Ашер де Мец вошел в парадные двери супермаркета. Рядом с ним вместо многоразовой сумки для покупок висела незаметная сумка для ноутбука. Де Мец не покупал продукты — это был взлом. Но ни покупатели, проверяющие авокадо , ни кассиры, считывающие кредитные карты, не осознавали, что подверглись нападению.
Де Мец прошел через магазин и нашел комнату, заполненную людьми за компьютерами. Это была тренировка. Идеальное место, чтобы слиться с толпой. Итак, он сел и угнал машину .
«Я просто вошел и отсоединил кабель от задней панели одной из машин и подключил его к своему ноутбуку», — говорит де Мец. «Некоторое время я занимался хакерством и довольно быстро получил доступ к системам и базам данных из этой комнаты».
В погоне за «хакером»
Вскоре после этого тренер подошел к де Мецу. Она была вежлива, но не уверена в нем. «Я из головного офиса, — объяснил де Мец, — чтобы установить некоторые обновления, — сказал он ей. Эта история успокоила ее на несколько минут, но она решила зациклиться на своем начальнике.
Именно тогда де Мец понял, что пора уходить. «Я все закрыл и начал уходить», — вспоминает де Мец, но тренер спешил ему на хвост. «Я поднялся по лестнице, и, к сожалению, когда я толкнул дверь, сработала сигнализация».
Погоня продолжалась под саундтрек из рева охранной сигнализации и финального визжащего крещендо, когда тренер завыл через весь магазин: «Это он! Это тот парень!» Другой сотрудник супермаркета подошел к де Мецу, но де Мец был готов. У него была манильская папка с сфабрикованным нарядом на работу.
Он сказал им, что он из корпорации и что в системе магазина произошел серьезный взлом . «Знаете ли вы, что прошлой ночью в вашей сети произошел взлом? Миллионы были украдены». — Нет, — сказал надзиратель. "Не имел представления." Пара согласилась позвонить позже в тот же день, чтобы избежать головокружения из-за серьезного нарушения кибербезопасности.
Часть рассказа де Меца менеджеру супермаркета была правдой; его наняло для работы в супермаркете руководство супермаркета. Однако единственный взлом, который произошел, был тем, что сделал сам де Мец, и он не украл ни цента. Его наняли, чтобы посмотреть , как далеко он сможет проникнуть в системы супермаркета. И в этом случае он далеко ушел. Теперь у него была полезная информация, которой он мог поделиться с руководством о том, как сделать их безопасность более эффективной и безопасной как для сотрудников, так и для клиентов.
Почему компании платят за взлом
Де Мец — старший менеджер по консультированию по вопросам безопасности в Sungard Availability Services , глобальной компании по управлению ИТ-услугами. Он имеет более чем 20-летний опыт работы тестером на проникновение — так их называют — и давал бесценные советы некоторым из крупнейших мировых компаний в Великобритании, Европе, на Ближнем Востоке и в Северной Америке.
«Причина, по которой компании проводят тестирование на проникновение, — говорит де Мец, — заключается в том, что они не знают того, чего они не знают. У вас может быть отличная внутренняя команда по ИТ или безопасности, которая устанавливает пакеты и пытается защитить системы, но пока у вас есть хакер, который копается и делает то, что он не должен делать, чтобы найти те риски, которые люди упустили, компании не знают, каковы их риски».
Цель Де Меца — найти уязвимости перед злоумышленниками — растущей угрозой для предприятий всех размеров. Согласно исследованию стоимости взлома данных 2017 года, спонсируемому IBM Security, 60% малых и средних предприятий ежегодно подвергаются атакам. Что еще хуже, 60 процентов этих предприятий закрываются в течение шести месяцев после атаки. Средняя глобальная стоимость одного нарушения составляет 3,62 миллиона долларов.
Но новости становятся хуже. Согласно исследованию Check Point Software Technologies , за первые шесть месяцев 2021 года количество предприятий, пострадавших от атак программ-вымогателей — тех, на которых установлено вредоносное ПО, блокирующее доступ к сетям до тех пор, пока не будет выплачен «выкуп», — более чем удвоилось по сравнению с 2020 годом. . А отчет FireEye Mandiant M-Trends 2021 обнаружил 800 попыток вымогательства, когда данные компании были украдены в период с 1 октября 2019 года по 30 сентября 2020 года.
Ставки очень высоки
Вот почему все больше и больше организаций нанимают тестировщиков на проникновение, также известных как белые хакеры (буквальный намек на символику западных фильмов середины 20-го века), таких как де Мец, чтобы намеренно взломать их системы.
«Это похоже на страховой полис. Если компании сейчас тратят деньги на безопасность, это спасает их от 10 или 100 миллионов долларов, которые они будут стоить в случае взлома», — объясняет де Мец. «Если они оценят свои программы-вымогатели и, например, привьют себя, это избавит компании от головной боли на месяцы и упущенной выгоды из-за невозможности вести бизнес».
Другая причина, по которой организации платят за взлом, заключается в том, чтобы убедиться, что они соответствуют более строгим нормативным стандартам. Здравоохранение, финансовые организации и правительственные учреждения, среди прочего, должны соблюдать федеральные, государственные и отраслевые правила кибербезопасности , поскольку взлом становится все более распространенным и дорогостоящим.
Кибербезопасность физическая и техническая
Когда люди думают о взломе, они обычно представляют себе одинокого рейнджера, атакующего личные данные компании из безопасного темного подвала их мамы. Однако специалисты по тестированию на проникновение рассматривают как физические, так и технические аспекты программы безопасности организации, поэтому взламывают ее изнутри.
«Компании не хотят ничего оставлять на столе, что может быть частью слабости позиции», — говорит де Мец. «Мы проверяем физический контроль; можем ли мы получить доступ к зданию, обойти систему безопасности, пройти через черный ход? Можем ли мы получить доступ к физическим файлам? Можем ли мы попасть в места, где компании печатают кредитные или подарочные карты?» Это критически важные физические вещи, на которые указывает де Мец, в дополнение к технической стороне, такой как доступ к сети или конфиденциальным данным.
Он также дает советы, например, рекомендации по программам обучения сотрудников, чтобы такие люди, как начальник, которого он встретил, знали, как проверять людей, которые должны находиться в здании. Или что делать, если они кого-то не узнают (вместо того, чтобы инициировать преследование по всему магазину, даже если из этого получится хорошая история). «Мы получаем от этого массу удовольствия, но мы также приносим большую пользу клиенту».
Как работает тестирование на проникновение
Тестеры на проникновение должны иметь подробные знания о технологиях, а это приходит с опытом, а не только с модными инструментами. «Тестирование на проникновение — это понимание технологии и взаимодействие с ней — знание того, как эта технология должна работать. Это методология и, возможно, приспособление инструмента к ней, но речь идет не просто о сценариях или инструментах».
Как только де Мец оказывается внутри системы, он ищет три вещи: где он может войти в систему, какие версии программного обеспечения используются и правильно ли настроены системы. «Можем ли мы угадать пароль? Можем ли мы найти какой-либо другой способ доступа к логину? Возможно, программное обеспечение устарело и есть эксплойт, поэтому мы пытаемся использовать какой-то код вымогателя против него, чтобы попытаться получить доступ к системе», он говорит. «Некоторые вещи можно найти в ходе аудита, но мы также находим вещи, о которых [организация] не думала».
Проникновение идет глубже, чем аудит сети, и это важное отличие. Аудит спрашивает, соблюдается ли программа безопасности? Тестирование на проникновение спрашивает, работает ли программа?
Тестировщики проникновения смотрят на это с высоты птичьего полета стратегии безопасности. Проблема может заключаться не в простом устаревшем программном обеспечении, а во всей стратегии безопасности, которую необходимо улучшить. Вот что выясняет де Мец.
Многим малым и средним предприятиям трудно финансировать надежную инфраструктуру безопасности. Тем не менее, взлом в белых шляпах становится все более популярным среди организаций, ответственных за личные данные, таких как Facebook, которая известна тем, что поощряет белых хакеров через свою программу Bug Bounty для поиска уязвимостей в своей системе.
Де Мец также рассказал в подкастах некоторые из своих самых драматических историй о тестировании на проникновение. У него двоякая цель: развлечь слушателей дикими историями, но, что более важно, подчеркнуть ценность тестирования на проникновение и то, что поставлено на карту, если компании этого не сделают. Вы можете никогда их не увидеть, никогда не узнать об их существовании, но тестеры на проникновение помогают обеспечить безопасность бизнеса и клиентов, таких как вы, в большей безопасности.
Теперь это интересно
Не только черные и белые хакеры взламывают бизнес-системы. Хакеры «серой шляпы» стирают грань между «хорошим» и «плохим» взломом, взламывая системы для выявления уязвимостей без разрешения, а затем иногда запрашивая небольшую плату за устранение проблем.
