Сколько компании теряют от кибератак
В 2022 году российские организации столкнулись с беспрецедентной активностью киберпреступников. По итогам года, сообщает Positive Technologies, общее количество успешных для преступников киберинцидентов, которые привели к негативным последствиям для компаний, выросло сразу на 20,8%.
Жертвами успешных атак чаще всего были госучреждения (17%), медицинские организации и промышленность (по 9%), научные и образовательные институты (7%), IT-компании (6%), предприятия сферы услуг (5%) и финансовые организации (4%).
В топ-3 методов атак против бизнеса вошли использование вредоносного ПО, социальная инженерия и эксплуатация различных уязвимостей. Главные последствия атак для компаний — утечка конфиденциальной информации, нарушение основной деятельности и прямые финансовые потери. И если в 2021 году о финансовых потерях из-за кибератак говорили 20% представителей российского бизнеса, а каждый пятый из них оценил потери в 5 млн руб. и больше, то в 2022 году показатели ущерба только выросли, следует из исследования «МегаФона».
В целом, по некоторым оценкам, потери от киберпреступности в России в 2022-м превысили 300 млрд руб. Поначалу эксперты ожидали, что ущерб составит 165 млрд руб., но позднее они удвоили прогноз из-за существенного роста кибератак.
Одна из ключевых проблем для бизнеса — недостаточный уровень защищенности. Данные Innostage говорят о том, что 62% российских компаний испытывают проблемы при противодействии внешним нарушителям, 91% — при противодействии внутренним (то есть лицам, которые находились внутри информационной системы в момент инцидента; ими могут быть, например, сотрудники компании с доступом к данным). Нарушители без особых сложностей находят слабые места компаний: уязвимости веб-приложений, предсказуемые пароли, небезопасные протоколы и т.д.
Что такое пентест
Чтобы выявить уязвимости в IT-системе, компании проводят пентесты. Пентест (от английского penetration testing) — это тестирование на проникновение ради поиска критических уязвимостей. В ходе пентеста моделируются действия злоумышленников.
Задачи пентеста:
- поиск уязвимостей в IT-системе;
- определение глубины проникновения злоумышленников;
- внедрение решений для защиты IT-системы после обнаружения слабых мест;
- снижение киберрисков и предотвращение потенциального ущерба;
- выполнение требований регуляторов (например, ЦБ обязывает банки проводить пентесты ежегодно).
Дмитрий Калинин, главный специалист «МегаФона» по анализу защищенности информационных систем корпоративных клиентов
«Современные компании страдают не столько от технических уязвимостей, сколько от человеческого фактора. Преодолеть сетевой периметр все сложнее: средства защиты информации развиваются, а создатели инструментов разработки закладывают в них определенные стандарты безопасности. Поэтому зачастую для взлома используются социальная инженерия и фишинг. С их помощью совершается примерно 70% успешных атак.
Например, в одном из наших проектов мы провели фишинговую рассылку примерно на 100 получателей. Три человека клюнули. Мы воспользовались данными от одного из них, попали в сеть и за 30 минут полностью скомпрометировали всю инфраструктуру. На этом мы закончили, но реальный атакующий не остановился бы.
Другой кейс. Долгое время мы пытались преодолеть периметр одной крупной компании и не могли ни за что зацепиться. Проверили все, но не смогли получить initial access — первоначальный доступ.
Случайно удалось найти так называемую закладку, оставленную, по всей видимости, системным администратором: если нажать на определенную клавишу энное количество раз, появлялось окно ввода команд. Скорее всего, сисадмин забыл пароль от сервера, подготовил все, чтобы этот пароль сбросить, и не почистил за собой. Любой, кто найдет эту закладку, может сбросить пароль и подключиться к серверу. Что мы и сделали. В итоге забрали инфраструктуру полностью.
Если же говорить о технических уязвимостях бизнеса, то это использование слабых паролей. Порочный круг: компании взламывают, происходят утечки в том числе паролей, затем злоумышленники используют эти пароли для атаки на другие целевые инфраструктуры. Еще одна серьезная опасность — эксплуатация уязвимостей, еще не ставших публичными, но известных специализированным группировкам».
В западных странах стоимость пентеста начинается от $9–13 тыс., в России — от 200 тыс. руб., но средняя цена услуги находится в диапазоне от 700 тыс. до 2–3 млн руб.
Глобальный рынок пентестинга растет достаточно быстро. Markets and Markets прогнозирует, что его объем будет увеличиваться на 14% ежегодно в период с 2022-го по 2027-й (с $1,4 млрд до $2,7 млрд соответственно).
Главный драйвер рынка — стремление компаний защититься от постоянно усиливающихся рисков, связанных с киберпреступлениями. Сдерживающим фактором при этом может стать дефицит высококвалифицированных специалистов.
Кто такие пентестеры
«Пентестеры — это хорошие парни. Они работают на компании, которые хотят защитить себя от плохих парней. Пентестеры пользуются набором инструментов тестирования на проникновение, чтобы скомпрометировать защиту сетей, серверов, сайтов и других IT-систем, ищут и фиксируют любые слабые места и уязвимости. Типичный день пентестера: много исследований, планирования и самих тестов. Работа требует развитого критического мышления», — так описывает пентестеров платформа для поиска талантов в сфере кибербезопасности Cyber Security Jobs.
В США пентестеры получают в среднем более $80 тыс. в год. На HeadHunter есть вакансии с оплатой до 250 тыс. руб. в месяц.
В «МегаФоне» отмечают, что в российской системе образования нет такой специальности, как пентестер, но есть специалист по защите информации. Подготовка в вузах, продолжают в компании, дает базовое понимание методологии, закладывает фундамент. А более серьезную подготовку можно получить в коммерческих центрах обучения и онлайн-школах.
«Но опыт показывает, что для успешной работы нужно постоянное самообучение: отрасль бурно развивается, и даже коммерческие онлайн-школы не успевают обновлять свои программы. Без профильного образования квалифицированным пентестером можно стать за несколько лет. У меня есть знакомый с юридическим образованием. Ему потребовалось три года, чтобы стать пентестером. С техническим образованием процесс идет быстрее. Нужен примерно год на освоение теоретической базы и еще полгода, чтобы набить руку», — рассказывает Калинин.
Сегодня трудно найти специалиста, который обладает универсальными навыками. Одни пентестеры пробуют скомпрометировать компанию извне и попасть внутрь. И им нужно знание веб-технологий, включая языки разработки самих сайтов, языки разработки сервисов, которые взаимодействуют с сайтами, умение работать с различными базами данных. Другие отвечают на вопрос «Что можно сделать, когда мы попали в сеть?». Здесь важны знания сетевых технологий, понимание механизмов защиты современных операционных систем, технологий виртуализации, контейнеризации, умение ориентироваться в различных механизмах защиты.
Общие навыки для обеих категорий — умение пользоваться специализированными инструментами и понимание популярных языков программирования (Python, С#), так как большинство инструментов написаны на этих языках, добавляет эксперт.
Дмитрий Калинин, главный специалист «МегаФона» по анализу защищенности информационных систем корпоративных клиентов
«Я окончил МГТУ имени Баумана, учился на кафедре информационной безопасности. Программа включала в себя все необходимые дисциплины: нам преподавали бумажную безопасность (регламенты и стандарты, основанные на требованиях регуляторов. — РБК Тренды), были курсы по программированию, проектированию систем безопасности, защите от шпионажа, по физической защите объектов. Также был вводный курс по наступательной кибербезопасности. Он давал общее представление о пентестах, но был очень увлекательным и усилил мой интерес к данной области.
Еще студентом я начал работать по специальности, в защите. На стороне обороняющихся я проработал семь лет. Узнал, какие бывают системы защиты, как они проектируются и настраиваются. В какой-то момент мне захотелось перейти на противоположную сторону, и я стал пентестером. Пентестером я работаю уже семь лет».
Как провести пентест
В «МегаФоне» отмечают значительный рост спроса со стороны бизнеса на услуги проверки защищенности IT-инфраструктуры. Причем 48% предприятий обратили внимание на информационную безопасность превентивно, из-за роста киберугроз, 29% — по требованию регулятора и 23% — после киберинцидента (35% из них понесли ущерб).
Компания рекомендует делать пентесты не реже раза в год, а также тестировать все обновления и новые системы еще перед тем, как они попадают в прод, то есть становятся общедоступными. Это позволяет «отлавливать» основные уязвимости и держать высокий общий уровень защищенности компании. Этим также занимаются пентестеры.
Результаты тестирования клиентов «МегаФона»
- Девелопер из топ-10 застройщиков России по объему текущего строительства. «МегаФон» провел анализ защищенности внешней инфраструктуры, то есть той, в которую можно попасть через интернет, а также нескольких мобильных приложений девелоперской компании. Специалисты действовали как обычный внешний злоумышленник — без предварительных знаний о целевых системах или доступа к ним. Они выявили уязвимости наивысшего уровня критичности: пентестеры добились полного контроля над системами заказчика. Это, в свою очередь, позволило получить доступ к конфиденциальной информации, в том числе личным данным покупателей недвижимости. Девелопер получил рекомендации, которые позволили закрыть все найденные уязвимости до того, как они были использованы злоумышленниками.
- Разработчик государственных федеральных информационных систем. «МегаФон» провел комплексный анализ защищенности, а также аудит государственной федеральной информационной системы, разработанной компанией. Специалисты отметили высокий уровень защищенности внешней инфраструктуры и низкий — у внутренней. Для этого пентестеры продемонстрировали возможность компрометации домена пользователем-сотрудником с минимальными привилегиями.
- Ведущий игрок рынка ювелирной розницы. Специалисты обнаружили критические уязвимости и ошибки в бизнес-логике во внешней инфраструктуре компании. При этом пентестер действовал как злоумышленник из интернета, то есть без каких-либо доступов или предварительных знаний о системе. В процессе был обнаружен ряд уязвимостей, в том числе в бонусной программе и системе подарочных карт. Они могли привести к серьезным прямым финансовым и репутационным потерям, а также к штрафам со стороны регулятора в случае утечки данных. Благодаря своевременно проведенному пентесту и оперативной работе команды информационной безопасности на стороне заказчика уязвимости были быстро устранены.
Научить и предотвратить
Чтобы обезопасить бизнес, нужно не только подготовить IT-инфраструктуру к возможным инцидентам, но и уделять должное внимание цифровой грамотности рядовых сотрудников. В этом помогут обучающие платформы. Их главная цель — повысить знания в области информационной безопасности. В образовательной платформе «МегаФона» есть курсы на разную тематику в сфере кибербезопасности и различные инструменты для закрепления знаний и их последующей проверки.
«Фишинговый модуль «МегаФон Security Awareness» позволяет симулировать фишинговые атаки на сотрудников, отправляя письма, например, от генерального директора, налоговой, банка, и проверять, сколько людей открыли ту или иную ссылку, сколько из них ввели свои данные и какие именно, на какие триггеры среагировали. На основе этого можно собрать аналитику и выяснить, на какую тематику сотрудники реагируют активнее всего», — рассказали в компании.
В вопросах кибербезопасности крайне важна независимая оценка. Проводить пентесты и обучать сотрудников имеет смысл даже при наличии собственной команды информационной безопасности, готовой делиться знаниями. Независимая оценка всегда дает более полную картину.