SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Этичный хакер и его роль в безопасности

Этичный хакер и его роль в безопасности
13.11.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision

 

Иногда можно услышать, как людей, понимающих устройство программы, сайта или базы данных, называют хакерами. В этой статье мы расскажем про тех, кого так называют, развеем основные мифы об их сфере деятельности и о том, чем этичный хакер отличается от остальных.


Сложные технологии надёжно проникли в нашу жизнь, с ними связаны образование, работа, повседневные дела и развлечения. У технологий обычно есть разработчики, владельцы и клиенты; при помощи технологий внутри систем хранятся разные данные, простые и конфиденциальные, а значит, есть и люди, стремящиеся получить эти данные, взломав систему, и те, кто защищает её от злоумышленников.


Этичный хакинг – это использование знаний о технологиях для исследования систем, обнаружения уязвимостей и применения навыков взлома с целью укрепления безопасности. Данный процесс описывается различными методологиями (как, например, NIST для описания процессов реагирования на киберинциденты), но в общем может включать набор понятных шагов:


1) Сбор информации

Этот этап включает в себя сбор максимального количества открытой информации о целевой системе, сети, сотрудниках и структуре организации. Используются доступные законные средства поиска информации и иногда методы социальной инженерии.


2) Сканирование объекта

Хакер использует различные инструменты для обнаружения уязвимостей в целевой системе (поиск открытых портов, служб, приложений). Подобные средства используются и внутри компаний для описания ИТ-ландшафта и управления активами компании.


3) Получение доступа

Использование обнаруженных на прошлом шаге технических уязвимостей, слабых паролей, незащищённых компьютеров и т.д.


4) Закрепление

Хакеру выгодно иметь постоянный доступ к системе, а значит, нужно сделать все, чтобы при первом же перезапуске устройства или возвращении пользователя за рабочий стол можно было остаться в инфраструктуре «взламываемого» объекта.


5) Анализ привилегий

Хакер анализирует полученный доступ и определяет, какие возможности у него есть из этой точки входа. Обычно стремятся получить права администратора, доступ к контроллеру домена или другие права, иногда в обход существующей IdM-системы.


По завершении процесса этичный хакер пишет и передаёт заказчику отчёт, по которому политики безопасности можно будет адаптировать так, чтобы в будущем другой хакер (уже, предположительно, злоумышленник) не смог использовать известные слабые места в эшелонах защиты компаний.


Этичный хакер не всегда является штатным сотрудником или работает в периметре. Иногда знания и творческий подход к решению задач, похожих на тестирование на проникновение, применяются в своего рода конкурсах, когда за найденные ошибки и уязвимости компания готова заплатить любому «искателю» (как, например, делают Yandex и Google).


Стать «белым» хакером проще всего тем, кто обучается или применяет на практике знания в информационной безопасности (т.е. студентам, сотрудникам ИТ-отделов, аналитикам SOC и т.д.), а подтвердить навыки можно на специальных соревнованиях (например, образовательных, вендорских или партнёрских), а также сертификатами (CEH – Certified Ethical Hacker, OSCP – Offensive Security Certified Professional и др.).


Чаще всего под хакерами понимают тех, кто взламывает систему, чтобы получить выгоду обманом, но это не всегда верно – этичных хакеров и злоумышленников действительно может объединять их мотивация (зарабатывание денег), но подходы и способы работы будут различаться. Если черные хакеры планируют разрушение, воровство данных или другие вредоносные активности, белые – стремятся улучшить безопасность и готовы зарабатывать честным путём (например, как штатный сотрудник). Белые хакеры занимаются тестированием на проникновение с разрешения владельцев системы для повышения безопасности данных, в т.ч. в целях защиты клиентов.


Благодаря кинематографу (например, американский «Мистер Робот» или «Оффлайн» российского производства) и общему ореолу тайны вокруг профессии (Цикада 3301, Анонимус) некоторые люди считают, что хакеры – это участники скрытых организаций, которые используют не доступные обычным людям технологии и могут взломать что угодно. Однако на самом деле взломать все системы практически невозможно, а используемые техники и средства можно достаточно легко изучить и понять. Большинство атак основано на элементарных методах, таких как перебор слабых паролей, фишинг (жертва сама передаёт данные в руки хакеру) и социальная инженерия (когда применяются психологические уловки). Хакер – не обязательно скрытный молодой человек, сидящий в подвале, напичканном передовыми технологиями.


Третий миф о процессе хакинга – взломать компьютер можно за считаные секунды, и никакие способы защиты не помогут. В реальности, поскольку хакеры используют обычные земные технологии и психологтческие уловки, многие из их инструментов уже хорошо изучены и описаны, их изучают в университетах или описывают в аналитических отчётах и фидах для проведения анализа угроз.


Важно подсветить также, что взлому подлежат не только компьютеры, но и сети (о которых мы рассказывали в другой статье), умные устройства (IoT, интернет вещей), смартфоны, планшеты, банковские системы и множество других устройств и объектов.


Оба типа хакеров при этом могут действовать в одиночку или в составе групп/сообществ. Белые хакеры часто работают на основе контрактов или соглашений, определяющих параметры и цели их тестирования на проникновение. Действия черных хакеров – незаконны, а сам злоумышленник за их совершение может подвергнуться наказанию. Чтобы разделить два этих понятия окончательно, предлагаем сформулировать основные принципы этичного хакинга:


· Соответствие законам и нормам

Существуют законы и нормы, регулирующие информационную безопасность и компьютерные системы, обеспечивающие безопасность людей и компаний. В этичном процессе законы соблюдаются на 100%.


· Цели и методы

Несмотря на схожие процессы, методы работы этичных хакеров нацелены на повышение безопасности системы, а не на кражу данных или шантаж. Поиск уязвимостей и потенциальных угроз в процессе этичного хакинга завершается устранением, а не эксплуатацией.


· Разрешение на деятельность

Для этичных хакеров создаются контракты, выдаются явные разрешения от владельцев систем или объявляются публичные награды за деятельность, направленную на улучшение безопасности.


Таким образом, хакеры действительно могут использовать свои навыки и умения для взлома технических средств, но делать это могут не только чтобы выкрасть или уничтожить данные, но и для повышения уровня безопасности. Сломать можно что угодно, но базовые приёмы по защите себя и своих данных – отлично работают и против хакеров-злоумышленников.

Практика ИБ Управление ИБ ИБ для начинающих Подкасты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют