Менталитет хакера. Как его использовать для безопасности
(окончание, начало см. № 72 нашего журнала)
Менталитет хакера можно использовать для предотвращения атаки инсайдера, защиты наиболее ценных ресурсов организации, ее репутации. Понимание образа мышления, мотивации, алгоритмов действий преступника позволяет обнаружить такие скрытые приемы и векторы возможной атаки, о которых вы даже не догадывались. Вооружившись менталитетом противника, вы обретаете дополнительные возможности выявлять и латать бреши в системах защиты. Сказанное выше относится и к программе противодействия инсайдерским угрозам.
Анализ состояния периметра безопасности с позиции потенциального хакера, прежде всего, показывает, что статус-кво вас больше не устраивает, что требуются изменения в архитектуре защиты. Вы приходите к пониманию, что без этих изменений организация рискует понести существенные финансовые и репутационные потери.
Чтобы ощутить себя в роли хакера, необходимо избавиться от стандартных подходов к безопасности. Пытайтесь мыслить симметрично менталитету хакера. Как бы с его позиции оцените возможности и слабости информационной защиты. Проявляйте терпение и настойчивость, создавая разные модели, конфигурации атаки на организацию. В этом процессе важно мыслить не линейно, может быть, даже парадоксально, допуская самые невероятные на первый взгляд варианты. С самого начала исходите из предположения о наличии пока еще не обнаруженных уязвимостей, допускайте, что, не исключено, кто-то из коллег, которым вы всегда доверяли, может быть инсайдером. Для многих бизнесменов и управленцев такой подход может показаться паранойей подозрительности, совершенно неприемлемым. А многим просто не под силу влезть в шкуру хакера.
Тогда имеет смысл пригласить экспертов в составе т.н. «красной команды». Это довольно популярная среди бизнесменов практика изучения возможностей и проблем организации с позиций конкурентов или злоумышленников. «Красная команда» осуществляет роль «адвоката дьявола». Ее цель – определить наиболее вероятные векторы атаки на организацию, предпочтения, стратегию потенциального хакера.
Подобно криминалу «красная команда» использует разнообразные инструменты вторжения: физические, виртуальные, социальную инженерию. В результате компания получает картину реального состояния инфраструктуры, проверяет способность систем защиты остановить атаку. Тестирование желательно проводить на этапе стартапа, подготовки к выпуску новой продукции, в любом случае – до того, как организация уже подверглась атаке.
Проверка надежности систем безопасности касается как внешних, так и внутренних угроз. Она должна продемонстрировать, как противник собирает и анализирует данные, готовясь к нападению, как и какие доступные источники информации он изучает, насколько просто или, напротив, сложно ему проникнуть внутрь корпоративной сети со всеми вытекающими последствиями.
Для экспертов из «красной команды» не должно быть никаких ограничений в использовании средств и способов. Их действия копируют то, что делал бы настоящий преступник.
Начинают испытатели со сбора доступной, открытой информации об организации. На ее основе оценивают векторы возможной атаки и составляют наиболее приемлемый с их точки зрения план действий. Они осуществляют масштабную атаку с использованием методов социальной инженерии, обхода средств физической охраны, компрометации систем информационной защиты. Они изучают, как реагируют на атаку инфраструктура безопасности в целом и отдельные ее компоненты. В заключение составляют отчет с конкретными рекомендациями по обновлению, укреплению периметра безопасности.
Важно, чтобы в составе «красной команды» были опытные специалисты, досконально знающие менталитет хакера, свободно владеющие технологическими инструментами атаки, искусством социальной инженерии. Организация должна им предоставить максимум свободы в выборе и определении времени, средств и способов атаки.
«Красная команда» действует в точности как криминал, а не так, как это может представляться тем, кто отвечает за безопасность компании. Она выявляет слабости и уязвимости, о которых организация даже не догадывалась, открывает глаза на вещи, о которых, возможно, не всегда приятно слышать штатным специалистам по безопасности. И в этом ее огромное преимущество перед стандартным тестированием собственными силами.
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|