Колонки

Ломать – не строить: краш-тест как бизнес-идея

Колонки
Алексей Качалин
Алексей Качалин

Руководитель Expert Security Center, Positive Technologies

Алексей Качалин

Алексей Качалин, руководитель Expert Security Center (Positive Technologies) и член оргкомитета форума Positive Hack Days, рассказывает, кто и как проводит краш-тесты в ИТ-индустрии и имеет ли право на жизнь такая бизнес-идея.

Ломать – не строить: краш-тест как бизнес-идея

Сегодня краш-тесты стали практически неотъемлемой частью создания любого продукта. Производители постоянно работают над улучшением качества товара, будь то мобильный телефон или модель автомобиля. Некоторые компании проводят даже краш-тесты бизнеса как такового.

ИТ-сфера не осталась в стороне: каждая новая разработка проходит проверку на наличие уязвимостей, что можно отнести к тестированию нефункциональных компонентов информационных систем.


Какие бывают краш-тесты?

Продолжая говорить о проверке новшеств в сфере ИТ, все краш-тесты условно можно разделить на два больших класса: анализ безопасности информационной системы в целом и анализ безопасности конкретных приложений.

В первом случае необходимо проверить компоненты сетевой серверной инфраструктуры на наличие уязвимых версий ПО, операционных систем, выявить ошибки конфигурации (слабые пароли, настройки по умолчанию и т.п.).

Во втором случае детально анализируется отдельное приложение или комплекс приложений, выявляются недочеты, допущенные разработчиком на этапах проектирования и программирования приложения.


Атака с разных флангов: как это происходит

В зависимости от условий проведения исследования, «атакующему» о системе может быть известно почти все вплоть до доступа к исходным кодам (это так называемый «белый ящик»), либо он может работать «вслепую» («черный ящик»). Это два наиболее популярных сегодня подхода к выполнению работ по тестированию на проникновение.

Атакующий, как правило, – это специально приглашенный хакер, действует поэтапно. Сначала собирается информация о сервисах и компонентах, к которым возможен доступ, выявляются уязвимости. После успешной эксплуатации уязвимости атакующий может извлечь выгоду сразу или попробовать развить атаку: то есть, используя новые возможности доступа, повторно провести разведку. И так далее, пока не будет достигнута конечная цель.

Если рассматривать этот процесс на примере веб-сайта, атака будет выглядеть следующим образом: хакер обнаруживает уязвимость в web-приложении, получает возможность загрузки и выполнения на сайте своего web-приложения (web-shell).

Далее – через web-shell  можно получить доступ к операционной системе, на которой выполняется web-приложение, а следовательно – воздействовать на другие приложения в обход средств защиты. Так, если web-сервис предоставляет возможность оплаты какого-то товара (а это весьма распространенная сегодня функция), то злоумышленник может исказить платежные реквизиты в свою пользу (подменив данные получателя платежа) или использовать личные данные иным способом, с выгодой для себя.

Цель crush-теста – выявить подобные возможности на различных этапах и дать рекомендации по их устранению.  

Важным в этом случае является не только защита того, что лежит «на поверхности». Современные темпы разработки приложений и выявления уязвимостей таковы, что не позволяют исключить «пробив» первых защитных мер, а значит надо обеспечить максимальную многоуровневую безопасность web-приложения.


Хакерские конференции

Сообщество специалистов в области информационных технологий с начала 2000-х годов активно развивается – и уже наработало внушительный арсенал методик, которые помогают повысить уровень защищенности.

Кроме того, каждый серьезный специалист по практической безопасности постоянно повышает свой уровень, получает новые знания.

Существенную роль в развитии информационной безопасности играют «хакерские конференции» − мероприятия, организованные хакерами и для хакеров, которые дают возможность представить для обсуждения свои идеи, раскрыть детали исследований, обменяться опытом.

Также важным аспектом работы является аналитика: после анализа требуется обобщить полученную информацию, выявить, интерпретировать и устранить проблемы.


Что у нас тут?

В России исследованиями защищенности занимаются несколько типов компаний: специализированные организации, подразделения системных интеграторов и консалтеров, исследовательские коллективы в рамках вузов и НИИ. ​

Специализированные компании ориентированы на проведение анализа с последующим воплощением экспертных знаний в продукты. Интеграторские подразделения помогают выявить проблемы систем для повышения эффективности их проектирования и развития. А исследовательские группы используют работы по анализу ИБ для проверки и углубленного развития инструментов и методик (как правило) в достаточно узкой области, но зато в ней они могут занимать лидирующее место как в России, так и в мире.

Несмотря на кризис, рынок исследований интернет-безопасности продолжает активно развиваться.

Значительная часть бизнес-процессов переносится в область IТ, что повышает риски, связанные, в первую очередь, с информационной безопасностью. Следовательно, компании стремятся проводить больше исследований и выбирать наиболее оптимальные и эффективные средства защиты. Это оправдано и экономически: простой или нарушение в процессе может повлечь убытки в сотни раз превосходящие расходы на работы, вплоть до потери бизнеса, например, в случае утечки клиентской базы или кражи средств.

Сфера информационной безопасности также нуждается в законодательном регулировании. Как и в других странах, в России государство уделяет внимание формированию требований, определяющих «минимальный уровень безопасности». Раньше мощным фактором развития отрасли интернет-безопасности были нормативно-правовые акты о персональных данных.

Сейчас на первый план выходят постановления о системе обнаружения и предотвращения компьютерных атак (ГосСОПКА), необходимые условия по предоставлению безопасности критически-важным объектам и инфраструктурам, а также различные ведомственные указания по обеспечению ИБ.

Во всех этих документах регламентированы работы по выявлению и анализу уязвимостей.


Перспективные области для краш-тестов

К ключевыми отраслям, весь бизнес которых «завязан» на IT-сфере, можно отнести телеком-операторов и банки. Помимо коммерческих организаций, услуги востребованы и в госсекторе. Здесь ставки выше, и в качестве атакующего могут быть рассмотрены группы, имеющие возможность проводить целенаправленные атаки.

На практике онлайн-нападения могут готовиться от нескольких месяцев до года. Результатом такой скрупулезной работы атакующего становится возможность долгосрочного присутствия в захваченной системе (иногда более года) с возможностью беспрепятственного «съема» информации и выполнения других деструктивных действий.

Технологическое развитие работ по анализу уязвимостей инфраструктур и приложений тесно связано с задачами мониторинга информационной безопасности и расследования инцидентов. Совместное развитие двух этих направлений − вот следующая big thing в области ИБ.


Материалы по теме:

США считают, что русские хакеры взломали сеть штаба Демократической партии

Нужно ли заклеивать вебкамеры на ноутбуках?

Израильские хакеры за $20 млн прослушают любой телефон в мире

8 российских стартапов из области интернет-безопасности

7 экспертов по паролям рассказывают, как обеспечить свою безопасность в Сети

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Актуальные материалы —
в Telegram-канале @Rusbase

Комментарии

ВОЗМОЖНОСТИ

17 октября 2019

DataAudit

23 октября 2019

Speed Dating InsurTech

25 октября 2019

Hack.Moscow

ВОЗМОЖНОСТИ

17 октября 2019

DataAudit

23 октября 2019

Speed Dating InsurTech

25 октября 2019

Hack.Moscow

ПРОГРАММЫ И КУРСЫ

21 октября — 9 декабря 2019

Управление проектами

21 — 22 октября 2019

NIFI: Кластер Apache NiFi

22 октября 2019 — 22 января 2020

iOS разработчик с нуля до junior