SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Этичный хакер и его роль в безопасности

Этичный хакер и его роль в безопасности
13.11.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision

 

Иногда можно услышать, как людей, понимающих устройство программы, сайта или базы данных, называют хакерами. В этой статье мы расскажем про тех, кого так называют, развеем основные мифы об их сфере деятельности и о том, чем этичный хакер отличается от остальных.


Сложные технологии надёжно проникли в нашу жизнь, с ними связаны образование, работа, повседневные дела и развлечения. У технологий обычно есть разработчики, владельцы и клиенты; при помощи технологий внутри систем хранятся разные данные, простые и конфиденциальные, а значит, есть и люди, стремящиеся получить эти данные, взломав систему, и те, кто защищает её от злоумышленников.


Этичный хакинг – это использование знаний о технологиях для исследования систем, обнаружения уязвимостей и применения навыков взлома с целью укрепления безопасности. Данный процесс описывается различными методологиями (как, например, NIST для описания процессов реагирования на киберинциденты), но в общем может включать набор понятных шагов:


1) Сбор информации

Этот этап включает в себя сбор максимального количества открытой информации о целевой системе, сети, сотрудниках и структуре организации. Используются доступные законные средства поиска информации и иногда методы социальной инженерии.


2) Сканирование объекта

Хакер использует различные инструменты для обнаружения уязвимостей в целевой системе (поиск открытых портов, служб, приложений). Подобные средства используются и внутри компаний для описания ИТ-ландшафта и управления активами компании.


3) Получение доступа

Использование обнаруженных на прошлом шаге технических уязвимостей, слабых паролей, незащищённых компьютеров и т.д.


4) Закрепление

Хакеру выгодно иметь постоянный доступ к системе, а значит, нужно сделать все, чтобы при первом же перезапуске устройства или возвращении пользователя за рабочий стол можно было остаться в инфраструктуре «взламываемого» объекта.


5) Анализ привилегий

Хакер анализирует полученный доступ и определяет, какие возможности у него есть из этой точки входа. Обычно стремятся получить права администратора, доступ к контроллеру домена или другие права, иногда в обход существующей IdM-системы.


По завершении процесса этичный хакер пишет и передаёт заказчику отчёт, по которому политики безопасности можно будет адаптировать так, чтобы в будущем другой хакер (уже, предположительно, злоумышленник) не смог использовать известные слабые места в эшелонах защиты компаний.


Этичный хакер не всегда является штатным сотрудником или работает в периметре. Иногда знания и творческий подход к решению задач, похожих на тестирование на проникновение, применяются в своего рода конкурсах, когда за найденные ошибки и уязвимости компания готова заплатить любому «искателю» (как, например, делают Yandex и Google).


Стать «белым» хакером проще всего тем, кто обучается или применяет на практике знания в информационной безопасности (т.е. студентам, сотрудникам ИТ-отделов, аналитикам SOC и т.д.), а подтвердить навыки можно на специальных соревнованиях (например, образовательных, вендорских или партнёрских), а также сертификатами (CEH – Certified Ethical Hacker, OSCP – Offensive Security Certified Professional и др.).


Чаще всего под хакерами понимают тех, кто взламывает систему, чтобы получить выгоду обманом, но это не всегда верно – этичных хакеров и злоумышленников действительно может объединять их мотивация (зарабатывание денег), но подходы и способы работы будут различаться. Если черные хакеры планируют разрушение, воровство данных или другие вредоносные активности, белые – стремятся улучшить безопасность и готовы зарабатывать честным путём (например, как штатный сотрудник). Белые хакеры занимаются тестированием на проникновение с разрешения владельцев системы для повышения безопасности данных, в т.ч. в целях защиты клиентов.


Благодаря кинематографу (например, американский «Мистер Робот» или «Оффлайн» российского производства) и общему ореолу тайны вокруг профессии (Цикада 3301, Анонимус) некоторые люди считают, что хакеры – это участники скрытых организаций, которые используют не доступные обычным людям технологии и могут взломать что угодно. Однако на самом деле взломать все системы практически невозможно, а используемые техники и средства можно достаточно легко изучить и понять. Большинство атак основано на элементарных методах, таких как перебор слабых паролей, фишинг (жертва сама передаёт данные в руки хакеру) и социальная инженерия (когда применяются психологические уловки). Хакер – не обязательно скрытный молодой человек, сидящий в подвале, напичканном передовыми технологиями.


Третий миф о процессе хакинга – взломать компьютер можно за считаные секунды, и никакие способы защиты не помогут. В реальности, поскольку хакеры используют обычные земные технологии и психологтческие уловки, многие из их инструментов уже хорошо изучены и описаны, их изучают в университетах или описывают в аналитических отчётах и фидах для проведения анализа угроз.


Важно подсветить также, что взлому подлежат не только компьютеры, но и сети (о которых мы рассказывали в другой статье), умные устройства (IoT, интернет вещей), смартфоны, планшеты, банковские системы и множество других устройств и объектов.


Оба типа хакеров при этом могут действовать в одиночку или в составе групп/сообществ. Белые хакеры часто работают на основе контрактов или соглашений, определяющих параметры и цели их тестирования на проникновение. Действия черных хакеров – незаконны, а сам злоумышленник за их совершение может подвергнуться наказанию. Чтобы разделить два этих понятия окончательно, предлагаем сформулировать основные принципы этичного хакинга:


· Соответствие законам и нормам

Существуют законы и нормы, регулирующие информационную безопасность и компьютерные системы, обеспечивающие безопасность людей и компаний. В этичном процессе законы соблюдаются на 100%.


· Цели и методы

Несмотря на схожие процессы, методы работы этичных хакеров нацелены на повышение безопасности системы, а не на кражу данных или шантаж. Поиск уязвимостей и потенциальных угроз в процессе этичного хакинга завершается устранением, а не эксплуатацией.


· Разрешение на деятельность

Для этичных хакеров создаются контракты, выдаются явные разрешения от владельцев систем или объявляются публичные награды за деятельность, направленную на улучшение безопасности.


Таким образом, хакеры действительно могут использовать свои навыки и умения для взлома технических средств, но делать это могут не только чтобы выкрасть или уничтожить данные, но и для повышения уровня безопасности. Сломать можно что угодно, но базовые приёмы по защите себя и своих данных – отлично работают и против хакеров-злоумышленников.

Практика ИБ Управление ИБ ИБ для начинающих Подкасты ИБ

Рекомендуем

Геймификация и управление персоналом
Геймификация и управление персоналом
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Сертификация ФСТЭК
Сертификация ФСТЭК
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Обзор Баз данных угроз
Обзор Баз данных угроз
Уязвимости
Уязвимости
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Принципы информационной безопасности
Принципы информационной безопасности

Рекомендуем

Геймификация и управление персоналом
Геймификация и управление персоналом
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Сертификация ФСТЭК
Сертификация ФСТЭК
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Обзор Баз данных угроз
Обзор Баз данных угроз
Уязвимости
Уязвимости
Польза ИT-систем в работе ИБ-аналитика
Польза ИT-систем в работе ИБ-аналитика
Принципы информационной безопасности
Принципы информационной безопасности

Похожие статьи

Configuration-as-Code
Configuration-as-Code
Как устроены вредоносные программы
Как устроены вредоносные программы
Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Сертификация ФСТЭК
Сертификация ФСТЭК
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Обзор Баз данных угроз
Обзор Баз данных угроз
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре

Похожие статьи

Configuration-as-Code
Configuration-as-Code
Как устроены вредоносные программы
Как устроены вредоносные программы
Риски взлома аккаунтов и как им противостоять
Риски взлома аккаунтов и как им противостоять
Технические знания первоклассного специалиста SOC
Технические знания первоклассного специалиста SOC
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Сертификация ФСТЭК
Сертификация ФСТЭК
Lessons Learned: почему никогда не стыдно взять и всё переделать
Lessons Learned: почему никогда не стыдно взять и всё переделать
Обзор Баз данных угроз
Обзор Баз данных угроз
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре