В 2023 году зафиксировано более 50 000 кибератак на российский бизнес. В мае этого года одна из таких атак остановила работу СДЭК на несколько дней. Про небанальные способы защиты от киберпреступников рассказал Евгений Соболев, директор Practical Security Lab.
Обзор нестандартных методов проверки кибербезопасности
Компании проводят диагностику IT-составляющей бизнеса, чтобы понять уровень защищённости данных. Есть два основных способа:
- аудит документов: политик и процедур;
- тестирование на проникновение — пентест.
Тестирование на проникновение позволяет проверить состояние информационной безопасности компании, выявить уязвимости и недостатки. Самые интересные методы проверить IT-безопасность компании на прочность как раз связаны с тестом на проникновение.
Тестирование делится на внешнее и внутреннее:
- Внутреннее имитирует злоумышленника, действующего внутри компании. Например, внедренного конкурентом инсайдера, обиженного сотрудника перед увольнением или невинного специалиста, чей компьютер заражен вирусом. А также хакера, который преодолел внешний периметр защиты и получил доступ во внутреннюю сеть из интернета.
- Внешнее тестирование имитирует действие хакера, действующего через интернет с целью получить доступ во внутреннюю сеть компании. Сюда включаются и другие типы злоумышленников, действующих с внешней стороны организации. Например, через социальную инженерию, рассылку писем и спам-звонков, изучение WiFi-сетей вокруг офиса или проникающие к вам под видом клиента или партнера со спецоборудованием.
Компания может провести тест своими силами. Тогда взломом занимаются те же специалисты, которые, по сути, строили защиту. Проверка может быть неэффективной: чтобы найти лазейки, нужен незамыленный взгляд.
Ещё компания может обратиться к белым хакерам (пентестерам) — легальным специалистам по взломам. Их нестандартные методы проверки помогают незаметно для сотрудников компании протестировать систему. Чем незаметнее проверка, тем больше шансов получить достоверные результаты.
Взлом центральной компании через представительство
В одном из кейсов нашей команде не удалось проникнуть в сеть компании «в лоб». Но мы нашли уязвимости в защите представительства этой компании в Европе и воспользовались ими для взлома. Европейский офис был связан с московским через VPN. Так мы смогли получить доступ во внутреннюю сеть заказчика и доказали, что внешний злоумышленник может стать внутренним.
Взлом через организационный просчет
С той же компанией — финансовой организацией — мы решили попробовать нетехнический способ взлома. Воспользовались тем, что во время регистрации нового клиента менеджер отлучился из кабинета минуты на три. Этого хватило, чтобы установить аппаратные кейлоггеры на компьютер менеджера и оставить собственный мини-компьютер под столом.
Так мы не только получили доступ к внутренней сети компании, но и стали собирать пароли всех менеджеров и клиентов компании, которые проходили процесс регистрации в переговорке. В итоге получили доступ к нескольким десяткам клиентских аккаунтов с общим балансом более 300 000 000 рублей.
Использование гостевых компьютеров для доступа во внутреннюю сеть
К нам обратился банк, который подозревал утечку данных клиентов: после регистрации новым пользователям приходили сообщения от банков-конкурентов.
После проверок выяснилось, что в зале ожидания банка все желающие могли воспользоваться гостевыми компьютерами. Из-за ошибки конфигурации всем желающим был доступен один из сегментов сети отдела разработки. Там же можно было найти сервер разработчиков и увидеть номера клиентов.
В одном из гостевых компьютеров было обнаружено вредоносное ПО, которое и служило каналом утечки информации.
Трудоустройство подставного сотрудника
К нам обратился один из топ-менеджеров компании с задачей выявить проблемы в зоне ответственности другого департамента и проверить, насколько хорошо защищен главный актив компании — исходный код главного продукта.
Снаружи взломать компанию не получилось, поэтому проникновение провели изнутри. Сначала один из пентестеров пошел наниматься в компанию на одну из открытых вакансий, но служба безопасности его не пропустила. Тогда мы взяли нигде не засвеченную ранее девушку, подготовили ей резюме и отправили на стажерскую позицию. Несколько дней она старательно выполняла свои служебные обязанности, а заодно подмечала некоторые детали. Например, какие стоят антивирусы на компьютерах, что будет, если их отключить.
В итоге «подсадная утка» принесла на флешке на работу программу, отключила антивирус на своем рабочем компьютере, и мы получили доступ к внутренней сети компании. В итоге мы добрались до компьютера главного разработчика и узнали, как украсть исходный код. Нам удалось получить базу клиентов и полный доступ ко всем банковским счетам компании.
Если говорить про стоимость такого тестирования, то она зависит от множества параметров. Например, размера IT-инфраструктуры компании, набора услуг, сложности исследуемых объектов. Вилка цен на рынке варьируется от 700 000 рублей до 10 млн рублей и больше. В среднем — от 1 до 3 млн.
Кто под угрозой и как защититься
В первую очередь кибератакам подвержены финансовые структуры: банки, кредитные учреждения. Этот сектор традиционно привлекает злоумышленников из-за того, что получить финансовую выгоду от взлома здесь проще.
Еще одна сфера интересов хакеров — компании с высоким уровнем цифровизации бизнес-процессов. Злоумышленникам интересны такие компании для требования выкупа после зашифровки компьютеров и остановки работы. Ещё их привлекают нефтяная, логистическая и e-commerce сферы. Также жертвами часто становятся медиа, научные и образовательные институты.
Под угрозы атак попадают не только корпорации, но и небольшие компании, иногда в самых непредсказуемых отраслях. Например, к нам для защиты обратилась компания по установке окон. Конкуренты осуществляли взлом сайта и другие атаки в высокий сезон, чтобы помешать компании набрать больше заказов.
Техники и методы взлома постоянно развиваются, появляются новые уязвимости в ПО. Даже если вчера компания была защищена, то сегодня из-за найденной уязвимости в ПО все, кто используют его, автоматически становятся легкой «добычей» для киберпреступников. Такая же динамика и в сетевых атаках. Чтобы уметь защищаться, нужно постоянно быть «на волне»: знать тренды взлома и уметь применять их на практике.
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 Россияне из-за действий телефонных мошенников потеряли почти 250 млрд рублей
- 2 Всегда ли виноват «Вася», или мифы о человеческом факторе в информационной безопасности
- 3 Что такое прокси-сервер и зачем он нужен
- 4 Прячем, шифруем и маркируем: как разработчики защищают свои языковые модели от кражи
- 5 Мошенники в Telegram: топ-5 способов обмана