Rõ ràng, tin tặc đang chuẩn bị mang đến cho doanh nghiệp Nga một mùa hè nóng nực. Vào tuần cuối cùng của tháng 5, việc bị ransomware tấn công đã được ít nhất hai công ty công khai thừa nhận.
Theo các chuyên gia, trong trường hợp của một nhà điều hành dịch vụ hậu cần lớn, hoạt động “tê liệt” kéo dài 3 ngày đã khiến công ty thiệt hại gần một tỷ rúp. Thiệt hại đối với công ty bị tấn công thứ hai, một nhà tích hợp phần mềm, cũng không kém phần cao: nhiều tổ chức mà nó đóng vai trò là nhà thầu và đối tác công nghệ đang bị đe dọa. Làm sao chống “giao thông đỏ”? Ý kiến của giám đốc kỹ thuật Innostage Anton Kuzmin.
Để đánh bại hacker, bạn cần suy nghĩ như hacker
Thực tế hiện đại là các doanh nghiệp cần phải chuẩn bị cho các cuộc tấn công mạng suốt ngày đêm, và đây là trận chiến mà kẻ thù có lợi thế: hắn nhìn thấy mục tiêu để tấn công, trong khi bản thân hắn vẫn ở trong bóng tối. Để cân bằng tỷ lệ cược, bạn cần phải suy nghĩ như một hacker và nếu có thể, hãy đi trước anh ta ít nhất một bước. Lĩnh vực an ninh mạng đang tích cực làm việc theo hướng này.
Ngày càng có nhiều công cụ: pentest, bug bonus (đọc tài liệu Anti-Malware.ru – “Bug Bounty: cách tin tặc da trắng có thể kiếm tiền ở Nga bằng cách tìm kiếm lỗ hổng»), xác minh các sự kiện không được chấp nhận, Đội đỏ và Đội tím… Tất cả đều bằng cách này hay cách khác nhằm mục đích xác minh và tăng cường an ninh mạng. Nhưng đối với người quản lý và chủ doanh nghiệp, tất cả những điều trên thường chỉ là một tập hợp những thuật ngữ khó hiểu. Từ bản báo cáo sâu sắc nhất, ông chỉ rút ra kết luận; kết quả của tiền thưởng lỗi có thể cho thấy điều gì đó khác… Nó trông giống như trong câu chuyện ngụ ngôn, nơi ý tưởng về một con voi được hình thành sau khi sờ vào tai, đuôi và vòi của nó.
Tất cả những gì CEO thực sự muốn biết là làm thế nào để thực sự xác minh rằng công ty được an toàn. Gần đây chúng tôi đã đưa chủ đề này ra thảo luận lớn tại PHDays 2.
Đừng mong đợi lãnh đạo công ty sẽ đi sâu vào chi tiết về an ninh mạng. Ông chủ yếu quan tâm đến chi phí của các rủi ro kinh doanh kỹ thuật số và việc định giá các dịch vụ giúp đánh giá khách quan và giảm thiểu những rủi ro tương tự này.
Có một con voi… nguyên con
Theo tôi, có thể tính đến ưu điểm của hầu hết các loại thử nghiệm và nghiên cứu độ ổn định kỹ thuật số (và có thể ăn – bất kỳ phép ẩn dụ nào gần bạn hơn) toàn bộ con voi bằng cách sử dụng một công cụ kết hợp như thử nghiệm mạng mở (OCT). Đây là một định dạng tương đối mới đang trong quá trình phát triển, giúp đánh giá mức độ an toàn tài chính của một công ty.
Đây là sáng kiến chung của ngành được hỗ trợ bởi Cyberus Foundation, các công ty CNTT và chuyên gia. Trong số “động cơ của sự tiến bộ” chính là những công ty dẫn đầu trong lĩnh vực an ninh mạng hiệu quả: Công nghệ tích cực và Innostage.
Các đại diện có thẩm quyền của cộng đồng CNTT chuyên nghiệp đã biên soạn phiên bản đầu tiên của phương pháp này với các quy tắc cơ bản để tiến hành thử nghiệm trên mạng, phiên bản này sẽ được phát triển và cải tiến hơn nữa khi các trường hợp đánh giá tính bảo mật của công ty mới xuất hiện. Phương pháp này được hỗ trợ bởi một hội đồng chuyên gia, bao gồm đại diện của Positive Technologies, Kaspersky Lab, Wildberries, Tinkoff, 3Side, v.v. Innostage cũng được đại diện bởi tác giả của những dòng này. Các thành viên của hội đồng chuyên gia sẽ theo dõi tiến trình kiểm tra mạng, đánh giá tính hiệu quả và tính đầy đủ trong công việc của tin tặc, đưa ra kết luận cuối cùng dựa trên kết quả nghiên cứu, đồng thời hỗ trợ phát triển phương pháp luận. Cơ quan này hoạt động như một tổ chức tự quản lý: các chuyên gia tự xác định ai xứng đáng có mặt trong hội đồng. Và quan trọng nhất, đây là nhóm những người cùng chí hướng, không giả vờ rằng mọi thứ đều được bảo vệ mà công khai nhận ra các vấn đề của ngành và nhu cầu thay đổi.
Theo Vyacheslav Levin, tổng giám đốc dự án Cybertest, tiền thưởng lỗi và pentest là những công cụ khá nội bộ cho phép các chuyên gia bảo mật thông tin kiểm tra các lỗ hổng để bảo vệ chúng tốt hơn. Theo đó, tất cả các yêu cầu đối với các chương trình như vậy đều do các dịch vụ này đặt ra.
Tôi đồng ý với kết luận của anh ấy rằng với mức độ quan sát nhất định và cách tiếp cận phân tích, điều này cho phép chúng tôi đưa ra kết luận chung và thường chủ quan về mức độ bảo mật kinh doanh. Để đánh giá khách quan cần có những tiêu chí và quy tắc rõ ràng.
“Chúng tôi cần một số tiêu chuẩn xác định những gì và cách bạn kiểm tra, những yêu cầu đối với quy trình và kết quả. Những người kiểm tra, những người bị kiểm tra, cũng như các bên quan tâm khác – ví dụ: khách hàng, đối tác kinh doanh, công ty bảo hiểm, cơ quan quản lý – phải đồng ý với tiêu chuẩn này”, Vyacheslav Levin lên tiếng yêu cầu PHDays 2 và nói thêm: “Cyber việc kiểm tra chỉ dựa trên một tiêu chuẩn được chấp nhận chung. Đây là câu chuyện giúp giải quyết vấn đề đánh giá độc lập và trả lời mức độ an toàn và bảo mật của công ty với tư cách là nhà cung cấp dịch vụ.”
Bạn đang phát minh lại bánh xe ở đây?
Các thử thách mạng được tổ chức trên cùng nền tảng với chương trình thưởng lỗi cổ điển, điều này có thể gây nhầm lẫn về định nghĩa. Hơn nữa, Giám đốc điều hành có thể có cảm giác rằng sự kết hợp giữa pentest và bug bonus là một loại mưu đồ tiếp thị với sự thay đổi về bao bì nhưng nội dung giống nhau.
Trên thực tế, pentest và tiền thưởng lỗi cổ điển là hai cách tiếp cận khác nhau để tìm ra lỗ hổng trong bảo mật thông tin. Bằng cách kết hợp các ưu điểm của chúng, bạn có thể tạo ra lợi thế thứ ba – một “siêu vũ khí” để bảo vệ vành đai bảo mật thông tin hoặc thử nghiệm mạng mở.
Yếu tố đầu tiên là pentesting (thử nghiệm thâm nhập), một quy trình được tổ chức về mặt kỹ thuật trong đó chuyên gia pentester được ủy quyền kiểm tra hệ thống mục tiêu hoặc cơ sở hạ tầng để tìm lỗ hổng. Mục đích của các thử nghiệm như vậy là tìm và phân tích “điểm yếu” mà kẻ tấn công có thể sử dụng để truy cập trái phép vào dữ liệu hoặc hệ thống. Bản thân việc chẩn đoán sẽ được trả tiền, bất kể lỗ hổng có được phát hiện hay không. Nói một cách hình tượng, đây là một dạng tương tự của siêu âm với việc giải mã kết quả.
Thành phần thứ hai – tiền thưởng lỗi (BB) – chứa hình thức thù lao theo tỷ lệ. Đây là chương trình chỉ trả thưởng cho những lỗ hổng được tìm thấy trong phần mềm, trang web hoặc các sản phẩm kỹ thuật số khác. Các công ty đang công bố tiền thưởng phát hiện lỗi để khuyến khích các nhà nghiên cứu bảo mật độc lập tìm và báo cáo về các lỗ hổng hiện có. Các nhà nghiên cứu của Bughunter có thể nhận được ưu đãi bằng tiền mặt hoặc các khoản thưởng khác để xác định và báo cáo vấn đề. Số tiền thù lao (có thể thay đổi tùy thuộc vào loại lỗ hổng), thời gian nghiên cứu và các điều kiện khác để tham gia chương trình BB được thông báo trước.
Bây giờ chúng ta hãy xem sự khác biệt giữa tiền thưởng lỗi và thử nghiệm mạng. Nó bao gồm một số yếu tố chính.
Đầu tiên, tiền thưởng lỗi liên quan đến việc thanh toán phần thưởng cho các lỗ hổng được tìm thấy trong danh sách cụ thể các hệ thống, ứng dụng hoặc tài nguyên CNTT của một công ty mà công ty đó đã đưa ra cho chương trình BB và trong các thử nghiệm mạng, phần thưởng sẽ đến khi một sự kiện cụ thể không được chấp nhận. xảy ra. Đồng thời, các cách tiếp cận triển khai mạng thần kinh thường không hàm ý những hạn chế nghiêm ngặt trong khuôn khổ các nguồn lực riêng lẻ, nghĩa là, điểm vào có thể được tìm thấy trong bất kỳ phần nào của cơ sở hạ tầng CNTT. Thông thường, chỉ các hành động thể chất và tội phạm mang tính hủy diệt mới bị cấm, chẳng hạn như tống tiền, bắt cóc, đe dọa nhân viên, v.v. Để so sánh: nếu trong một lỗi cổ điển, người tham gia tiền thưởng chỉ ra lỗ hổng nằm ở đâu trên hàng rào mạng, thì trong các thử nghiệm mạng mở, họ vẫn phải bò qua lỗ này và lấy đi hoặc làm vỡ thứ gì đó có giá trị. Vâng, ít nhất là cùng một chiếc xe đạp.
Thứ hai, thử nghiệm trên mạng vẫn độc lập và khách quan. Công ty không phát triển các thông số kỹ thuật cho tin tặc “cho chính mình”: công ty được hỗ trợ trong việc này bởi các đại diện độc lập của hội đồng chuyên gia, những người đánh giá các điều kiện nghiên cứu và mức thù lao. Bằng cách này, bạn có thể đảm bảo rằng các tin tặc có đủ trình độ kỹ năng sẽ tham gia thử nghiệm. Tất cả các giai đoạn thử nghiệm trên mạng đều được ghi lại và xác minh bởi hội đồng chuyên gia, đảm bảo tính chính xác và toàn vẹn của công việc được thực hiện. Đánh giá bảo mật cuối cùng được thể hiện bằng tiền, cho phép bạn so sánh kết quả của các tổ chức khác nhau.
Tự mình kiểm tra mạng
Cả hai công cụ—pentest và bug bonus—thực sự giúp cải thiện nhanh chóng sản phẩm hoặc kiến trúc CNTT bằng cách đóng các lỗi được tìm thấy. Nhưng Innostage, với tư cách là nhà tích hợp hệ thống, cần có phiên bản kiểm tra nâng cao hơn, tức là một tiện ích bổ sung cho phần thưởng lỗi cổ điển.
Nhìn chung, chúng tôi có kế hoạch tự cung cấp cho mình một loại “tiêm chủng trên mạng” nhằm tăng cường khả năng miễn dịch của cơ sở hạ tầng CNTT đối với tin tặc.
Thử nghiệm mạng sẽ cho phép công ty bắt đầu hành động chủ động, nghĩa là liên tục cải thiện tính bảo mật của mình mà không cần chờ đợi các cuộc tấn công thực sự mà bằng cách kích thích các tin tặc có đạo đức thực hiện các mối đe dọa bên ngoài như một phần của chương trình BB.
Cũng giống như cách mà sức mạnh của một chuỗi được xác định bởi một “lực phá vỡ” ngày càng tăng, các cuộc thử nghiệm trên mạng bắt đầu với một lượng phần thưởng khởi đầu nhất định, phần thưởng này sẽ tăng theo định kỳ và thu hút ngày càng nhiều tin tặc nghiêm túc cho đến tin tặc chuyên nghiệp cao. các nhóm.
Số tiền mà một công ty đưa ra làm phần thưởng cho tin tặc là một thông số kiểm tra quan trọng. Thực chất đây là mức độ đánh giá an ninh. Nếu sự kiện không thể chấp nhận được không được triển khai kịp thời và giải độc đắc không trúng, công ty có cơ hội tuyên bố rằng mức độ bảo vệ chống lại các cuộc tấn công của họ tương ứng với một mức nhất định. Ví dụ: “cơ sở hạ tầng của chúng tôi được bảo vệ khỏi các cuộc tấn công trị giá 1 triệu rúp” hoặc “chúng tôi được bảo vệ khỏi các cuộc tấn công trị giá 150 triệu rúp”.
Do đó, phần thưởng là một chỉ báo có điều kiện về loại và mức độ phức tạp của các mối đe dọa, cũng như trình độ chuyên môn sâu của các tin tặc mà công ty có kế hoạch tự bảo vệ mình.
Cơ chế của các thách thức mạng mở
Innostage là nhà tích hợp CNTT đầu tiên triển khai thử nghiệm mạng mở. Cũng tại PHDays đó, chúng tôi đã nhấn nút bắt đầu tượng trưng và cho phép các hacker “mũ trắng” hack cơ sở hạ tầng CNTT của chúng tôi.
Sự kiện này rất rủi ro: khi triển khai NS, chúng tôi chia tay năm triệu rúp và chúng tôi cũng phát hiện ra rằng chúng tôi gần như đã bị tin tặc thực sự đột nhập. Vào ngày 26 tháng 5, chúng tôi đã đặt hệ thống mục tiêu trên nền tảng Standoff365 dành cho các nhà nghiên cứu bảo mật từ Công nghệ tích cực và mời người tham gia thực hiện một bộ điều kiện: tìm các liên kết yếu trong chuỗi, sử dụng chúng để rút tới 2.000 rúp từ tài khoản của công ty, sau đó báo cáo tình hình thực hiện NS và nhận phần thưởng xứng đáng.
Kết quả tạm thời sẽ được phân tích định kỳ. Nếu tin tặc đã đáp ứng các điều kiện, chúng sẽ được thưởng và dịch vụ kỹ thuật sẽ tiến hành thẩm vấn, nhanh chóng lấp đầy các lỗ hổng được phát hiện và tiến hành kiểm tra các lỗ hổng khác.
Song song đó, nhóm của chúng tôi sẽ cải thiện các quy trình ảnh hưởng đến khả năng phục hồi của mạng. Phân tích các vectơ tấn công, kỹ thuật và công cụ sẽ giúp chúng ta nhìn hoạt động kinh doanh dưới con mắt của tin tặc và dự đoán các hành động tiếp theo của chúng. Trên thực tế, chúng tôi đã bắt đầu thực hiện tất cả những điều này sớm hơn một chút, bằng cách thiết lập một bản song sinh kỹ thuật số của cơ sở hạ tầng trong trận chung kết của trận chiến mạng Standoff 13. Chỉ trong sáu giờ, những người tham gia đã “thăm dò” chúng tôi một cách kỹ lưỡng và đây là một trải nghiệm hữu ích.
Chúng tôi có kế hoạch tích lũy kinh nghiệm chiến đấu gấp nhiều lần thông qua các thử nghiệm mạng mở, không bị giới hạn bởi số lượng người tham gia hoặc thời gian. Chúng tôi sẽ tổng hợp tất cả các phân tích thu được trong quá trình chống lại các cuộc tấn công và điều tra sự cố vào kiến thức chuyên môn trong ngành. Tôi kỳ vọng rằng đội ngũ kỹ thuật của Innostage, những người đi đầu trong thử nghiệm mạng mở, sẽ tiếp tục cung cấp các dịch vụ tư vấn và tích hợp hệ thống để xây dựng cơ sở hạ tầng ổn định trên mạng cho khách hàng chính phủ và thương mại.
Hacker trắng nên được trả bao nhiêu?
Năm triệu mà chúng tôi cung cấp cho những người tham gia CI không chỉ là một con số đẹp, số tiền này còn có cơ sở tài chính. Thị trường tiền thưởng phát hiện lỗi đã hình thành được vài năm nay và một số phân tích về các con số đã được phát triển. Do đó, chi phí trung bình cho lỗ hổng ở cấp độ thâm nhập trực tiếp vào DIT (và nếu không có bước này thì NS của chúng tôi không khả thi) ước tính khoảng 2,5–3 triệu rúp. Nhưng đây chỉ là giai đoạn hacker mũ trắng phát hiện hoặc tạo ra “lỗ hổng trên hàng rào”. Mọi thứ trên đều là phần thưởng cho khả năng đột nhập vào bên trong, vượt qua an ninh và trộm tiền.
Chúng tôi đã tăng cường khả năng bảo vệ của mình trong chín tháng và sẵn sàng trả số tiền bảy con số cho những ai có thể giải thích cách làm cho nó mạnh mẽ hơn nữa. Bằng cách xuất bản cơ sở hạ tầng trên nền tảng tiền thưởng phát hiện lỗi, chúng tôi có quyền truy cập vào các tài nguyên tốt nhất trên thị trường – các nhà nghiên cứu an ninh mạng giàu kinh nghiệm và đam mê.
Số tiền vài triệu có phải là nhiều hay không? Tôi nghĩ những công ty đại chúng có dữ liệu được mã hóa sẽ vui vẻ quay ngược thời gian vài tuần trước và trả số tiền đó (và thậm chí nhiều lần hơn) để xác minh trong chế độ thử nghiệm mạng. Chúng tôi hiểu rằng không có công ty nào tránh khỏi các cuộc tấn công và chúng tôi sẵn sàng tăng tiền đặt cược nếu cần thiết.
Nhân tiện, cơ sở hạ tầng của chúng tôi sử dụng các giải pháp bảo mật thông tin từ một số nhà cung cấp của Nga. Trong số đó có Xello, IT Expertise, UserGate, Nethub, NETAM, RED SOFT, CyberPeak, IT Expert. Có thể nói rằng tin tặc cũng đồng thời sắp xếp các cuộc kiểm tra mạng cho sản phẩm của họ. Tôi nghĩ đây là một lời đề nghị xứng đáng cho một công trình nghiên cứu lớn và có chiều sâu chuyên môn. Và tất nhiên, kết quả chính của nghiên cứu đó là câu trả lời khẳng định của CEO cho câu hỏi: “Doanh nghiệp của tôi có thực sự được bảo vệ không?”
