От проверки взломом –до киберполигонов. Как тестируют на безопасность платежные системы

Рост онлайн-платежей в пандемию привлекает в эту сферу мошенников. 42 115 мобильных банковских вирусов выявила в первом квартале 2020 года «Лаборатория Касперского». Это самое высокое значение за последние полтора года, более чем в 2,5 раза превышающее показатель четвертого квартала 2019-го. Как в этих условиях финансовым организациям тестировать информбезопасность своих систем?

Пентесты и сканирования на уязвимости

Часть способов уже можно считать классическими, например автоматизированные сканирования на уязвимости и проверки взломом. Сканирования на уязвимости в отношении платежных систем, которые работают с картами, необходимо осуществлять как минимум каждый квартал или всякий раз после значимых изменений в ИТ-инфраструктуре. Также, раз в год, либо опять же после значимых изменений в инфраструктуре, эти организации должны проходить так называемые пентесты (от англ. penetration test, «тест на проникновение». – Прим. ред.), когда их взламывают специально нанятые или штатные хакеры. Для этого на рынке существуют автоматизированные утилиты (программы), а у хакеров просто должна быть определенная квалификация, чтобы их грамотно использовать.

По итогам пентеста хакеры или делают вывод о том, что ваша ИТ-инфраструктура безопасна и в ближайшее время вы можете спокойно продолжать работать с картами, или, наоборот, говорят, что нашли бреши в защите и предлагают их закрыть. После внесения исправлений проводится повторный пентест, а потом, если нужно, еще один. Пока уязвимости не будут закрыты полностью.

Да, пентест стоит денег. А хороший пентест – хороших денег. Но я считаю, что значимые компании, особенно финансовые, просто обязаны его проводить. Сегодня это должно стать частью их бизнеса.

Аудит

Другой элемент осуществления контроля – это то, что именуют пассивно-активной безопасностью. Организация нанимает или заказывает внешние услуги специального аудитора (возможно, целую компанию), который экспертно оценивает весь ее ИТ-ландшафт, всю инфраструктуру и говорит, к примеру: «Здесь у вас не так настроены серверы, теоретически из-за этого можно украсть данные». В идеале подобный аудит должен проводиться на регулярной основе (хотя бы раз в год), хотя это также затратная вещь.

Ответственная разработка

Это третья тема контроля и обеспечения безопасности. Она касается тех организаций, которые самостоятельно пишут софт, создавая собственные финансовые и иные ИТ-системы, и заключается в том, что программное обеспечение контролируется на предмет возможных закладываемых в него уязвимостей прямо в процессе разработки, не дожидаясь будущих пентестов.

Для подобного сканирования кода также можно использовать специальные утилиты. Они смогут подсветить, например, что разработчик использовал открытую программную библиотеку, а в ней еще в 2016 году была найдена уязвимость, поэтому в целях безопасности нужно использовать версию этой библиотеки не старше 2017 года. Также в эту цепочку встраиваются автоматизированные сканеры уязвимостей, которые сканируют каждую новую сборку вашего продукта.

Это все тоже немалые траты. Такой конвейер контроля нужно создать, автоматизировать и поддерживать, регулярно проверяя, не найдены ли новые уязвимости в используемых вами библиотеках. Если в них что-то обнаруживается, то у вас должна быть система, которая или предупредит о проблеме, или не даст пройти сборке новой версии софта при обнаружении в ней уязвимостей.

Перечисленные способы в ответственной компании должны быть задействованы все одновременно. С ростом угроз этот набор можно считать базовым. Он составляет необходимую основу вашей безопасности. Достаточная ли она?

Киберполигоны

Вместо категоричного ответа на этот вопрос я расскажу о новом способе проверки ИТ-систем на уязвимости. Причем номинально его можно считать бесплатным. По крайней мере, экспертам-тестерам давать денег за работу не придется.

Речь о так называемых киберполигонах. Их концепция заключается в том, что мы в некой виртуальной игровой среде моделируем целые отрасли из реальной жизни. Например, мы строим кибергород, в котором работают промышленные предприятия, ездит транспорт, поток которого регулируют светофоры, банки переводят деньги и т. д.

Вам, как конкретной организации, киберполигон предоставляет возможность скопировать в него вашу ИТ-систему и разрешить ее взламывать, не прерывая в самой компании реальных рабочих процессов, не угрожая безопасности трафика, данных пользователей и т.д.

Известные на сегодня киберполигоны часто разворачиваются в ходе конференций по кибербезопасности, проводимых авторитетными компаниями из этой сферы, например такими как Positive Technologies. На такие мероприятия приглашается широкий круг «белых» (некриминальных) хакеров, соревнующихся во взломе ИТ-систем различных организаций, которые передают их для тренировок.

Все происходит на некоммерческой основе, потому что это взаимовыгодный процесс. Для компаний это возможность привлечь к своему софту повышенное внимание сразу десятков и даже сотен хакеров. Если вы не Сбербанк и не «Яндекс», нанять столько экспертов вы себе позволить не сможете. В итоге то количество атак, которое на киберполигоне произойдет на вас за один день, вы, скорее всего, в «диком» интернете не увидите даже за год. Вашим специалистам по безопасности это даст бесценный опыт и принесет огромную пользу.

Что же касается хакеров, то они также оттачивают на киберполигонах свои специфические навыки, но при этом получают, например, возможность серьезно усовершенствовать свои авторские утилиты для вышеупомянутых пентестов – взломов по просьбе коммерческих заказчиков.

Кроме того, на киберполигонах всегда присутствует серьезный соревновательный аспект. Десятки команд азартно соперничают друг с другом, зарабатывают очки, предоставляют организаторам доказательства успешного взлома – отчеты об уязвимостях и т. д. И чем выше в финале рейтинг у тебя и твоей команды, тем больше открывается рыночных возможностей. Ты можешь прийти к будущему работодателю и сказать: смотрите – на таком-то киберполигоне моя команда заняла первое место, вот какая у меня серьезная квалификация, хочу адекватную зарплату.

Ведь других институтов аттестации для хакеров пока просто не существует. Инстанции, которая могла бы выписать бумажку, что «это хороший хакер», сейчас просто нет.

Киберполигоны в силу своей молодости пока не очень широко распространены не только в России, но и за рубежом. Но я уверен, что они станут очень активно развиваться.

И, наверное, в недалеком будущем в отношении претендующих на доверие компаний (тем более финансовых) вопрос будет ставиться следующим образом: как вы можете считать себя готовыми защитить свою ИТ-инфраструктуру, если вы избегаете участия в киберполигонах?