Одна из причин увеличения числа кибератак на организации – наличие критически важных цифровых активов.

Автор: Руслан Сулейманов, директор по цифровой трансформации Innostage

Проактивная защита

Специалисты по ИБ шутят, что гарантией полной защиты компании может быть только ее закрытие, и то не всегда. Один из наиболее верных способов укрепить цифровую безопасность любой компании – проведение открытых кибериспытаний (ОКИ), цель которых – осуществить недопустимое для бизнеса событие в реальной инфраструктуре. Недопустимыми могут быть любые серьезные инциденты, например остановка критичного бизнес-процесса, кража данных клиентов или уничтожение информации. Выполнить подобный сценарий с ходу не получится. Для его реализации хакеру необходимо исследовать бизнес-процессы компании – узнать, например, где хранится информация о клиентах или как реализуются платежи.

Основное преимущество ОКИ – отсутствие ограничений. Другие виды проверки ИБ (пентесты и багбаунти) подразумевают множественные запреты. Белым хакерам ставят определенные условия, например, что проверять и какие способы проникновения использовать. В отличие от ОКИ, которые ограничивают исследователей лишь рамками Уголовного кодекса.

Почему ОКИ?

Прохождение ОКИ на несколько порядков уменьшает вероятность реального взлома – в случае успешной атаки компания получает возможность устранить уязвимости. Испытания длятся, как правило, около шести месяцев, по окончании которых компания получает сертификат, подтверждающий надежную защиту ИТ-периметра.

Мы запустили программу ОКИ в конце мая 2024 г. Сейчас в ней участвует более 730-и независимых исследователей с различным уровнем подготовки. В арсенале специалистов присутствует до 99% инструментов и методик взлома, актуальных на сегодня. Что касается размера вознаграждения, то недавно он был увеличен с 5 млн руб. до 10 млн руб.

Методика ОКИ от АО «Кибериспытания», которой мы следуем, предписывает проводить проверку каждые шесть месяцев, добавляя новые недопустимые события и расширяя программу.

Как подготовить компанию к ОКИ

В первую очередь необходимо навести порядок в инфраструктуре. Мы, например, использовали для этого внутренний фреймворк киберустойчивости CyberYool, обеспечивающий подготовку к любым проверкам ИБ. Он также помогает выстроить правильные процессы ИБ и киберустойчивую ИТ-инфраструктуру за пять шагов.

Оценка уровня киберустойчивости.
Дизайн целевой архитектуры.
Трансформация и обеспечение процессов (определение контекста, проектирование, планирование изменений архитектуры, а также выстраивание процессов вокруг нее).
Подготовка персонала и обучение команды.
Независимая оценка устойчивости (киберучения, багбаунти). Выбирая багбаунти, компания привлекает белых хакеров для поиска ошибок и уязвимостей в отдельной системе за вознаграждение. Можно начать с публичных ресурсов, например с сайта компании, и небольшого вознаграждения: стоимость некритичных уязвимостей обычно составляет от 5 тыс. руб., а критичных – от 25 тыс. руб. до 100 тыс. руб.

Подготовка – довольно длительный процесс. Например, у нас он занял девять месяцев.

Перед багбаунти и ОКИ необходимо провести обучение сотрудников основам кибербезопасности. Помимо теоретических занятий можно проводить внутренние тренировочные фишинговые атаки, во время которых ИБ-специалисты инициируют рассылку писем с предложением перейти по ссылке. Кажется невероятным, но даже в ИТ-компаниях находятся люди, выполняющие указания неизвестных отправителей. В других отраслях подобные тесты часто демонстрируют плачевный уровень цифровой грамотности сотрудников.

Любая, даже самая безопасная система чаще всего страдает из-за наиболее слабого звена, которым является человек, поэтому на работу с сотрудниками стоит обратить особое внимание.

На старт, внимание…

Для успешного проведения открытых кибериспытаний прежде всего необходимо определиться с выбором площадки для тестирования. В России есть три основные платформы, которые специализируются на программах багбаунти и на которых можно найти зарегистрированных независимых исследователей нужного уровня.

Второй важный момент – организационная готовность компании: понимание цели проекта, изучение методики, выделение бюджета. Справедливая сумма призового фонда определяется по результатам аудита, в процессе которого проверяется зрелость механизмов ИБ внутри компании и вокруг нее.

Еще один нюанс – оценка готовности компании к значительному увеличению количества кибератак. Нужно понять, сможет ли ИБ-отдел заниматься отражением атак без расширения штата и ущерба бизнес-процессам. Кроме этого, необходимо учитывать готовность процессов реагирования на возникающие инциденты. Имеет смысл заранее автоматизировать некоторые функции, внедрить оркестрацию и автоматизацию для поддержки работы первой линии.

Резюмируя вышесказанное

Открытые кибериспытания – это история о циклическом совершенствовании системы кибербезопасности. Обычно их проводят каждые шесть месяцев, что позволяет оперативно реагировать на инновационные модели работы хакеров, появление новых инструментов взлома и изменение инфраструктуры компании.

Успешный взлом во время кибериспытаний следует оценивать как позитивный результат. Лучше заплатить сравнительно небольшое вознаграждение тому, кто поможет устранить брешь, чем огромный выкуп настоящему злоумышленнику, который похитит все деньги со счета компании или скопирует чувствительные данные клиентов.

ITSec_articles

Read More

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x