Этичный взлом без выходных: как автопентест помогает опережать хакеров
Об авторе:
Максим Долгинин, руководитель по развитию бизнеса PT Dephaze, Positive Technologies.
Новые вызовы кибербезопасности
По оценкам аналитической платформы Statista, глобальные потери от преступлений в сфере информационной безопасности (ИБ) достигли $9,22 трлн в 2024 году. К 2028 году этот показатель может вырасти до $13,83 трлн. Эксперты Всемирного экономического форума в докладе Global Cybersecurity Outlook 2025 отмечают, что информационная среда становится сложнее, а быстрое внедрение технологий приводит к появлению новых уязвимостей. Это делает кибербезопасность одной из самых актуальных проблем государств и бизнеса.
По данным проведенного нами исследования, только за первые три квартала 2024 года количество успешных кибератак практически сравнялось с показателями за весь 2022 год. Российские организации атакуются десятками кибершпионских, хактивистских (атаки с целью продвижения политических идей или социальных изменений. — «РБК Тренды») и финансово мотивированных группировок.
При этом злоумышленники становятся все более изобретательными. Они отслеживают, как раскрывают их методы, и постоянно меняют подходы, чтобы избежать обнаружения. Например, киберпреступная группа ExCobalt разработала собственный бэкдор GoRed, который позволяет ей эффективно преодолевать системы защиты, а также адаптироваться к изменениям в них (бэкдор — одна из разновидностей вредоносных программ, а также утилиты скрытого доступа к компьютеру, специально созданные разработчиками какого-либо программного обеспечения для выполнения несанкционированных или недокументированных действий. — «РБК Тренды»).
Наше исследование показывает, что в 2023 году и первом полугодии 2024 года подозрительная сетевая активность была обнаружена в 97% российских компаний (в выборку вошли данные из проектов клиентов, которые дали свое согласие на анализ результатов мониторинга сетевой активности в их инфраструктуре). Для сравнения: в 2021 году — в 90%, в 2022 году — в 93%. Среди примеров такой активности — сканирование сетевого периметра, а также попытки эксплуатации уязвимостей.
Все чаще злоумышленники совершают атаки с помощью искусственного интеллекта. Технологии на его основе становятся умнее и доступнее: преступники получают готовые решения с минимальными усилиями. Это резко снижает порог входа в криминальную деятельность: даже новички могут проводить успешные атаки. По нашим данным, преступники могут применять ИИ на разных этапах своей деятельности: в подготовке атак, проведении или автоматизации отдельных шагов взлома, автоматизации кампаний.
Почему растет спрос на пентесты
Даже внедренные средства защиты информации не гарантируют полную безопасность. Компания нуждается в практической проверке их эффективности. В этом помогает тестирование на проникновение — пентест. Он позволяет организации посмотреть на себя глазами злоумышленника.
Пентест — это по сути симуляция атаки, которая не наносит ущерб бизнесу. Она показывает, насколько устойчивы системы безопасности к реальным угрозам, какая уязвимость может стать причиной успешного взлома, какой из векторов атаки может стать фатальным конкретно для вашей компании.
Пентест — это один из наиболее эффективных способов проверки действенности и достаточности реализованных защитных мер. При его отсутствии организациям придется ждать действий злоумышленника и надеяться, что служба ИБ сработает правильно.
Спрос на пентесты активно растет. По данным Fortune Business Insights, к 2032 году объем рынка тестирования на проникновение достигнет $6,35 млрд. При этом он будет ежегодно увеличиваться на 12,6% в период 2023–2032 годов.
Основной драйвер роста — увеличение числа и сложности сетевых атак. Организации всех секторов сталкиваются с угрозами от киберпреступников и хактивистов. Пентесты помогают заранее устранять уязвимости — до того, как их обнаружат злоумышленники.
Также на рост популярности этого инструмента влияют и требования регуляторов. Автоматический пентест в том числе может помочь компаниям соответствовать этим требованиям. Например, Центральный банк РФ обязывает финансовые организации ежегодно проводить тестирование на проникновение и анализировать уязвимости. 11 февраля 2025 года вышел проект постановления правительства РФ (разработчик — Минцифры России) о проверке безопасности государственных информационных систем (ГИС). Специалисты по ИБ будут проверять, насколько хорошо защищены ГИС, искать слабые места в их защите, пытаться использовать найденные уязвимости (проводить пентесты) и предлагать меры по устранению обнаруженных проблем.
Кроме того, на ТБ Форуме (форуме «Технологии и безопасность». — «РБК Тренды») Федеральная служба по техническому и экспортному контролю (ФСТЭК) сообщила, что планирует разработать методику испытаний защиты информационных систем путем тестирования на проникновение.
Таким образом, новые нормативные акты, которые находятся на стадии подготовки, установят жесткие требования к IT-безопасности, а также особенности работ по пентестам. Это будет дополнительным стимулом к росту рынка тестирования на проникновение.
Но не все так просто. При организации пентестов компании часто сталкиваются с рядом препятствий.
Почему бизнесу сложно проводить регулярные пентесты
Среди российских организаций 21% проводят тестирование на проникновение раз в год либо по запросу (при возникновении необходимости в конкретный момент времени), а 80% не занимаются полноценным укреплением IT-инфраструктуры. При этом новые техники атак появляются у хакеров постоянно, и системы компании могут быть уязвимыми даже после недавнего пентеста.
Проверять систему зачастую мешает ограниченный бюджет. Стоимость проведения тестов опытными специалистами варьируется от ₽1,2 млн до ₽12 млн за проект длительностью три месяца. При привлечении Red Team (это группы профессионалов в области безопасности, которые имитируют реальные атаки для проверки защиты организации. — «РБК Тренды») цена может превышать ₽20 млн.
Еще одна сложность — дефицит квалифицированных специалистов. Найти опытных сотрудников компаниям тоже непросто. Кроме того, спрос на пентесты превышает количество доступных решений в этой сфере.
Как организовать эффективную защиту
Чтобы эффективно противостоять кибератакам, компаниям нужно проверять всю инфраструктуру регулярно. Это можно сделать с помощью автоматизации тестирования на проникновение.
В основном автопентесты дополняют ручное тестирование. Они позволяют проверять более обширную IT-инфраструктуру и делать это чаще. В итоге компания может быстрее адаптироваться к новым угрозам.
Принцип работы автопентеста схож с ручным тестированием: он последовательно проверяет системы и их элементы на возможность добраться до критичных данных, бухгалтерских приложений или систем управления промышленным оборудованием. Как и в случае ручной проверки, автоматический пентест использует те же техники и инструменты, что и хакеры, при этом процесс полностью контролируется ИБ-специалистом.
Для запуска симуляции пользователю нужно установить ПО на сервер, указать цели и ждать результата. Целями могут быть информационные системы, приложения, устройства или недопустимые события. На основе полученных данных специалисты по кибербезопасности определяют приоритетные направления работы и оптимизируют стратегию защиты IT-систем.
Автопентест, в отличие от ручных тестов:
- проводится непрерывно или по расписанию;
- легко адаптируется к сложным инфраструктурам и множеству устройств;
- выполняет повторные сканирования для контроля изменений и поиска новых слабых мест;
- основан на преднастроенной логике и не зависит от квалификации специалистов;
- не требует привлечения профессионалов.
Автопентест подходит для регулярных проверок, а ручной тест — для глубокого анализа сложных уязвимостей, где важна экспертиза специалиста.
Как выбрать автопентест
Решения для автоматического тестирования на проникновение различаются между собой. При выборе продукта нужно учитывать несколько основных критериев.
- Возможность ограничивать тестирование, согласовывать потенциально опасные операции и отслеживать ход атаки. Важно, чтобы эксперт внутри организации мог самостоятельно принимать решения и имел возможность останавливать пентест для контроля опасных действий.
- Возможность добавить исключения в область тестирования. Это позволяет, например, исключить критичные для бизнеса системы, чтобы симуляция атаки не повлияла на работоспособность.
- Наличие записи всех операций для полного контроля за атаками.
- Ограничения на количество тестируемых хостов (устройств, подключенных к глобальной или локальной сети. — «РБК Тренды»).
- Наличие понятных отчетов, которые позволяют оперативно исправить недостатки защиты.
- Частота, с которой обновляются базы техник атак.
- Опыт поставщика. Не все вендоры могут гарантировать, что тестирование не нанесет реальный вред инфраструктуре. Такой продукт могут качественно сделать только компании с многолетней экспертизой в ручных пентестах и своим штатом белых хакеров.
- Возможность задавать конкретные цели для точной симуляции атаки (например, контроллер домена).
Так, наше решение PT Dephaze позволяет исключить отдельные узлы и проводить тестирование без ограничения числа проверок. Целями могут быть отдельные информационные системы, приложения, устройства, а также нежелательные события. С помощью решения можно оценить, например, получится ли у злоумышленников попасть на устройство главного бухгалтера или системного администратора с компьютера менеджера по продажам.
Автопентест позволяет проверить инфраструктуру на уязвимость к тысячам реальных угроз по всевозможным сценариям нажатием одной кнопки. Так организация может всесторонне оценить защищенность своей инфраструктуры и определиться с приоритетами для выбора ИБ-решений.
➤ Подписывайтесь на телеграм-канал «РБК Трендов» — будьте в курсе последних тенденций в науке, бизнесе, обществе и технологиях.