Журнал "Information Security/ Информационная безопасность" #5, 2024

Проактивная защита СпециалистыпоИБшутят,чтогаранти- ейполнойзащитыкомпанииможетбыть толькоеезакрытие,итоневсегда.Один изнаиболееверныхспособовукрепить цифровуюбезопасностьлюбойкомпании –проведениеоткрытыхкибериспытаний (ОКИ),целькоторых– осуществитьнедо- пустимоедлябизнесасобытиевреальной инфраструктуре.Недопустимымимогут бытьлюбыесерьезныеинциденты,напри- меростановкакритичногобизнес-процес- са,кражаданныхклиентовилиуничтоже- ниеинформации.Выполнитьподобный сценарийс ходунеполучится.Дляего реализациихакерунеобходимоисследо- ватьбизнес-процессыкомпании– узнать, например,гдехранитсяинформацияо кли- ентахиликакреализуютсяплатежи. ОсновноепреимуществоОКИ–отсут- ствиеограничений.Другиевидыпроверки ИБ(пентестыибагбаунти)подразумевают множественныезапреты.Белымхакерам ставятопределенныеусловия,например, чтопроверятьи какиеспособыпроникно- венияиспользовать.ВотличиеотОКИ, которыеограничиваютисследователей лишьрамкамиУголовногокодекса. Почему ОКИ? ПрохождениеОКИнанесколько порядковуменьшаетвероятностьреаль- ноговзлома–вслучаеуспешнойатаки компанияполучаетвозможностьустра- нитьуязвимости.Испытаниядлятся,как правило,околошестимесяцев,поокон- чаниикоторыхкомпанияполучаетсер- тификат,подтверждающийнадежную защитуИТ-периметра. МызапустилипрограммуОКИвконце мая2024г.Сейчасвнейучаствуетболее 730-инезависимыхисследователейс различнымуровнемподготовки.Варсе- налеспециалистовприсутствуетдо99% инструментовиметодиквзлома,акту- альныхнасегодня.Чтокасаетсяразмера вознаграждения,тонедавноонбылуве- личенс5млнруб.до10млнруб. МетодикаОКИотАО"Кибериспытания", котороймыследуем,предписываетпро- водитьпроверкукаждыешестьмесяцев, добавляяновыенедопустимыесобытия ирасширяяпрограмму. Как подготовить компанию к ОКИ Впервуюочередьнеобходимонавести порядоквинфраструктуре.Мы,например, использовалидляэтоговнутренний фреймворккиберустойчивостиCyberYool, обеспечивающийподготовкуклюбым проверкамИБ.Онтакжепомогает выстроитьправильныепроцессыИБи киберустойчивуюИТ-инфраструктуруза пятьшагов. 1.Оценкауровнякиберустойчивости. 2.Дизайнцелевойархитектуры. 3.Трансформацияиобеспечениепро- цессов(определениеконтекста,про- ектирование,планированиеизменений архитектуры,атакжевыстраиваниепро- цессоввокругнее). 4.Подготовкаперсоналаиобучение команды. 5.Независимаяоценкаустойчивости (киберучения,багбаунти).Выбираябаг- баунти,компанияпривлекаетбелых хакеровдляпоискаошибокиуязвимо- стейвотдельнойсистемезавознаграж- дение.Можноначатьспубличныхресур- сов,напримерссайтакомпании, и небольшоговознаграждения:стои- мостьнекритичныхуязвимостейобычно составляетот5тыс.руб.,акритичных– от25тыс.руб.до100тыс.руб. Подготовка–довольнодлительный процесс.Например,унасонзанял девятьмесяцев. ПередбагбаунтииОКИнеобходимо провестиобучениесотрудниковосновам кибербезопасности.Помимотеоретиче- скихзанятийможнопроводитьвнутрен- ниетренировочныефишинговыеатаки, вовремякоторыхИБ-специалистыини- циируютрассылкуписемспредложени- емперейтипоссылке.Кажетсяневеро- ятным,нодажевИТ-компанияхнахо- дятсялюди,выполняющиеуказания неизвестныхотправителей.Вдругих отрасляхподобныетестычастодемон- стрируютплачевныйуровеньцифровой грамотностисотрудников. Любая,дажесамаябезопаснаясисте- мачащевсегострадаетиз-занаиболее слабогозвена,которымявляетсячело- век,поэтомунаработуссотрудниками стоитобратитьособоевнимание. На старт, внимание… Дляуспешногопроведенияоткрытых кибериспытанийпреждевсегонеобхо- димоопределитьсясвыборомплощадки длятестирования.ВРоссииестьтри основныеплатформы,которыеспециа- лизируютсянапрограммахбагбаунти и накоторыхможнонайтизарегистри- рованныхнезависимыхисследователей нужногоуровня. Второйважныймомент–организа- ционнаяготовностькомпании:понима- ниецелипроекта,изучениеметодики, выделениебюджета.Справедливая суммапризовогофондаопределяется порезультатамаудита,впроцессекото- рогопроверяетсязрелостьмеханизмов ИБвнутрикомпанииивокругнее. Ещеодиннюанс–оценкаготовности компаниикзначительномуувеличению количествакибератак.Нужнопонять, сможетлиИБ-отделзаниматьсяотра- жениематакбезрасширенияштата и ущербабизнес-процессам.Кроме этого,необходимоучитыватьготовность процессовреагированиянавозникаю- щиеинциденты.Имеетсмыслзаранее автоматизироватьнекоторыефункции, внедритьоркестрациюиавтоматизацию дляподдержкиработыпервойлинии. Резюмируя вышесказанное Открытыекибериспытания–этоисто- рияоциклическомсовершенствовании системыкибербезопасности.Обычно ихпроводяткаждыешестьмесяцев, чтопозволяетоперативнореагировать наинновационныемоделиработыхаке- ров,появлениеновыхинструментов взломаиизменениеинфраструктуры компании. Успешныйвзломвовремякиберис- пытанийследуетоцениватькакпози- тивныйрезультат.Лучшезаплатить сравнительнонебольшоевознагражде- ниетому,ктопоможетустранитьбрешь, чемогромныйвыкупнастоящемузло- умышленнику,которыйпохититвседень- гисосчетакомпанииилископирует чувствительныеданныеклиентов.l 68 • УПРАВЛЕНИЕ Открытые кибериспытания: как проверить компанию на прочность Руслан Сулейманов, директор по цифровой трансформации Innostage Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото:Innostage дна из причин увеличения числа кибератак на организации – наличие критически важных цифровых активов. О