам, а также различные ведомственные указания по обеспечению ИБ.

Во всех этих документах регламентированы работы по выявлению и анализу уязвимостей.


Перспективные области для краш-тестов

К ключевыми отраслям, весь бизнес которых «завязан» на IT-сфере, можно отнести телеком-операторов и банки. Помимо коммерческих организаций, услуги востребованы и в госсекторе. Здесь ставки выше, и в качестве атакующего могут быть рассмотрены группы, имеющие возможность проводить целенаправленные атаки.

На практике онлайн-нападения могут готовиться от нескольких месяцев до года. Результатом такой скрупулезной работы атакующего становится возможность долгосрочного присутствия в захваченной системе (иногда более года) с возможностью беспрепятственного «съема» информации и выполнения других деструктивных действий.

Технологическое развитие работ по анализу уязвимостей инфраструктур и приложений тесно связано с задачами мониторинга информационной безопасности и расследования инцидентов. Совместное развитие двух этих направлений − вот следующая big thing в области ИБ.


Материалы по теме:

США считают, что русские хакеры взломали сеть штаба Демократической партии

Нужно ли заклеивать вебкамеры на ноутбуках?

Израильские хакеры за $20 млн прослушают любой телефон в мире

8 российских стартапов из области интернет-безопасности

7 экспертов по паролям рассказывают, как обеспечить свою безопасность в Сети


comments powered by Disqus

Подпишитесь на рассылку RUSBASE

Мы будем вам писать только тогда, когда это действительно очень важно