До сих пор большинство компаний недооценивают риски кражи или компрометации коммерческой информации и считают, что их данные находятся в абсолютной недосягаемости для киберпреступников. Один из способов минимизировать риски – регулярное проведение пентеста для оценки степени уязвимости корпоративной инфраструктуры.
Для сотрудников служб информационной безопасности есть специальные курсы Red Team от CyberED, помогающие понять, как мыслят и действуют сетевые мошенники.
Что такое пентест?
Пентест(penetration testing) - это дословно «тестирование на проникновение». Так называют совокупность приемов, с помощью которых этичные хакеры ищут уязвимости в сетях заказчика. Их действия направлены на выявление брешей в защите компании на уровне программных приложений и сетей.
Пентестеру необходимо поставить себя на место хакера-злоумышленника, то есть искать и находить программные уязвимости, а затем применять украденные данные для новых атак. Практикующий пентестер обладает довольно обширными знаниями::
- Основные способы проникновения хакеров в систему
- Возможные пути и направления атаки;
- Поведение защитных систем при попытках проникновения;
- Вероятный ущерб, который могут причинить злоумышленники.
Этичный хакер сначала моделирует возможные варианты атаки, затем подбирает методы, которыми сможет осуществить ее, реализует, а в финале составляет подробный отчет о результатах и выдает рекомендации по улучшению защиты.
Пентест – часть направления Read Team
Red Team, или наступательная кибербезопасность, — это оценка уровня информационной безопасности систем за счет имитации реальных кибератак, которые выполняются командой специалистов — пентестеров.
То есть специалисты Red Team, по сути, моделирует кражу конфиденциальной информации в составе преступной группы. Исполнители ставят себе целью любыми путями получить доступ к нужным данным и подробно описать заказчику ход успешной атаки.
Подчеркнем, что Red Team в отличие от пентеста — это именно командная оценка безопасности, над которой работает целая группа белых хакеров. И задача у нее масштабнее, нежели просто найти дыры в системе защиты и сообщить о них.
Вместо этого Red Team постарается получить прямой доступ к ценным данным, причем самыми нестандартными и неожиданными способами — в точности как реальные злоумышленники.
Отличает Red Team от стандартного пентеста ещё и то, что это структурированный и комплексный подход к кибербезопасности. Цель в том, чтобы проверить все возможные варианты проникновения, которые могут задействовать компьютерные взломщики. Для этого существует несколько стандартных методологий:
- MITRE ATT&CK — матрица, которая объединяет в себе паттерны и особенности поведения реальных злоумышленников. С её помощью Red Team может имитировать самые разные сценарии атак;
- PTES — организационная методология, помогающая спланировать работу и повысить эффективность атак, а также определиться с инструментами проникновения;
- OWASP — методология взлома веб-ресурсов и веб-приложений, пользуясь которой Red Team может получать доступы к другим системам.
Связь между пентестом и Red Team
Безусловно, пентест — это основополагающее направление в Red Teaming. Однако второй вариант задействуется, когда система прошла более простые проверки на безопасность и теперь пришло время
Поэтому редтиминг — всегда комплексная услуга, в основе которой лежат тесты на проникновение и в инфраструктуру, и в различные средства защиты. Применяются:
- Проверка приложений на возможность подделки межсайтовых запросов, уязвимости при вводе данных;
- Проверка сетей, например, на наличие несанкционированных подключений, взлом точек доступа WiFi, проникновение в мобильные устройства через Bluetooth и другие;
- Получение физического доступа, например, к носителям информации, камерам слежения, веб-камерам;
- Социальный инжиниринг — фишинговые рассылки, звонки, попытки подкупа, подмены ключей доступа и всевозможные манипуляции в расчете на невнимательность или неподготовленность персонала.
Сценариев, как добраться до искомых данных, может быть великое множество, вплоть до взлома замков в серверную или проникновения туда под видом сотрудника технической поддержки. Опытная Red Team продумает не один, не два и даже не три варианта — все зависит от целей заказчика.
Как устроен процесс Red Teaming
Ключевое в редтиминге то, что он проводится в обстановке секретности. Команда защиты, разумеется, ни о чем не подозревает и действует так, будто отражает реальную атаку хакеров. Её задача — обнаружить «налетчиков», пресечь проникновение и расследовать инцидент. Задача нападающих — добраться до ценной информации и не выдать себя в процессе.
Обычно процесс разбивается на несколько этапов:
- Компания организует учения по кибербезопасности и согласует их с командой пентестеров. Это могут быть как внутренние структуры информационной безопасности, так и сторонний подрядчик. Целью учений может быть анализ риска уязвимости информации на конкретном сервере;
- Команда пентестеров проводит разведку и намечает схему проникновения с использованием сетевых служб, внутренних порталов и мессенджеров сотрудников, различных приложений;
- Далее команда начинает искать уязвимости, чаще всего через XSS (межсайтовый скриптинг) и различные варианты фишинга, чтобы получить доступ к подсистемам;
- Как только цель будет достигнута, Red Team начнет искать другие уязвимости, чтобы повысить уровень доступа. Цель киберучений будет считаться достигнутой, как только взломщики доберутся до искомых данных;
- По итогам составляется подробный отчет, где детально расписывается, как пентестерам удалось обойти защиту и добиться цели, а также даются рекомендации, как можно усилить компоненты безопасности.
Даже если финальная цель не была достигнута, Read Team все равно попытаются проникнуть как можно дальше и зафиксировать результаты в отчете.
Где получить образование пентестера?
Итак, Red Team — крайне перспективное направление в кибербезопасности и его однозначно стоит освоить. Наиболее удобный вариант — пройти сертифицированные онлайн-курсы, где будет много практики с разбором множества вариантов уязвимостей и сценариев атак, а также возможность отработать полученные навыки на киберполигоне.
Такие курсы есть у учебного центра CyberED, который как раз специализируется на повышении квалификации специалистов ИБ, сисадминов и разработчиков, обучая навыкам пентеста.
Образовательные программы CyberED позволят нет только познакомиться с направлением Red, но и благодаря большому количеству практических занятий, подготовиться к работе по этой специальности.
CyberED предлагает своим студентам широкий спектр образовательных программ различной длительности. Перед стартом курса студентам проводится диагностика знаний и навыков. CyberED является партнером Standoff 365, благодаря чему студенты могут проходить практику на киберполигоне Standoff.
CyberED — одна из немногих образовательных компаний, где все обучение проходит «в живую». Преподают курсы CyberED более 40 экспертов-практиков — сотрудников крупнейших технологических компаний России. При разработке курсов команда CyberED опирается на передовой международный опыт.
По итогам прохождения курсов студенты могут воспользоваться сервисом карьерных консультаций CyberED.
Если вы не знаете, с чего начать обучение, в CyberED есть бесплатный вводный курс по пентесту «Профессия — Белый хакер», где можно попробовать себя в роли этичного хакера и определиться с дальнейшим направлением. А чтобы определиться с выбором курса, можно просто заполнить специальную форму на главной странице CyberED, и представители компании помогут вам
Заключение
Каждый начинающий специалист при желании может прокачать навыки до уровня продвинутого этичного хакера. Если опыта в пентесте нет, то лучше начинать с малого — изучить основы кибербезопасности, например, на курсе «Администратор безопасности» CyberED.
