Профессиональное сообщество
лидеров цифровой трансформации
Редакция Global CIO

Пентест: когда и кому он нужен?

Дмитрий Лившин, генеральный директор CYBER | Business Consulting

Пентест (penetration test) – это тест на проникновение, то есть на возможность взлома конкретного устройства или всей организации. Попытаемся сегодня простыми словами рассказать, кому и когда нужны пентесты, кто их проводит, какие результаты они дают и что потом с этими результатами делать.

Как взламывают пользователей и бизнесы

На днях вдруг пишет знакомый, с которым учились в одной школе, но в последние годы никак не общались (за исключением разве что дежурных поздравлений с праздниками), и начинает сбивчиво объяснять, что попал в беду, срочно нужна небольшая сумма денег, «сможешь выручить?». Знакомая история?

Как руководитель компании, работающей в области кибербезопасности, я обычно не отвечаю – даю, что называется, выговориться – а потом пытаюсь альтернативными способами связаться с тем, чей аккаунт, очевидно, «угнали»: по телефону или через другие соцсети и мессенджеры. Чаще всего «на другом конце провода» напуганный и находящийся под сильным стрессом человек. Его эмоции аналогичны жертве карманника, у которого вытащили кошелёк или смартфон в подземном переходе или в вагоне метро. Говорит, мол, проснулся с утра, а мне все пишут, что кто-то от моего имени просит денег у всех подряд. Что делать, куда бежать?

Счёт взломов аккаунтов в Telegram или «ВКонтакте» идёт на десятки и сотни тысяч в год. Случается, что восстановить доступ не удаётся и приходится «начинать с нуля», заводить новый. А поскольку всё большая часть нашей жизни уходит в онлайн, «в цифру», это может оказаться серьёзной потерей и мощнейшим стрессом. Дело даже не в том, что кто-то получит доступ к вашим личным тайнам и задумает ими вас шантажировать. А в том, что через ваш мессенджер или соцсети проходит масса в том числе и рабочей информации, а иногда и очень чувствительные данные типа забытых корпоративных паролей, номеров счетов, телефонов важных персон или даже данных карт.

А теперь представьте себе, что хакерские атаки на компании происходят даже чаще, чем взломы аккаунтов обычных пользователей. Это и фишинговые рассылки, и фальшивые звонки голосом, имитированным с помощью ИИ и почти неотличимым от настоящего, и атаки зловредных программ-шифровальщиков с целью выкупа (ransomware), и множество других угроз. Часто достаточно всего одной ошибки с вашей стороны или со стороны вашего коллеги или сотрудника, и вся IT-инфраструктура предприятия окажется под контролем злоумышленников.

В этом случае, помимо требований выкупа, можно угодить ещё и под штраф за утечку персональных данных (или за нарушение протокола взаимодействия с регуляторами по поводу инцидента, что может оказаться ещё дороже). А если попытаться подсчитать ущерб от огласки инцидента в прессе и репутационного удара из-за потери данных? Всё это вместе может попросту погубить действующий бизнес.

И на резонные вопросы регуляторов типа «а что вы сделали, чтобы этого избежать?» вы не будете знать, что ответить.

Кибератаки и их последствия

Атаки на крупные компании, о которых стало широко известно в апреле 2025 года – это так называемые APT-атаки (от Advanced Persistent Threat – целевые комплексные кибератаки), которые шли с использованием целого ряда различных методов. В них были задействованы команды высококвалифицированных хакеров, у которых в среднем на подготовку и взлом ушло от 6 до 12 месяцев. Серьёзный бизнес годами выстраивает свою архитектуру информационной безопасности (ИБ), вкладывая в защиту миллионы рублей, и всё равно подобный удар может оказаться для него болезненным. Например, июльская атака на «Аэрофлот» привела к отмене за сутки 42% всех авиарейсов, только прямой убыток от такой отмены оценивался в более чем 250 млн рублей. Атаку на «Винлаб» с кражей данных и потенциально оборотным штрафом за неё эксперты оценили в 1,5 млрд. А потери аптечных сетей «Столичка» и «Неофарм» от нарушения работы розничных точек, сайтов и мобильных приложений – примерно в 500 млн рублей.

Взлом же IT-инфраструктуры небольшой компании у опытных злоумышленников может занять всего от 15 до 30 минут. Примерно столько времени нужно, чтобы получить доступ к базе данных или даже управляющей учетной записи. Мы точно знаем, что малый бизнес регулярно подвергается подобным атакам, особенно поставщики решений по IT, сотрудничающие с крупными корпорациями. Известно, что защищённость бизнеса определяется по самому слабому звену. А когда компании связаны, между ними идёт регулярный обмен данными через API и пересылка файлов, и доверие к надёжности таких каналов оказывается критической уязвимостью.

И если крупный бизнес имеет шанс отделаться штрафом или убытками от простоя, то малое предприятие, которое является его подрядчиком, скорей всего, вообще не сможет продолжить работу и будет вынуждено закрыться.

Никто не может предугадать, какая компания окажется целью хакеров в следующий раз, но это не значит, что к такой атаке нельзя подготовиться. Для этого малому и среднему бизнесу как раз необходимо озаботиться проведением пентестов.

Пентест – это хороший способ оценить свои шансы на выход из опасной ситуации без потерь или с минимальными потерями. Существует мнение, что атакуют обычно крупные компании, а небольшому и среднему бизнесу опасаться нечего. На самом деле атакуют всех – просто в зависимости от того, кто выбран жертвой, это могут быть принципиально разные атаки.

Кому нужен пентест

Я использую простую формулу: если вы собираете, храните и передаёте данные о поведении пользователей, персональные данные, клиентскую информацию, – то да, пентест вашей IT-инфраструктуре необходим.

Хакеры в кино и в реальной жизни

Стереотипная киношная картинка, на которой хакер в балаклаве или с надвинутым на лоб капюшоном сидит за компьютером в комнате с выключенным светом и с пулемётной скоростью вводит в командной строке какие-то команды, не соотносится с действительностью. Но одно всё же верно – анонимность для них буквально жизненно важна.

Black hats, white hats, grey hats

О хакерах, которые взламывают легальные бизнесы и критическую информационную инфраструктуру (КИИ) по заказу преступных группировок, конкурентов или даже спецслужб, обычно до суда бывает мало что известно: только никнеймы или названия групп, в которые они объединяются. Это так называемые black hats.

Имена же «белых хакеров» (white hats), чья деятельность санкционирована и кто исследует уязвимости, состоя на службе «по эту сторону закона», всё-таки известны в профессиональной среде. Заказчик пентеста получает их резюме, представление об их проектном опыте и часто даже напрямую общается с ними. Деятельность «белых хакеров» тоже до известной степени окружена тайной, но в основном лишь потому, что сохранение конфиденциальности является одним из их ключевых профессиональных навыков.

Поскольку IT-индустрия бурно развивается, то в прессе регулярно обсуждаются и другие «оттенки шляп». Например, на рынке США говорят о 6 разных типах хакеров, относя их к white, black или grey hats.

Серые шляпы (grey hats) – это хакеры, деятельность по проникновению которых никто не санкционировал, но которые при этом не имеют преступных намерений. Они работают по своей инициативе, без ведома «проверяемой» организации или конкретного человека. Обычно они сообщают о найденных уязвимостях взломанному субъекту в надежде на вознаграждение или даже из сугубо альтруистических мотивов. Замечу, что деятельность grey hats может закончиться не менее печально, чем у black hats, а именно – тюремным заключением.

Отдельно я бы хотел выделить хакеров, которые работают в компаниях. Обычно это специалисты, которые «осели» внутри одной компании или создали свою собственную, переквалифицировавшись в комплексных специалистов по кибербезопасности, но иногда продолжают заниматься сугубо тестированием на проникновение. Часто их называют blue hats («синими шляпами»). Такое именование схоже с американским военным сленгом, где red team – всегда противник, а blue team – свои. В ИБ есть прямая аналогия, когда redteam имитирует атаку, а blue team – организует противодействие ей в рамках так называемых red team / blue team тестов.

Есть среди «белых хакеров» и специалисты, которые работают на открытом рынке. Это так называемые bug bounty hunter’s (охотники за багами) – специалисты, которые официально участвуют в открытых программах по поиску уязвимостей, организуемых некоторыми компаниями. В России рынок bug bounty пока не очень развит, но за последние 3 года этот сегмент вырос в несколько раз, и мне известны кейсы с высокими результатами, в том числе с точки зрения экономии средств заказчика.

Как становятся хакерами

Для меня этот вопрос аналогичен вопросу, как становятся джедаями. Конечно же, в университетах для джедаев.

А если серьезно, то хакерству можно обучать в каком-нибудь университете, но по своей сути это – призвание, особый талант. Крупнейшие ИБ-компании отбирают людей, предрасположенных к этому ремеслу, с первых курсов университетов. Именно этим объясняется интерес крупных корпораций и силовых структур к потокам студентов вузов по направлениям ИБ, ИТ и программирования.

Это профессия в высшей степени творческая, так что поиск талантов и их отбор сравним с областью искусства: здесь тоже есть свои ремесленники, свои конъюнктурщики и свои гении. И все они сталкиваются с одной общей проблемой: начиная общаться в даркнете со своими «коллегами», они могут по молодости и неопытности не выдержать испытания быстрыми деньгами, которые сулит черный рынок проникновений, на котором ты неизбежно сталкиваешься с преступниками.

Если талантливого специалиста заметили ещё до выпуска из университета, то его устраивают в компании, где он, работая, продолжает учиться и проходит сертификацию (пока существующую только на зарубежном рынке – CEH, OSWA / OSWE, CISSP и т.д., но нам известно, что аналоги уже разрабатываются и для нашего рынка). Как и в других областях IT-сферы, специалист по тестированию на проникновение (или «белый хакер») может стать CISO (Chief Information Security Officer), то есть руководителем по информационной безопасности организации или даже архитектором ИБ-систем. Для таких специалистов открыты блестящие карьерные перспективы во всех странах мира.

Хакеры меняют «масть»

История знаменитого хакера 90-х Кевина Митника, который, отсидев свой срок, открыл компанию по компьютерной безопасности – крайне редкий случай. Мне трудно себе представить хотя бы одну ИБ-компанию, которая решила бы «пустить к себе» бывшего профессионального преступника. Лично для нас как для консалтинговой фирмы это в первую очередь огромный риск для профессиональной и деловой репутации, ведь мы работаем с крупными (в том числе государственными) компаниями и просто не можем себе позволить экспериментировать с безопасностью наших клиентов. Вряд ли такие риски можно счесть допустимыми. Так что в теории превращение black hat в white hat возможно, на практике – скорее нет.

Как выбрать подрядчика для пентеста

Первое, что вам нужно сделать – запросить и проверить базовый набор учредительных документов и присутствие компании в публичном поле, а также получить информацию об опыте её специалистов, обращая особое внимание на действующие сертификаты. Полезно изучить благодарственные письма, если таковые имеются, и попросить контакты рекомендателей из числа клиентов, а также провести онлайн-собеседование или очные встречи с руководителями и специалистами.

В общем, это такой обычный набор действий, уместный при закупке любых профессиональных услуг. Единственная специфика заключается в том, что не все потенциальные подрядчики будут готовы тратить значительное время на «предварительные ласки» с потенциальным клиентом. Так что список запросов для проверки должен быть разумным.

Как выглядит пентест

Пентест – это имитация действий злоумышленника. У пентестов есть свои модели, которые дают специалисту базовую установку, действия какого злоумышленника он будет имитировать: действующего вслепую без какой-либо вводной информации (т.н. тестирование методом «черного ящика») или уже имеющего какой-то уровень доступа к тестируемой системе (метод «серого ящика»). С точки зрения результатов лучше последовательно реализовать оба метода, ибо у каждого из них есть свои преимущества.

Сертифицированный специалист, обладающий навыками взлома информационных систем и развитыми навыками социальной инженерии, получает задачу провести пентест той или иной организации. Он согласовывает с заказчиком план тестирования, определяя, какие инструменты будут применяться и в каких пределах он будет действовать. Далее он приступает к работам, проводя автоматизированные и ручные проверки защищённости внешнего и внутреннего периметра (веб-сервисов, мобильных приложений, ИТ-систем), а также – в случае с тестированием методом социальной инженерии – уровень сознательности и грамотности сотрудников организации клиента по различным векторам кибератак. Как правило, проверка идёт по основным известным векторам, после чего оценивается возможность эксплуатации той или иной уязвимости для проникновения в корпоративную IT-инфраструктуру.

Как только специалист выяснил, что вектор – «рабочий» и он может получить доступы, он уведомляет заказчика и согласовывает с ним свои дальнейшие действия. По результатам работ создаётся подробный отчет с описанием всех маршрутов, которыми «прошёл» специалист, описанием обнаруженных уязвимостей с указанием степени их критичности и рекомендациями по их устранению. Этот документ ясно показывает, какие уязвимости и как именно угрожают бизнесу компании, её клиентам и партнёрам.

Зачем нужен отчёт о пентесте

Информационная безопасность и кибербезопасность в каком-то смысле сродни концепции даосизма: в её основе – не конечная цель, а некий путь к ней.

Допустим, «дыр» в вашей IT-обороне может быть 10, причём одна из них критическая, а 9 других – средней и меньшей важности. Допустим, вы «залатали» критическую, а остальные отложили из-за недостатка бюджета, ресурсов и т.д. Но за следующие 6 месяцев работы вы подключите новых сотрудников, заведёте новую CRM-систему, обновите десятки установленных программ, создадите десятки или сотни новых учетных записей… Может оказаться так, что некоторые из ранее найденных уязвимостей теперь относятся к большему числу устройств в корпоративной сети, а какие-то из них работают в контуре клиентских данных, плюс с установкой нового оборудования и софта могли появиться и новые уязвимости. А теперь только представьте, что происходит в крупных компаниях, где в штате – тысячи и десятки тысяч сотрудников!

Если остановить лечение на устранении одного, пусть и самого негативного симптома, это не поможет организму выздороветь. Устранять уязвимости сложно и обычно дорого, но всё равно делать это нужно обязательно, иначе в один прекрасный день окажется, что одни уязвимости наслоились на другие, и вся IT-инфраструктура находится в зоне повышенного риска.

Банальность, неосторожность, глупость

По нашему опыту, большинство наиболее распространенных уязвимостей повторяются из года в год. Чаще всего это – слабые и повторяющиеся пароли, переходы по фишинговым ссылкам, «забытые» данные админских доступов на устройствах рядовых сотрудников и тому подобное. Общее для этих бед одно – пресловутый человеческий фактор. Встречаются кейсы из разряда анекдотов, когда наш пентестер проходит пост охраны, затем стойку ресепшена компании под предлогом забытого пропуска и дальше прямиком попадает в серверную комнату, потому что она попросту оказывается не заперта. О таком бывает и говорить стыдно, но и такое случается.

Есть и более интересные случаи, где уязвимость вскрывалась не в человеческой халатности, а в том, как стереотипно и «на автомате» люди привыкли действовать в системе и доверять ей. У нас в прошлом году был кейс по тестированию на проникновение, при котором специалист с очным доступом в офис компании использовал в качестве точки входа сервис для организации видеоконференц-связи. Через поддельный интерфейс в переговорных комнатах была сымитирована ошибка входа в приложение, из-за которой пользователи, включая даже админов, вбивали свои данные в форму в попытке восстановить работу сервиса. Таким образом менее чем за сутки было собрано более 50 учётных записей сотрудников, и половина из них совпала с данными для входа в основную учётную запись пользователя, в том числе 2 админские. Бонусом удалось получить доступ и к записям состоявшихся видеоконференций.

Пентест как инвестиция в устойчивость бизнеса

Многие руководители воспринимают пентест как ещё одну статью расходов, от которой хочется отмахнуться или запланировать «на потом». Но лучше смотреть на неё как на инвестицию в устойчивость бизнеса. Стоимость даже самого тщательного пентеста несопоставима с потенциальными убытками от реальной кибератаки: штрафы регуляторов, простой бизнеса, потеря клиентских данных и репутационный ущерб. Так что пентест – это возможность найти и устранить слабые места до того, как их найдут злоумышленники. И если вы продолжаете откладывать его, то должны быть готовы однажды проснуться и обнаружить, что ваш бизнес взломали. Поверьте, лучше узнать об имеющихся уязвимостях от «белых хакеров» сегодня, чем от «чёрных» – завтра.

56
фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.