Top.Mail.Ru
Колонки

Белые хакеры и другие нестандартные методы проверить кибербезопасность

Колонки
Евгений Соболев
Евгений Соболев

Директор Practical Security Lab

Елизавета Шатохина

В 2023 году зафиксировано более 50 000 кибератак на российский бизнес. В мае этого года одна из таких атак остановила работу СДЭК на несколько дней. Про небанальные способы защиты от киберпреступников рассказал Евгений Соболев, директор Practical Security Lab.

Белые хакеры и другие нестандартные методы проверить кибербезопасность
  1. Колонки

 

Обзор нестандартных методов проверки кибербезопасности 

Компании проводят диагностику IT-составляющей бизнеса, чтобы понять уровень защищённости данных. Есть два основных способа:

  • аудит документов: политик и процедур; 
  • тестирование на проникновение — пентест. 

Тестирование на проникновение позволяет проверить состояние информационной безопасности компании, выявить уязвимости и недостатки. Самые интересные методы проверить IT-безопасность компании на прочность как раз связаны с тестом на проникновение. 

Тестирование делится на внешнее и внутреннее:

  1. Внутреннее имитирует злоумышленника, действующего внутри компании. Например, внедренного конкурентом инсайдера, обиженного сотрудника перед увольнением или невинного специалиста, чей компьютер заражен вирусом. А также хакера, который преодолел внешний периметр защиты и получил доступ во внутреннюю сеть из интернета.
  2. Внешнее тестирование имитирует действие хакера, действующего через интернет с целью получить доступ во внутреннюю сеть компании. Сюда включаются и другие типы злоумышленников, действующих с внешней стороны организации. Например, через социальную инженерию, рассылку писем и спам-звонков, изучение WiFi-сетей вокруг офиса или проникающие к вам под видом клиента или партнера со спецоборудованием.

Компания может провести тест своими силами. Тогда взломом занимаются те же специалисты, которые, по сути, строили защиту. Проверка может быть неэффективной: чтобы найти лазейки, нужен незамыленный взгляд. 

Ещё компания может обратиться к белым хакерам (пентестерам) — легальным специалистам по взломам. Их нестандартные методы проверки помогают незаметно для сотрудников компании протестировать систему. Чем незаметнее проверка, тем больше шансов получить достоверные результаты.

Все сервисы и компании, связанные с релокацией, на одной карте

 

Взлом центральной компании через представительство 

В одном из кейсов нашей команде не удалось проникнуть в сеть компании «в лоб». Но мы нашли уязвимости в защите представительства этой компании в Европе и воспользовались ими для взлома. Европейский офис был связан с московским через VPN. Так мы смогли получить доступ во внутреннюю сеть заказчика и доказали, что внешний злоумышленник может стать внутренним.

 

Взлом через организационный просчет 

С той же компанией — финансовой организацией — мы решили попробовать нетехнический способ взлома. Воспользовались тем, что во время регистрации нового клиента менеджер отлучился из кабинета минуты на три. Этого хватило, чтобы установить аппаратные кейлоггеры на компьютер менеджера и оставить собственный мини-компьютер под столом.

Так мы не только получили доступ к внутренней сети компании, но и стали собирать пароли всех менеджеров и клиентов компании, которые проходили процесс регистрации в переговорке. В итоге получили доступ к нескольким десяткам клиентских аккаунтов с общим балансом более 300 000 000 рублей.

 

Использование гостевых компьютеров для доступа во внутреннюю сеть

К нам обратился банк, который подозревал утечку данных клиентов: после регистрации новым пользователям приходили сообщения от банков-конкурентов. 

После проверок выяснилось, что в зале ожидания банка все желающие могли воспользоваться гостевыми компьютерами. Из-за ошибки конфигурации всем желающим был доступен один из сегментов сети отдела разработки. Там же можно было найти сервер разработчиков и увидеть номера клиентов.

В одном из гостевых компьютеров было обнаружено вредоносное ПО, которое и служило каналом утечки информации.

 

Трудоустройство подставного сотрудника

К нам обратился один из топ-менеджеров компании с задачей выявить проблемы в зоне ответственности другого департамента и проверить, насколько хорошо защищен главный актив компании — исходный код главного продукта.

Снаружи взломать компанию не получилось, поэтому проникновение провели изнутри. Сначала один из пентестеров пошел наниматься в компанию на одну из открытых вакансий, но служба безопасности его не пропустила. Тогда мы взяли нигде не засвеченную ранее девушку, подготовили ей резюме и отправили на стажерскую позицию. Несколько дней она старательно выполняла свои служебные обязанности, а заодно подмечала некоторые детали. Например, какие стоят антивирусы на компьютерах, что будет, если их отключить.

В итоге «подсадная утка» принесла на флешке на работу программу, отключила антивирус на своем рабочем компьютере, и мы получили доступ к внутренней сети компании. В итоге мы добрались до компьютера главного разработчика и узнали, как украсть исходный код. Нам удалось получить базу клиентов и полный доступ ко всем банковским счетам компании. 

Если говорить про стоимость такого тестирования, то она зависит от множества параметров. Например, размера IT-инфраструктуры компании, набора услуг, сложности исследуемых объектов. Вилка цен на рынке варьируется от 700 000 рублей до 10 млн рублей и больше. В среднем — от 1 до 3 млн.


Кто под угрозой и как защититься

В первую очередь кибератакам подвержены финансовые структуры: банки, кредитные учреждения. Этот сектор традиционно привлекает злоумышленников из-за того, что получить финансовую выгоду от взлома здесь проще.

Еще одна сфера интересов хакеров — компании с высоким уровнем цифровизации бизнес-процессов. Злоумышленникам интересны такие компании для требования выкупа после зашифровки компьютеров и остановки работы. Ещё их привлекают нефтяная, логистическая и e-commerce сферы. Также жертвами часто становятся медиа, научные и образовательные институты. 

Под угрозы атак попадают не только корпорации, но и небольшие компании, иногда в самых непредсказуемых отраслях. Например, к нам для защиты обратилась компания по установке окон. Конкуренты осуществляли взлом сайта и другие атаки в высокий сезон, чтобы помешать компании набрать больше заказов.

Техники и методы взлома постоянно развиваются, появляются новые уязвимости в ПО. Даже если вчера компания была защищена, то сегодня из-за найденной уязвимости в ПО все, кто используют его, автоматически становятся легкой «добычей» для киберпреступников. Такая же динамика и в сетевых атаках. Чтобы уметь защищаться, нужно постоянно быть «на волне»: знать тренды взлома и уметь применять их на практике.

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Россияне из-за действий телефонных мошенников потеряли почти 250 млрд рублей
  2. 2 Всегда ли виноват «Вася», или мифы о человеческом факторе в информационной безопасности
  3. 3 Что такое прокси-сервер и зачем он нужен
  4. 4 Прячем, шифруем и маркируем: как разработчики защищают свои языковые модели от кражи
  5. 5 Мошенники в Telegram: топ-5 способов обмана
Relocation Map
Интерактивный гид по сервисам и компаниям, связанным с релокацией
Перейти