ПРОСТО О СЛОЖНОМ
Пентест – санкционированный взлом. Чтобы не стать жертвой киберпреступников, чтобы конфиденциальные данные вашей компании не стали всеобщим достоянием, чтобы ваши базы не уплыли к конкурентам, а с ваших счетов не списывались круглые суммы на неизвестные вам цели, – вам нужно проводить пентест. И даже если у вас крутой IT-отдел – это не гарантирует вашему бизнесу абсолютную защищенность от проникновения
ВВЕДЕНИЕ
Белые хакеры, черные хакеры – руководителю бизнеса не очень-то хочется вникать в эти расовые признаки непонятных сказочных персонажей. Хочется верить, что именно вас не коснется никакая утечка и никакой взлом. Сегодня мы поговорим о пентесте, узнаем, что это такое, зачем оно нужно, насколько это реально, насколько чужое проникновение опасно и убыточно, также узнаем, почему не стоит надеяться на ваш IT-отдел, и наоборот: узнаем, что не всегда IT-отдел виноват. Рассмотрим подробно проблему взаимоотношений IT-отдела и руководства, а также рассмотрим самые главные меры, которые ДОЛЖНО ПРИНИМАТЬ РУКОВОДСТВО, ЧТОБЫ НЕ ПОТЕРЯТЬ ДЕНЬГИ, ДОВЕРИЕ, ИМЯ
Что вы узнаете:
- Почему пентест так важен и необходим
- Виноват ли IT-отдел в том, что не предотвратил взлом
- Что вы, как руководитель, можете предпринять
Внимание: статья предназначена для руководителей бизнеса, здесь не будет технических подробностей и так далее, лишь общие понятия, которые помогут осознать проблему и принять нужное решение
Что такое пентест
«Тестирование на проникновение (жарг. Пентест) — метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника. Процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей, которые могут спровоцировать некорректную работу целевой системы, либо полный отказ в обслуживании» (Википедия)
Говоря простым языком, пентест — это когда вы нанимаете специально обученных людей сломать вашу систему. Приведу аналогию: вы построили дом и хотите узнать, насколько вы защищены от воров. Чтобы это узнать – лучше всего предложить проникнуть в дом настоящему вору, конечно, под вашим присмотром. Так вот: дом – ваша сеть, проникновение под присмотром – пентест, вор – пентестер. Важное замечание: пентестер – тот же хакер, он очень успешно ломает чужие системы, но при этом от «злого хакера» он отличается тем, что работает ТОЛЬКО ПО ЗАКОНУ, то есть вы его официально нанимаете, он проводит свою работу, по окончанию которой сдает вам подробный отчет обо всех уязвимостях, которые были найдены.
Насколько реальна угроза
Всё можно взломать. Это аксиома. Чем сложнее система, тем априори в ней больше уязвимостей. Киберпреступность – далеко не миф, и чем плотнее цифровизация входит в нашу жизнь, тем больше угроз и страшнее последствия. Существуют специальные команды сильнейших программистов, чей труд направлен на похищение чужих данных с целью перепродажи. В современном мире это данность, этим пренебрегать нельзя. Если вы думаете «да кому мы нужны» - вы заблуждаетесь. Вы – нужны, просто до вас еще не добрались, или же добрались, но вы об этом не знаете.
Взлом может произойти извне, взлом может быть произведен изнутри, он может быть проведен как с помощью технических средств, так и с помощью социальной инженерии. Позвоните своему секретарю с чужого номера и попросите отправить письмо куда-нибудь. Если она просто его отправит – вы только что взломали секретаря, поскольку по-хорошему она должна была перезвонить вам на ваш номер и перепроверить информацию, даже если она узнала ваш голос. Это простой пример, киберпреступники действуют гораздо изощреннее: устраиваются к вам на работу, соблазняют ваших девочек из бухгалтерии, роются в ваших мусорных баках и, конечно, вовсю сканируют вашу сеть.
Кстати, соблазнить могут не только девочек, но и мальчиков, причем мальчиков соблазнить куда проще. Если у вас выявился такой случай - ни в коем случае не увольняйте согрешившего сотрудника, поскольку во-первых он или она станет живым примером, во-вторых - больше у такого сотрудника не выудить вообще ничего. В любом случае в каждой ситуации нужно действовать по-разному, единого решения не бывает, тем не менее, увольнять не торопитесь. Если соблазненный мальчик слил все доступы - гоните его палкой, а если кто-то перешел по фишинговой ссылке - нельзя сразу отрубать руки, лучше объяснить и легонечко поругать. Тем более этот человек всем расскажет о своем фиаско с поддельной ссылкой, и многие тоже возьмут это во внимание.
Особое внимание стоит уделить веб-безопасности, поскольку это - наиболее легкий и популярный метод взлома. если у вас есть сайт с различными интеграциями, например, 1С-бухгалтерия, то вам обязательно следует проверить все возможные уязвимости самого сайта, поскольку риск утечки баз очень и очень высок.
Вы наверняка не можете знать, что произойдет завтра. Если сегодня нет дождя – завтра он может пойти. Так и с различными кибератаками. Нужно быть к ним готовым, максимально готовым, даже если их нет.
Способен ли обычный IT-отдел обеспечить полную безопасность
Вы наверняка думаете: у меня в IT-отделе работают очень крутые ребята, особенно если судить по ним из их рассказов, поэтому мне ничего не грозит. Смотрите: даже если у вас действительно крутые специалисты – атаки на вас возможны и уязвимости у вас есть. Конечно, если у вас нет специального отдела безопасности.
Возьмем для примера некий IT-отдел, состоящий из семи человек. Начальник IT-отдела, системный администратор, 1Сник, вебмастер, эникей, техник-электронщик по мелкому ремонту, специалист по слаботочкам (видеонаблюдение, опс и прочее). Каждый из них в идеале является профессионалом в своей области. НО ОН НЕ ЯВЛЯЕТСЯ ПРОФЕССИОНАЛОМ ПО ПРЕДОТВРАЩЕНИЮ КИБЕРУГРОЗ. Это как выговаривать стоматологу за то, что он очень плохо сделал операцию на глаз. Нормальный руководитель всегда понимает, что каждый должен заниматься своим делом. Да, несомненно, в обязанности системного администратора входит умение обезопасить свою сеть, но заниматься исключительно безопасностью он не может, поскольку у него и без этого масса работы.
Еще один нюанс: мало кто из начальников IT-отдела охотно согласится на пентест, более того, он всячески будет препятствовать этой затее, поскольку пентест – как осмотр у врача: вроде был здоров, пришел к врачу и понял, что оказался на пороге смерти (немного утрирую, но в целом все верно). Повторим: мало кто из начальников IT-отдела захочет обнажать собственные проблемы, поскольку вполне правильно боится, что его попросту могут уволить.
По поводу увольнения. Руководитель по итогам пентеста увидит результаты работы своих айтишников только касаемо безопасности. Перед тем, как махать шашкой, оцените всю работу вашего отдела. Посмотрите, что сделано, а что нет, жалуются ли пользователи, все ли работает, если не учитывать безопасность. Кроме того, по окончанию пентеста вы всегда сможете узнать мнение пентестера о квалификации своих работников. Иногда – нужно уволить всех, иногда – выписать всем премии и закрыть уязвимости.
Сравнение слабого и сильного IT-отдела
Вот, наверное, самый сложный вопрос: как узнать, насколько ваш отдел хорош. Давайте начнем с простого. Обратите внимание на то, чем они занимаются целый день. Если они гоняют игрушки по сети – пора прощаться. Если большинство пользователей вашей компании постоянно жалуются на проблемы, связанные с IT, – надо делать выводы.
Слабый IT-отдел на словах всегда сильнее всех, а нормально работать им мешает тысяча причин. Сильный IT-отдел решает проблемы качественно, за счет использования имеющихся ресурсов и постоянно просит у начальства новые игрушки, при этом объясняет, зачем они нужны. Хороший отдел способен приносить огромную экономию компании за счет автоматизации бизнес-процессов, внедрения решений, которые помогают вашему бизнесу расти. А плохой отдел с трудом поддерживает то, что есть, никаких нововведений там и быть не может.
Также проблему кадров можно решать с помощью аудита. Пригласите сторонних специалистов для аудита. Это тоже хорошее решение. Важно понимать одно: ЕСЛИ У ВАС ОПЛАТА ТРУДА НЕ АХТИ – В ВАШЕМ ОТДЕЛЕ ПРОФЕССИОНАЛЫ НЕ ЗАДЕРЖАТСЯ. Это касается и условий труда.
Проблемы взаимоотношений руководства и IT-отдела: кто в чем виноват
Как уже говорилось, пентест обычно вскрывает кучу «болячек». Далеко не во всех из них виноват IT-отдел. Очень часто в проблемах с безопасностью виноваты руководители. Возьмем, к примеру, лицензирование программного обеспечения. Так вот: если вы не выделили деньги на лицензированные продукты – IT-отдел в этом не виноват. А вероятность проникновения в таком случае возрастает в разы. Всегда находите деньги на лицензионное ПО, поскольку скупой платит дважды.
Второй вопрос: ваши айтишники просили деньги на новое оборудование, а вы решили, что старого достаточно. Если же злоумышленники воспользуются уязвимостями старого оборудования – то вина тоже лежит на вас, поскольку вас предупреждали.
Третий вопрос: избыточность и отказоустойчивость. Тут нужно искать золотую середину. Оцените риски простоя вашего бизнеса. Потом посчитайте, во сколько вам обойдется дополнительное оборудование, резервный канал провайдера и так далее, а дальше действуйте по возможностям. Главное – не забывайте выделять хотя бы малую долю бюджета на потребности IT-отдела.
Теперь зайдем с другой стороны. Если вы приобрели нормальное оборудование, а системный администратор настроил его отвратительно плохо – тут вина системного администратора. Или же вы ни сном ни духом не ведали, что у вас нет лицензий. Если вас не предупреждали о чем то – виноваты опять же работники IT-отдела, они должны были предупредить вас.
Нюансов взаимоотношений очень много, их все не перечесть, здесь лишь основные моменты, если их принять во внимание – всем станет легче жить, кроме ленивых айтишников, которые работают спустя рукава, им эта статья не понравится. Также как и не понравится она руководителю, который не до конца понимает свою ответственность за работу IT-отдела.
Что выгоднее: затраты на пентест или «не пускаем посторонних, у нас все хорошо»
Пентест – не разовая акция, его следует проводить периодически. Да, стоит это недешево, особенно если приглашать крутых специалистов. Но оно того стоит все равно. Посчитайте для себя, во сколько вам обойдется день простоя вашего бизнеса, посчитайте возможные убытки при краже ваших баз данных, личной информации клиентов, имидже компании, не забудьте представить, что вирус-шифровальщик зашифровал абсолютно все ваши файлы, а бэкапов не было оказывается. Если вы все это представите и подсчитаете вероятные убытки, то затраты на пентест уже не покажутся вам такими уж огромными.
Подведем итоги. Пентест – нужная вещь, нужен он периодически, проводить его должны специально обученные люди. Можно было расписать все очень подробно, но цель статьи – дать примерное понимание. Если статья заставила вас задуматься – то цель достигнута. Следите за новостями, подписывайтесь на телеграм-канал внизу сайта, в ближайшем будущем возьмем интервью у классных пентестеров, настоящих профессионалов, которые уже более грамотно и на собственном опыте расскажут о пентесте.
Если Вы рассматриваете возможность проверить Вашу организацию на наличие уязвимостей и заказать пентест - оставьте заявку, Вам перезвонят в ближайшее время