Алексей Качалин, руководитель Expert Security Center (Positive Technologies) и член оргкомитета форума Positive Hack Days, рассказывает, кто и как проводит краш-тесты в ИТ-индустрии и имеет ли право на жизнь такая бизнес-идея.
Сегодня краш-тесты стали практически неотъемлемой частью создания любого продукта. Производители постоянно работают над улучшением качества товара, будь то мобильный телефон или модель автомобиля. Некоторые компании проводят даже краш-тесты бизнеса как такового.
ИТ-сфера не осталась в стороне: каждая новая разработка проходит проверку на наличие уязвимостей, что можно отнести к тестированию нефункциональных компонентов информационных систем.
Какие бывают краш-тесты?
Продолжая говорить о проверке новшеств в сфере ИТ, все краш-тесты условно можно разделить на два больших класса: анализ безопасности информационной системы в целом и анализ безопасности конкретных приложений.
В первом случае необходимо проверить компоненты сетевой серверной инфраструктуры на наличие уязвимых версий ПО, операционных систем, выявить ошибки конфигурации (слабые пароли, настройки по умолчанию и т.п.).
Во втором случае детально анализируется отдельное приложение или комплекс приложений, выявляются недочеты, допущенные разработчиком на этапах проектирования и программирования приложения.
Атака с разных флангов: как это происходит
В зависимости от условий проведения исследования, «атакующему» о системе может быть известно почти все вплоть до доступа к исходным кодам (это так называемый «белый ящик»), либо он может работать «вслепую» («черный ящик»). Это два наиболее популярных сегодня подхода к выполнению работ по тестированию на проникновение.
Атакующий, как правило, – это специально приглашенный хакер, действует поэтапно. Сначала собирается информация о сервисах и компонентах, к которым возможен доступ, выявляются уязвимости. После успешной эксплуатации уязвимости атакующий может извлечь выгоду сразу или попробовать развить атаку: то есть, используя новые возможности доступа, повторно провести разведку. И так далее, пока не будет достигнута конечная цель.
Если рассматривать этот процесс на примере веб-сайта, атака будет выглядеть следующим образом: хакер обнаруживает уязвимость в web-приложении, получает возможность загрузки и выполнения на сайте своего web-приложения (web-shell).
Далее – через web-shell можно получить доступ к операционной системе, на которой выполняется web-приложение, а следовательно – воздействовать на другие приложения в обход средств защиты. Так, если web-сервис предоставляет возможность оплаты какого-то товара (а это весьма распространенная сегодня функция), то злоумышленник может исказить платежные реквизиты в свою пользу (подменив данные получателя платежа) или использовать личные данные иным способом, с выгодой для себя.
Цель crush-теста – выявить подобные возможности на различных этапах и дать рекомендации по их устранению.
Важным в этом случае является не только защита того, что лежит «на поверхности». Современные темпы разработки приложений и выявления уязвимостей таковы, что не позволяют исключить «пробив» первых защитных мер, а значит надо обеспечить максимальную многоуровневую безопасность web-приложения.
Хакерские конференции
Сообщество специалистов в области информационных технологий с начала 2000-х годов активно развивается – и уже наработало внушительный арсенал методик, которые помогают повысить уровень защищенности.
Кроме того, каждый серьезный специалист по практической безопасности постоянно повышает свой уровень, получает новые знания.
Существенную роль в развитии информационной безопасности играют «хакерские конференции» − мероприятия, организованные хакерами и для хакеров, которые дают возможность представить для обсуждения свои идеи, раскрыть детали исследований, обменяться опытом.
Также важным аспектом работы является аналитика: после анализа требуется обобщить полученную информацию, выявить, интерпретировать и устранить проблемы.
Что у нас тут?
В России исследованиями защищенности занимаются несколько типов компаний: специализированные организации, подразделения системных интеграторов и консалтеров, исследовательские коллективы в рамках вузов и НИИ.
Специализированные компании ориентированы на проведение анализа с последующим воплощением экспертных знаний в продукты. Интеграторские подразделения помогают выявить проблемы систем для повышения эффективности их проектирования и развития. А исследовательские группы используют работы по анализу ИБ для проверки и углубленного развития инструментов и методик (как правило) в достаточно узкой области, но зато в ней они могут занимать лидирующее место как в России, так и в мире.
Несмотря на кризис, рынок исследований интернет-безопасности продолжает активно развиваться.
Значительная часть бизнес-процессов переносится в область IТ, что повышает риски, связанные, в первую очередь, с информационной безопасностью. Следовательно, компании стремятся проводить больше исследований и выбирать наиболее оптимальные и эффективные средства защиты. Это оправдано и экономически: простой или нарушение в процессе может повлечь убытки в сотни раз превосходящие расходы на работы, вплоть до потери бизнеса, например, в случае утечки клиентской базы или кражи средств.
Сфера информационной безопасности также нуждается в законодательном регулировании. Как и в других странах, в России государство уделяет внимание формированию требований, определяющих «минимальный уровень безопасности». Раньше мощным фактором развития отрасли интернет-безопасности были нормативно-правовые акты о персональных данных.
Сейчас на первый план выходят постановления о системе обнаружения и предотвращения компьютерных атак (ГосСОПКА), необходимые условия по предоставлению безопасности критически-важным объектам и инфраструктурам, а также различные ведомственные указания по обеспечению ИБ.
Во всех этих документах регламентированы работы по выявлению и анализу уязвимостей.
Перспективные области для краш-тестов
К ключевыми отраслям, весь бизнес которых «завязан» на IT-сфере, можно отнести телеком-операторов и банки. Помимо коммерческих организаций, услуги востребованы и в госсекторе. Здесь ставки выше, и в качестве атакующего могут быть рассмотрены группы, имеющие возможность проводить целенаправленные атаки.
На практике онлайн-нападения могут готовиться от нескольких месяцев до года. Результатом такой скрупулезной работы атакующего становится возможность долгосрочного присутствия в захваченной системе (иногда более года) с возможностью беспрепятственного «съема» информации и выполнения других деструктивных действий.
Технологическое развитие работ по анализу уязвимостей инфраструктур и приложений тесно связано с задачами мониторинга информационной безопасности и расследования инцидентов. Совместное развитие двух этих направлений − вот следующая big thing в области ИБ.
Фото на обложке: Pixabay
Материалы по теме:
США считают, что русские хакеры взломали сеть штаба Демократической партии
Нужно ли заклеивать вебкамеры на ноутбуках?
Израильские хакеры за $20 млн прослушают любой телефон в мире
8 российских стартапов из области интернет-безопасности
7 экспертов по паролям рассказывают, как обеспечить свою безопасность в Сети
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 Avito, «Вымпелком», «Тинькофф Банк» и «Яндекс» подписали отраслевой стандарт защиты данных
- 2 Как заставить кибермошенника плакать? Соблюдайте цифровую гигиену при работе с корпоративной почтой
- 3 Как среднему бизнесу защищаться от новейших киберугроз
- 4 Почему неправильная настройка бэкапов дорого обходится бизнесу
- 5 «Цифровая осада»: как формируются угрозы для умных жилых комплексов
ВОЗМОЖНОСТИ
20 апреля 2024
21 апреля 2024
21 апреля 2024
21 апреля 2024
22 апреля 2024