Зачем компании заказывают хакерам взлом своих IT-систем

Белые хакеры способны найти уязвимости раньше злоумышленников
Белые хакеры могут имитировать атаку как внешнего нарушителя, так и сотрудника компании / Евгений Разумный/ Ведомости

На фоне историй о масштабных кибератаках на государства, банки и смартфоны ни в чем не повинных граждан слово «хакер» стало синонимом киберпреступника. По первоначальному определению это были всего лишь сильные программисты, глубоко разбирающиеся в устройстве компьютерных систем. Таких несложно найти и сейчас, и, более того, есть даже целая отрасль «этичных хакеров», взламывающих IT-системы по заказу их владельцев.

Они далеко не так известны, как их коллеги-киберпреступники, но их услуги пользуются стабильным спросом у бизнеса и госсектора. Например, программа цифровой экономики России отводит 800 млн руб. на работу белых хакеров, которые поищут уязвимости в государственных IT-системах и IT-продуктах разных вендоров. Интерес понятен, ведь цель работы белых хакеров – указать заказчику на уязвимости, пока ими не воспользовались хакеры-злоумышленники.

Как работают белые хакеры

Рынок тестов на проникновение (пентесты – от англ. penetration testing) сформировался не так давно, вспоминает директор по развитию бизнеса компании Positive Technologies в России Максим Филиппов. Сначала подход был поверхностным: некоторые компании позволяли себе выдавать за результаты исследований отчеты автоматизированных сканеров уязвимостей, сетует он.

Но рынок эволюционировал. Сейчас тесты на проникновение делятся на внешние и внутренние. В первом случае специалисты играют роль атакующего извне, пытаясь взломать IT-системы заказчика из интернета, рассказывает руководитель группы исследования уязвимостей систем промышленной автоматизации и интернета вещей «Лаборатории Касперского» Владимир Дащенко. Работа с внутренними сетями помогает взглянуть на IT-системы глазами внутреннего злоумышленника (например, сотрудника компании-заказчика), у которого изначально больше данных и больше шансов нанести ущерб, продолжает руководитель направления «Аудит и консалтинг» компании Group-IB Андрей Брызгин.

По итогам проекта пентестеры готовят подробный отчет с методологией, ходом и результатами исследования, подтверждают каждую найденную уязвимость – снимками рабочих столов компьютеров, перечнями учетных записей с фрагментами добытых паролей, что можно проверить у владельцев данных, конфигурационными файлами сетевого оборудования, рассказывает Брызгин. Он обращает внимание, что пентестеры не исправляют обнаруженные уязвимости: это задача штатных специалистов, поскольку именно им предстоит эксплуатировать систему.

В некоторые договоры входит перепроверка результатов после того, как штатные специалисты устраняют недоработки. Есть и практика перекрестных проверок, когда 2–3 компании последовательно проделывают один комплекс работ, уточняет Брызгин, и компания полноценно оплачивает каждую проверку. Но параллельно проводить две независимые проверки не принято, добавляет Дащенко. С ним соглашается начальник управления защиты IT-инфраструктуры горно-металлургической компании «Норникель» Андрей Кульпин – по его словам, параллельно проводить тесты на реальной инфраструктуре может быть опасно. Но в работе белых хакеров может быть элемент спортивного соревнования, когда они на скорость взламывают макеты энергосетей, производственных площадок, транспортной инфраструктуры – но только макеты, указывает Кульпин.

В особо сложных случаях или когда речь идет о критической инфраструктуре могут использоваться так называемые стенды – полные дубляжи инфраструктуры, рассказывают несколько опрошенных «Ведомостями» экспертов. Их разрешается взламывать, чтобы не нарушить работу основной системы. Дублировать систему довольно дорого, поэтому компании нужно соотносить затраты и пользу такой проверки. Чаще это используется именно в критической инфраструктуре – при управлении опасными производствами, где сбой чреват большими финансовыми потерями.

Кто заказывает тесты

Самые первые и распространенные заказчики приходят из финансового сектора, но в последнее время перечень отраслей расширяется, солидарны эксперты. Дащенко перечисляет промышленные объекты, телекоммуникационных операторов и интернет-магазины. Директор по работе с ключевыми клиентами Digital Security Алексей Антонов отмечает интерес криптотрейдеров, блокчейн-проектов, участников рынка энергетики и добычи сырья. Операторы большой тройки подтвердили «Ведомостям» использование услуг пентестеров, представитель «Т2 РТК холдинга» (бренд Tele2) отказался от комментариев.

Одни хотят обезопасить бизнес и тестируют приложения, другие, в том числе госорганы, пытаются снизить репутационные риски в случае кибератаки на веб-ресурсы, третьи опасаются за конфиденциальность информации и своих ноу-хау, перечисляет возможную мотивацию заказчиков Филиппов.

Как правило, тесты проводятся после серьезной модернизации инфраструктуры, делится опытом представитель металлургической и горнодобывающей компании Evraz – она тоже пользуется услугами профессиональных пентестеров. Сначала компания проводит два теста: одна и та же команда пентестеров выявляет уязвимости и позже проверяет их устранение. А уже третий тест проводит другая команда – чтобы найти новые векторы атак. Такой цикл проверок Evraz проводит в среднем раз в год, отмечает его представитель.

Пентесты нужны, чтобы проверить скорость реагирования на инциденты внутренней службы информационной безопасности, указывают специалисты «Тинькофф банка». Чаще всего пентестеры находят ошибки самих программистов, вторит представитель Альфа-банка, а вот другие существенные уязвимости находятся редко. При этом основной источник проблем – персонал и несоблюдение цифровой гигиены, критикует Кульпин из «Норникеля». Люди используют слабые пароли, оставляют бреши в средствах защиты, перечисляет представитель Evraz. Словарные пароли и открытые протоколы передачи данных найдены во всех системах, которые проверяли специалисты компании Positive Technologies, а уязвимые версии софта, общедоступные интерфейсы удаленного доступа и управления оборудованием, по их данным, присутствуют в 91% систем.

Другой серьезный фактор риска – регулярность обновления софта заказчиком, указывает Дащенко из «Лаборатории Касперского». По его словам, специалистам компании часто удается обнаружить так называемые уязвимости «нулевого дня». Эти уязвимости не известны даже разработчику софта, и решений для их устранения, соответственно, нет. Тогда, рассказывает эксперт, пентестеры сообщают о проблеме разработчику, а заказчика теста уже позже просят установить обновления, подготовленные разработчиком.

Пентестеры могут привлекаться как на отдельные проекты, так и как часть общего аудита информационной безопасности систем. Иногда компания встает на постоянное обслуживание. Погружение в проект позволяет находить больше уязвимостей, рассуждает Антонов. Работа по аудиту информационной безопасности ведется непрерывно, уверяет представитель банка ВТБ, различные виды проверок проводятся по своим графикам – еженедельно, ежемесячно, ежеквартально. Сбербанк и вовсе содержит внутреннюю команду пентестеров, отвечает его представитель, их работа тоже поставлена на промышленный поток.

Перспективное занятие

Каждый проект собирается из разных сервисов и услуг, поэтому стандартной цены теста на проникновение не существует, описывает принцип работы Дащенко. Стоимость проекта может колебаться от сотен тысяч до 1 млн руб., подсчитывает Филиппов. Рынок активно развивается вместе с технологиями, убежден Антонов: злоумышленники тоже вкладывают серьезные средства в собственный инструментарий. Из-за этого, по словам Антонова, рынок тестов на проникновение как защитной меры будет ежегодно расти на 25%. Сейчас он оценивает российский рынок примерно в 1–1,15 млрд руб. ежегодно, а число заказов достигает 2000. А по оценкам Филиппова, российский рынок пентестов не превышает 500 млн руб., хотя расти он будет в 1,5–2 раза ежегодно.