Asher de Metz przeszedł przez frontowe drzwi supermarketu. U jego boku zamiast torby na zakupy wielokrotnego użytku wisiała dyskretna torba na laptopa. De Metz nie kupował artykułów spożywczych — to było włamanie. Ale ani kupujący dokonujący inspekcji awokado , ani kasjerzy z kartami kredytowymi nie zdali sobie sprawy, że zostali zaatakowani.
De Metz przeszedł przez sklep i znalazł pokój wyłożony ludźmi przy komputerach. To była sesja szkoleniowa. Idealne miejsce do wtopienia się. Więc usiadł i porwał maszynę .
„Po prostu wszedłem i odłączyłem kabel z tyłu jednego z komputerów i podłączyłem go do laptopa” – mówi de Metz. „Przez jakiś czas hakowałem i dość szybko uzyskałem dostęp do systemów i baz danych z tego pokoju”.
W gorącym pogoni za „hakerem”
Niedługo potem trener podszedł do de Metza. Była uprzejma, ale nie była co do niego pewna. „Jestem z centrali”, wyjaśnił de Metz, powiedział jej, aby zainstalować kilka aktualizacji. Opowieść uspokoiła ją na kilka minut, ale postanowiła zajrzeć do swojego przełożonego.
Wtedy de Metz uznał, że czas wyruszyć. „Zamknąłem wszystko i zacząłem wychodzić” – wspomina de Metz, ale trenerowi kręciło mu się po ogonie. „Wszedłem schodami i niestety, gdy pchnąłem drzwi, włączył się alarm”.
Pościg trwał dalej przy ścieżce dźwiękowej ryczących alarmów bezpieczeństwa i ostatniego skrzeczącego crescendo, gdy trener zawodził przez sklep: „To on! To ten facet!” Inny pracownik supermarketu podszedł do de Metza, ale de Metz był przygotowany. Miał teczkę z manili z sfabrykowanym zleceniem pracy.
Powiedział im, że jest z korporacji i że w systemie sklepu doszło do poważnego włamania . „Wiedziałeś, że wczoraj w nocy doszło do wyłomu w twojej sieci? Skradziono miliony”. – Nie – powiedział przełożony. "Nie mam pojęcia." Para zgodziła się zadzwonić później tego popołudnia, aby uniknąć przewracania głowy z powodu poważnego naruszenia bezpieczeństwa cybernetycznego.
Część historii de Metza do kierownika supermarketu była prawdziwa; został wynajęty do pracy w supermarkecie — przez kierownictwo supermarketu. Jednak jedynym włamaniem, które miało miejsce, było to, które de Metz zrobił sam i nie ukradł ani grosza. Został wynajęty, aby sprawdzić , jak daleko zdoła włamać się do systemów supermarketu. A w tym przypadku zaszedł daleko. Teraz miał kilka przydatnych informacji, którymi mógł podzielić się z zespołem kierowniczym, jak sprawić, by ich zabezpieczenia były skuteczniejsze i bezpieczniejsze zarówno dla pracowników, jak i klientów.
Dlaczego firmy płacą za zhakowanie
De Metz jest starszym menedżerem ds. doradztwa w zakresie bezpieczeństwa w Sungard Availability Services , globalnej firmie zarządzającej usługami IT. Ma ponad 20-letnie doświadczenie jako tester penetracyjny — tak się nazywają — i udzielił nieocenionych porad niektórym z największych światowych firm w Wielkiej Brytanii, Europie, na Bliskim Wschodzie i w Ameryce Północnej.
„Powodem, dla którego firmy przeprowadzają testy penetracyjne”, mówi de Metz, „jest to, że nie wiedzą tego, czego nie wiedzą. Możesz mieć świetny wewnętrzny zespół IT lub bezpieczeństwa, który instaluje pakiety i próbuje zabezpieczyć systemy, ale do dostajesz tam hakera, który kopie i robi rzeczy, których nie powinni być w stanie zrobić, aby znaleźć ryzyko, które ludzie przegapili, firmy nie wiedzą, jakie jest ich ryzyko”.
Celem De Metza jest znalezienie słabych punktów przed złoczyńcami — coraz większym zagrożeniem dla firm każdej wielkości. Według badania Cost of Data Breach Study sponsorowanego przez IBM Security, każdego roku 60 procent małych i średnich firm jest atakowanych. Co gorsza, 60 procent tych firm zamyka drzwi w ciągu sześciu miesięcy od ataku. Średni globalny koszt pojedynczego naruszenia to 3,62 miliona dolarów.
Ale wieści się pogarszają. Według badań Check Point Software Technologies w pierwszych sześciu miesiącach 2021 r. liczba firm dotkniętych atakami ransomware — tymi, w których zainstalowane jest złośliwe oprogramowanie blokujące dostęp do sieci do momentu wpłacenia „okupu” — wzrosła ponad dwukrotnie w porównaniu z 2020 r. . A raport FireEye Mandiant M-Trends 2021 wykrył 800 prób wyłudzeń, w których dane firmy zostały skradzione między 1 października 2019 r. a 30 września 2020 r.
Stawka jest bardzo wysoka
Dlatego coraz więcej organizacji zatrudnia testerów penetracji, znanych również jako hakerzy z białym kapeluszem (dosłowna wskazówka dla symboliki zachodniego filmu z połowy XX wieku), takich jak de Metz, aby celowo włamywali się do ich systemów.
„To jak polisa ubezpieczeniowa. Jeśli firmy wydają pieniądze teraz na bezpieczeństwo, oszczędza im to 10 lub 100 milionów dolarów, które będą kosztować, jeśli zostaną naruszone”, wyjaśnia de Metz. „Jeśli na przykład ocenią swoje oprogramowanie ransomware i zaszczepią się, oszczędzi to firmom miesięcy bólu głowy i utraty dochodów z powodu niemożności prowadzenia działalności”.
Innym powodem, dla którego organizacje płacą za zhakowanie, jest upewnienie się, że spełniają surowsze normy regulacyjne. Opieka zdrowotna, organizacje finansowe i instytucje rządowe muszą, między innymi, spełniać federalne, stanowe i branżowe przepisy dotyczące bezpieczeństwa cybernetycznego , ponieważ hakowanie staje się coraz powszechniejsze i bardziej kosztowne.
Cyberbezpieczeństwo jest fizyczne i techniczne
Kiedy ludzie myślą o hakowaniu, zwykle myślą o samotnym strażniku atakującym prywatne dane firmy z bezpiecznej ciemnej piwnicy ich mamy. Jednak testerzy penetracji przyglądają się zarówno fizycznym, jak i technicznym aspektom programu bezpieczeństwa organizacji, więc włamują się od wewnątrz samej organizacji.
„Firmy nie chcą zostawiać niczego na stole, co może być częścią słabości postawy” – mówi de Metz. „Testujemy fizyczne kontrole; czy możemy uzyskać dostęp do budynku, ominąć zabezpieczenia, przejść przez tylne drzwi? Czy możemy uzyskać dostęp do fizycznych akt? Czy możemy dostać się do obszarów, w których firmy drukują karty kredytowe lub karty podarunkowe?” Są to krytyczne, fizyczne rzeczy, na które wskazuje de Metz, oprócz strony technicznej, takie jak dostęp do sieci lub poufnych danych.
Doradza również, jak rekomendacje programów szkoleniowych dla pracowników, aby osoby, takie jak napotkany przez niego przełożony, wiedziały, jak zweryfikować osoby, które mają być w budynku. Albo, co zrobić, jeśli kogoś nie rozpoznają (zamiast inicjować pościg w całym sklepie, nawet jeśli jest to dobra historia). „Bardzo się przy tym bawimy, ale zapewniamy również dużą wartość klientowi”.
Jak działa test penetracyjny
Testerzy penetracyjne muszą posiadać szczegółową wiedzę technologiczną, która wiąże się z doświadczeniem, a nie tylko wymyślnymi narzędziami. „Testowanie penetracyjne to zrozumienie technologii i interakcja z nią — poznanie sposobu, w jaki technologia ma działać. To metodologia i być może dostosowanie do niej narzędzia, ale nie chodzi tylko o skrypty lub narzędzia”.
Gdy de Metz znajdzie się w systemie, szuka trzech rzeczy: gdzie może się zalogować, jakie wersje oprogramowania są używane i czy systemy są poprawnie skonfigurowane. „Czy możemy odgadnąć hasło? Czy możemy znaleźć inny sposób na uzyskanie dostępu do loginu? Może oprogramowanie jest nieaktualne i istnieje exploit, więc próbujemy wykorzystać jakiś kod ransomware przeciwko niemu, aby spróbować uzyskać dostęp do systemu” on mówi. „Niektóre rzeczy można znaleźć w audycie, ale znajdujemy również rzeczy, o których [organizacja] nie pomyślała”.
Penetracja sięga głębiej niż audyt sieci i to jest ważne rozróżnienie. Audyt pyta, czy przestrzegany jest program bezpieczeństwa? Testy penetracyjne pytają, czy program działa?
Testerzy penetracji patrzą na to z lotu ptaka na strategię bezpieczeństwa. Problem może nie być tak prosty, jak nieaktualne oprogramowanie, ale cała strategia bezpieczeństwa, która wymaga poprawy. Właśnie tego dowiaduje się de Metz.
Wiele małych i średnich firm ma trudności z finansowaniem dobrze ugruntowanej infrastruktury bezpieczeństwa. Mimo to hakowanie białych kapeluszy staje się coraz bardziej popularne wśród organizacji odpowiedzialnych za dane osobowe, takich jak Facebook, który jest znany z zachęcania hakerów białych za pośrednictwem programu Bug Bounty do znajdowania luk w ich systemie.
De Metz przemawiał również w podcastach , przedstawiając niektóre ze swoich najbardziej dramatycznych historii testów penetracyjnych. Jego cel jest dwojaki: zabawiać słuchaczy szalonymi historiami, ale co ważniejsze, podkreślać wartość testów penetracyjnych — i jaka jest stawka, jeśli firmy tego nie zrobią. Możesz ich nigdy nie zobaczyć, nigdy nie wiedzieć, że tam są, ale testery penetracyjne pomagają chronić firmy, a klienci tacy jak Ty również są bezpieczni.
Teraz to jest interesujące
Hakerzy w czarnych i białych kapeluszach nie są jedynymi, którzy włamują się do systemów biznesowych. Hakerzy „szarych kapeluszy” zacierają granice między „dobrym a złym” hakerem, włamując się do systemów w celu ujawnienia luk w zabezpieczeniach bez pozwolenia, a następnie żądając niewielkich opłat za naprawienie problemów.
