«Дорогая защита не работает?»: взгляд хакера на кибербезопасность организаций
В современном мире кибербезопасность стала одной из ключевых задач для организаций любого масштаба. Ежедневно мы слышим про новые утечки информации из крупнейших компаний, кибератаки с политическим подтекстом и просто недоступность популярных сервисов из-за хакеров. Компании вкладывают значительные средства в установку различных средств защиты: антивирусы, межсетевые экраны, системы обнаружения вторжений. По данным Центра стратегических разработок, российский рынок средств «против хакеров» в 2023 году составил 182,6 млрд рублей, что почти на 30% выше результатов 2022 года. Однако достаточно ли этого для полноценной защиты от киберугроз? Как показывает практика, установка технических средств безопасности — лишь часть защиты. Какой подход может полноценно противостоять современным кибератакам?
Хакеры обходят средства защиты: вопрос времени и экспертности
Могу с уверенностью сказать: почти все средства защиты можно обойти. Все зависит от уровня экспертности атакующего и времени, которое он готов потратить. Технологические решения, какими бы продвинутыми они ни были, имеют недостатки, а хакеры постоянно совершенствуют навыки и ищут новые способы обхода защитных механизмов. Установка только технических средств создает ложное чувство безопасности. Не меньшее значение имеют их правильное внедрение, своевременное обновление и регулярный аудит, чтобы не допустить бреши в защите. Также бывает, что компании не успевают выстраивать защиту вслед за изменениями в собственной инфраструктуре.
Фишинг: самая популярная и эффективная атака для первичного доступа в организацию
Фишинг остается одной из самых распространенных и успешных методик взлома. Через мошеннические электронные письма хакеры получают доступ к учетным данным сотрудников, открывая себе двери во внутреннюю инфраструктуру организаций. Почему это работает? Потому что человек — самый непредсказуемый и уязвимый элемент в защите организации. Даже самые продвинутые средства защиты не смогут предотвратить ситуацию, когда сотрудник сам предоставляет доступ злоумышленнику. Часто такая ситуация — довод в пользу обучения сотрудников, и если его проводить постоянно, то не каждый работник будет открывать «плохие» вложения к электронным письмам. Но хакерам неважно, сколько из сотрудников не откроет вложение, — им достаточно всего одного.
Дальше дело за разведкой внутри компании. Как правило, службы безопасности со всей внимательностью относятся к внешнему, а не внутреннему периметру организации. Отсутствие сегментации сети, несвоевременное обновление программного обеспечения, слабые пароли упрощают дальнейшее продвижение по сети для конечного достижения цели, будь то банкоматы, базы данных или бухгалтерия. Наша статистика показывает, что даже новичок в сфере кибербезопасности может найти и использовать эти уязвимости. Это доказывает важность тестирования безопасности корпоративной электронной почты, тем более что специализированные сервисы позволяют это сделать за несколько минут.
Ограничения имитаций реальных атак
Пентесты, имитирующие реальные атаки на сеть или приложение, стали стандартной практикой тестирования безопасности для многих организаций. Их просит проводить регулятор, они учитываются при оценке компаний при M&A. Однако часто они проводятся с ограничениями — без полного доступа к почте или мессенджерам сотрудников, в ограниченные сроки и с предупреждением службы реагирования. Это снижает эффективность проверки и не отражает реальности, в которой у настоящих хакеров нет никаких ограничений. В этом контексте тестирование Red Teaming предлагает более реалистичный подход. Имитируя действия настоящих злоумышленников без ограничений, эксперты выявляют реальные уязвимости и помогают организации увидеть свои слабые места не только в инфраструктуре, но и в целом во всем процессе информационной безопасности.
Автоматизация пентестов: шаг к постоянной защите
Постоянно проводить пентесты в разных сегментах для оценки работы средств защиты — одно из решений, которое позволит не «размывать фокус» исправления абсолютно всех уязвимостей, а в больших распределенных инфраструктурах их могут быть тысячи. Кроме того, это продемонстрирует, что мог бы сделать реальный хакер. Сможет ли он добраться до бухгалтерии, получить доступ к конфиденциальной информации или незаметно пройти мимо средств защиты? Ответы на эти вопросы нужно получать постоянно.
В этом могут помочь специализированные средства контролируемого автоматического пентеста, такие как продукт PT Dephaze. Во-первых, они позволяют настроить непрерывный мониторинг безопасности, в отличие от разовых ручных пентестов, которые обычно проводятся 1–2 раза в год. Это существенно сокращает временные окна, когда уязвимости остаются незамеченными, и снижает вероятность успешной атаки. По данным Ponemon Institute, предприятия, активно применяющие автоматизированные решения для оценки уязвимостей, сокращают среднее время обнаружения инцидента (Mean Time to Detect) и время реагирования (Mean Time to Respond) в среднем на 20–40%. Во-вторых, автоматизация проверок снижает затраты. Она в разы дешевле традиционных пентестов, затраты на которые в среднем могут достигать 100 000 долларов. В-третьих, автоматизация пентестов снижает риски человеческого фактора и зависимость от квалификации и доступности внешних аудиторов или внутренних специалистов. В этом случае эффективнее перенаправить ресурсы экспертов-людей на решение более сложных сценариев нарушения безопасности.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Хакеры обходят средства защиты: вопрос времени и экспертности
Могу с уверенностью сказать: почти все средства защиты можно обойти. Все зависит от уровня экспертности атакующего и времени, которое он готов потратить. Технологические решения, какими бы продвинутыми они ни были, имеют недостатки, а хакеры постоянно совершенствуют навыки и ищут новые способы обхода защитных механизмов. Установка только технических средств создает ложное чувство безопасности. Не меньшее значение имеют их правильное внедрение, своевременное обновление и регулярный аудит, чтобы не допустить бреши в защите. Также бывает, что компании не успевают выстраивать защиту вслед за изменениями в собственной инфраструктуре.
Фишинг: самая популярная и эффективная атака для первичного доступа в организацию
Фишинг остается одной из самых распространенных и успешных методик взлома. Через мошеннические электронные письма хакеры получают доступ к учетным данным сотрудников, открывая себе двери во внутреннюю инфраструктуру организаций. Почему это работает? Потому что человек — самый непредсказуемый и уязвимый элемент в защите организации. Даже самые продвинутые средства защиты не смогут предотвратить ситуацию, когда сотрудник сам предоставляет доступ злоумышленнику. Часто такая ситуация — довод в пользу обучения сотрудников, и если его проводить постоянно, то не каждый работник будет открывать «плохие» вложения к электронным письмам. Но хакерам неважно, сколько из сотрудников не откроет вложение, — им достаточно всего одного.
Дальше дело за разведкой внутри компании. Как правило, службы безопасности со всей внимательностью относятся к внешнему, а не внутреннему периметру организации. Отсутствие сегментации сети, несвоевременное обновление программного обеспечения, слабые пароли упрощают дальнейшее продвижение по сети для конечного достижения цели, будь то банкоматы, базы данных или бухгалтерия. Наша статистика показывает, что даже новичок в сфере кибербезопасности может найти и использовать эти уязвимости. Это доказывает важность тестирования безопасности корпоративной электронной почты, тем более что специализированные сервисы позволяют это сделать за несколько минут.
Ограничения имитаций реальных атак
Пентесты, имитирующие реальные атаки на сеть или приложение, стали стандартной практикой тестирования безопасности для многих организаций. Их просит проводить регулятор, они учитываются при оценке компаний при M&A. Однако часто они проводятся с ограничениями — без полного доступа к почте или мессенджерам сотрудников, в ограниченные сроки и с предупреждением службы реагирования. Это снижает эффективность проверки и не отражает реальности, в которой у настоящих хакеров нет никаких ограничений. В этом контексте тестирование Red Teaming предлагает более реалистичный подход. Имитируя действия настоящих злоумышленников без ограничений, эксперты выявляют реальные уязвимости и помогают организации увидеть свои слабые места не только в инфраструктуре, но и в целом во всем процессе информационной безопасности.
Автоматизация пентестов: шаг к постоянной защите
Постоянно проводить пентесты в разных сегментах для оценки работы средств защиты — одно из решений, которое позволит не «размывать фокус» исправления абсолютно всех уязвимостей, а в больших распределенных инфраструктурах их могут быть тысячи. Кроме того, это продемонстрирует, что мог бы сделать реальный хакер. Сможет ли он добраться до бухгалтерии, получить доступ к конфиденциальной информации или незаметно пройти мимо средств защиты? Ответы на эти вопросы нужно получать постоянно.
В этом могут помочь специализированные средства контролируемого автоматического пентеста, такие как продукт PT Dephaze. Во-первых, они позволяют настроить непрерывный мониторинг безопасности, в отличие от разовых ручных пентестов, которые обычно проводятся 1–2 раза в год. Это существенно сокращает временные окна, когда уязвимости остаются незамеченными, и снижает вероятность успешной атаки. По данным Ponemon Institute, предприятия, активно применяющие автоматизированные решения для оценки уязвимостей, сокращают среднее время обнаружения инцидента (Mean Time to Detect) и время реагирования (Mean Time to Respond) в среднем на 20–40%. Во-вторых, автоматизация проверок снижает затраты. Она в разы дешевле традиционных пентестов, затраты на которые в среднем могут достигать 100 000 долларов. В-третьих, автоматизация пентестов снижает риски человеческого фактора и зависимость от квалификации и доступности внешних аудиторов или внутренних специалистов. В этом случае эффективнее перенаправить ресурсы экспертов-людей на решение более сложных сценариев нарушения безопасности.
