Сервисный блок компании F6 объединяет экспертов, чьи знания, опыт и интуиция пока ещё недоступны даже самым продвинутым моделям ИИ. В него входят Лаборатория цифровой криминалистики, департаменты расследований высокотехнологичных преступлений, аудита и консалтинга, Центр обучения и Центр кибербезопасности.
О том, как работают кибердетективы и компьютерные криминалисты, в этом году уже рассказали Вадим Алексеев и Антон Величко. А вот про аудит и консалтинг мы решили спросить директора сервисного блока F6 Александра Соколова. У него мы узнали, какие риски есть при легализации «белых хакеров», почему самая популярная услуга – внешний пентест, что общего у аудитора в кибербезе и врача, и почему Гарри Поттеру было легче, чем начинающему пентестеру.
Законный интерес
Хорошие парни в «вестернах» носят белые шляпы, а бандиты – чёрные. Эта отличительная особенность перекочевала и в кибербез. Теперь у нас есть чёрные и белые шляпы. А ещё серые шляпы, grey hat – специалисты, которые работают без злого умысла, но при отсутствии законного разрешения. Зелёные шляпы, green hat – начинающие специалисты в области информационной безопасности, которые ещё не выбрали свой путь и могут стать как white hat, так и black hat. В российском кибербезе спектр ещё шире: вдобавок к основным цветам у нас есть знаменитая шляпа Алексея Лукацкого. В основном, конечно, на слуху черные и белые хакеры. Первые изначально действуют вне закона, а со вторыми ситуация интереснее.
К «белым шляпам» сейчас слишком много вопросов. Законопроект о легализации белых хакеров, который недавно отклонила Госдума, с самого начала вызвал множество споров даже в профессиональном сообществе. В медиа эта законодательная инициатива подавалась под знаком легализации белых (или, как ещё говорят, этичных) хакеров. Хотя на самом деле такие специалисты, известные также как пентестеры и аудиторы, уже много лет работают в серьёзных компаниях в сфере кибербеза, обладающих лицензией ФСТЭК на соответствующую деятельность. На проработку подобных инициатив требуется время и взаимодействие с профильным сообществом. Ведь у неконтролируемой активности со стороны легализованных белых хакеров есть свои риски. Результатом такой активности может стать отказ в обслуживании систем, передача полученной информации об уязвимостях третьим лицам и другие нежелательные последствия.
Пентест человеку с улицы не доверишь. Это должно быть доверенное лицо, с которым подписан NDA. Когда вы работаете с какой-либо компанией, у которой есть бренд и репутация, авторитет, история, договоры и NDA, лицензия ФСТЭК – риски сводятся к минимуму. Такие участники рынка понимают и принимают ответственность, связанную с данной деятельностью.
Пройти сквозь стену
Самый популярный запрос сейчас – на внешний пентест. Почему? Заказчики переживают за свой внешний периметр, так как он доступен всем во внешней сети, открыт любому злоумышленнику, начиная со скрипт-кидди (люди, которые не владеют глубокими знаниями в области кибербеза, но умеют использовать готовые скрипты для атак на компьютеры и сети) и заканчивая серьёзными APT-группировками (Advanced Persistent Threat, постоянная серьёзная угроза).
Заказчики по-разному относятся к результатам аудита. Самая яркая история на моей памяти – когда мы проводили внешнее тестирование на проникновение в одной компании, название которой по понятным причинам не называю. Заказчик часто повторял: «Мы всё сделали нормально в плане безопасности, у вас не получится нас взломать. Но раз мы вас наняли, попробуйте».
Часа через четыре наш сотрудник получил доступ доменного администратора. Мы сразу связались с заказчиком, так как у нас есть правило: если мы находим критические уязвимости, то незамедлительно сообщаем о них сотрудникам организации, чтобы те имели возможность как можно скорее эти уязвимости устранить. Реакция заказчика была своеобразной. Он выслушал нас, помолчал. А затем сказал: «Коллеги, я считал вас солидной организацией, но то, что вы говорите, ни в какие ворота не лезет». И добавил: «Я не верю, что вы могли сделать это за такой короткий срок». Мы были обескуражены, потому что раньше не сталкивались с таким отношением. Но сразу же сообщили детали уязвимости и эксплуатации. На этом день закончился. Наутро через аккаунт-менеджера заказчик попросил связаться с ним. Он сказал: «Ребята, я вам верю, и меня уволят, если вы мне не поможете как можно скорее эту уязвимость закрыть». Тогда мы поняли друг друга, направили рекомендации и помогли быстро все устранить.
Что не вырубить топором
Когда вы идёте к врачу на обследование, то не ждёте, что у вас ничего не обнаружат. Наоборот: вы идёте к доктору, чтобы понять, есть ли у вас проблемы. Если нет – хорошо, если есть – надо исправлять ситуацию. Соответственно, наша задача, как и для врача – провести все необходимые тесты, выполнить качественные исследования и получить объективную независимую оценку защищённости объекта тестирования. Но тут многое зависит от отношения заказчика к результатам. Кто-то радуется, когда мы находим много уязвимостей. Идёт к своему руководству со словами: видите, не зря мы выделили на это бюджет, пойдём эти уязвимости закрывать. Кто-то грустит: да, много у нас всего нашлось, теперь с этим что-то надо делать.
Были заказчики, которые просили нас или совсем убрать уязвимости из отчёта, или «сгладить углы». Мы относимся к таким просьбам негативно. Да, с одной стороны, мы стараемся быть максимально гибкими и лояльными. Но, с другой стороны, против наших правил взять и просто исключить из отчёта факт нахождения уязвимости. Потому что мы, в определённой степени, несём ответственность за компанию, которую проверили.
Наша задача – выдать результат, а заказчик вправе решать, что с ним делать. Он может просто закрыть глаза, хотя мы советуем этого не делать. Мы никогда не убираем найденные уязвимости из отчёта, но иногда помогаем заказчику правильно позиционировать результаты работы перед его руководством и объяснить, что это нормально. Инфраструктура неоднородна, системы обновляются, каждый день появляются новые уязвимости. Сам факт того, что компания озаботилась вопросом своей защищённости, заказала проверку и получила результаты – это уже хорошо. Это значит, что ваша система работает, и это непрерывный процесс. Так что не стоит расстраиваться или, наоборот, радоваться нахождению уязвимостей. Нужно относиться к этому спокойно как к части рабочего процесса и незамедлительно принимать меры по устранению найденных недостатков.
Все оттенки аудита
Есть несколько форматов тестирования. И у каждой компании-вендора есть своя терминология для их обозначения. Мы выделяем следующие форматы. Первый уровень технического аудита – это так называемый vuln scan, сканирование уязвимостей. Яркий пример – ASV-сканирование, которое требуется в рамках работ по PCI DSS: запустили сканер, получили результаты, обработали их, убрали false positives (ложные срабатывания) из отчёта – и вот, результат готов. Это самый простой, дешёвый и неглубокий способ технического аудита, но и он даёт определённые полезные результаты.
Следующий уровень – работы по анализу защищённости. Мы воспринимаем это как инвентаризационный аудит уязвимостей. Тестируем все системы, которые находятся в скоупе. Наша задача – найти как можно больше уязвимостей на каждом объекте тестирования, вне зависимости от уровня их критичности.
Далее идёт пентест. Мы моделируем действия некоего злоумышленника, заинтересованного лица, у которого нет задачи найти все уязвимости, они ему не нужны. У него другая, более понятная задача, продиктованная логикой. Например, получить доступ к системе, получить или повысить привилегии, доступ к каким-то данным. При пентесте мы эмулируем поведение именно такого злоумышленника, который обращает внимание на самые критичные уязвимости, строит киллчейн атаки и так или иначе достигает определённых результатов. Подсвечивая при этом, какие уязвимости были найдены и использованы.
Ещё один формат – редтиминг (Red Teaming). Наша компания была первой, кто вывел эту услугу на российский рынок. Она подходит только для структур с определённым уровнем зрелости информационной безопасности, в которых есть собственный отдел ИБ, специалисты, установлены и действуют средства защиты.
Редтиминг – это испытание системы информационной безопасности заказчика на прочность в боевых условиях. И подготовка к нему требуется основательная. В редтиминге, как правило, участвуют три стороны. Команда атакующих (red team), команда защищающихся (blue team) и команда заказчика (white team), с которой все обговаривается и согласовывается. О планируемых действиях должны знать отдельные лица, составляющие команду white team: обычно это CEO, CTO, возможно CISO. Размер команды зависит от компании: кто-то предпочитает привлекать больше людей, кто-то меньше. Но в основном это те, кто выполняет менеджерскую роль на конкретном проекте.
Сим-сим, откройся
Иногда в рамках редтиминга нам заказывают работы по физическому вектору – проникновению на объект заказчика. Специалист моделирует поведение злоумышленника, который стремится попасть в периметр организации для дальнейшего развития атаки. Варианты разные: в прежние годы могли оставить в офисе «зараженные» флешки, которые любопытные сотрудники сами вставляли в свои рабочие компьютеры, и самостоятельно подключиться к офисной технике для доставки программных средств удалённого контроля.
Физический вектор редтиминга делится на три этапа: определение целей, разведка и подготовка, исполнение. Разведку проводим как онлайн (OSINT), так и офлайн (осмотр на месте). Например, когда выполняли работы для одной из финансовых организаций, выбирали между двумя объектами. Сначала посмотрели на здания с карты, изучили панорамы. Выяснили, что у первого здания есть внутренняя территория, смежная с другими компаниями, так что, попав в другую организацию через этот двор, можно найти способ попасть к нашей цели. Уже на месте коллеги обнаружили, что за этим зданием проводились ремонтные работы, там ходили строители и пройти на территорию можно было через дырку в заборе.
Наши специалисты ходили вокруг здания, изучали его особенности, запоминали, как часто охранники выходят курить, когда они меняются. Попутно выясняли, под каким прикрытием можно проникнуть на объект. Нашли контакты эйчара, который работал в этой компании, сотрудника IT-отдела этой же организации и написали самим себе письмо от имени этого эйчара. В тексте указали, что компания зовёт на собеседование кандидата такого-то в отдел вот этого айтишника. С этим письмом пытались пробиться через КПП, но здесь нас ждала неудача. Этот эйчар уже несколько месяцев как не работал в компании, пришлось сослаться на ошибку почты и вежливо попрощаться.
Рассматривали вариант воспользоваться спецодеждой и пройти под видом рабочих. В здании проводились какие-то ремонтные работы, и одна дверь всегда была открыта – её держал огнетушитель, чтобы удобно было входить и выходить. Правда, в помещении, куда вела дверь, шёл ремонт, никаких компьютеров и серверов не было, поэтому для нас оно не представляло интерес. Такой вектор проникновения тоже нужно учитывать: если человек надевает спецовку и представляется курьером, человеком, который пришёл чинить кондиционер, провести чистку кулеров для воды, он вызывает у окружающих меньше подозрений.
На объект мы проникли банально просто. Ребята проследили за примерным графиком ухода охранника покурить, дождались, пока он в очередной раз ушёл, зашли в приоткрытую дверь и поднялись на 2 этаж. СКУД (система контроля и управления доступом) там не работала, потому что в тот день то ли ремонтировали, то ли проводили проверку пожарной сигнализации. А при пожарной тревоге, как правило, СКУД отключают, чтобы люди могли беспрепятственно покинуть помещение. Вот так ребята получили физический доступ, воткнули флешку с модемом в компьютер и создали бэкконнект. Задача была выполнена.
Для реализации физического вектора необходимы фантазия, актёрское мастерство и быстрая реакция. Порой ситуация развивается непредсказуемо, и важно понимать, какое поведение, в какое время и в каком месте могут открыть для тебя двери. Мы прорабатываем сценарии на случай, если наше инкогнито раскроет служба безопасности. На всякий случай просим заказчика предоставить исполнителю бумагу для предъявления, на которой будет написано что-то вроде: не бейте, это свои. За наших ребят мы спокойны. Были ситуации, когда при реализации физического вектора к ним подходили охранники, проявляли бдительность, интересовались. Но до неприятных инцидентов никогда не доходило.
Когда эффективность выше 100%
Есть ещё один вектор входа в компанию – через телефонные звонки сотрудникам, вишинг. Сейчас его активно используют мошенники в схеме FakeBoss. Благодаря нейросетям злоумышленники по записи небольшого паттерна воспроизводят речь, очень похожую на настоящую речь обладателя голоса, и противостоять таким атакам достаточно сложно. Мой совет: всегда проверяйте источник звонка. Если это неизвестный номер или неизвестный аккаунт, как минимум стоит насторожиться, проверить через другие источники, уточнить. А если вас просят что-то срочно сделать: например, сообщить пароль, какие-либо коды, совершить операции с деньгами и тому подобное, наиболее вероятно, что действуют мошенники.
При социотехническом тестировании хорошо работают все человеческие грехи. Такое тестирование показывает, насколько сотрудники организации устойчивы к атакам с использованием социальной инженерии. Был случай, когда любопытство в сочетании с жадностью привело к КПД выше 100%. Мы отправили фишинговые письма с предложениями ввести креды (учётные данные пользователя) и получить за это скидку в конкретном магазине. Дело было перед Новым годом. Мы отправили письма целевой группе из 20 человек, но учётные записи получили более чем от 30. Видимо, кто-то кому-то на обеде или в курилке рассказал про наше сообщение, коллеги раздосадовались, попросили им переслать и ввели свои учётные данные. И такое случается достаточно часто.
Кроме общеизвестных грехов, есть и другие человеческие качества, которым могут сыграть на руку злоумышленникам. В случае социотехнического тестирования это банальная вежливость. Представьте ситуацию: вы заходите в бизнес-центр, там СКУД, доступ по карте. Вы прикладываете карту, открываете дверь, всё нормально, но за вами бежит молодая красивая девушка, в руках у неё пакеты. Кричит: «Молодой человек, подержите дверь, пожалуйста!» Многие ли из вас захлопнут перед ней дверь? Ну, наверное, немногие. Вежливость – это прекрасно, но в первую очередь нужно проявлять бдительность.
Чем дальше от офиса, тем больше уязвимостей
Самое слабое звено в обороне компании – сотрудники. От человеческого фактора не спасёт даже самая навороченная система защиты. Отдельная история – удалёнщики. Если удалёнщик работает на корпоративном устройстве, у него подключён VPN-доступ, он становится частью инфраструктуры компании и тоже может представлять интерес для злоумышленников как дополнительный вектор атаки. Мы, как правило, стараемся удалёнщиков не трогать, потому что так можно попасть в какой-либо личный сегмент. Иногда сотрудники просто работают с личных устройств. Был прецедент, когда мы из инфраструктуры заказчика попали к одному из сотрудников, но сразу же выяснили, что это его личное устройство. Когда поняли, что зашли к нему домой, сразу же остановили этот вектор, не стали его дальше развивать, но предупредили об этом. Будь это не мы, а злоумышленник, для компании всё могло бы кончиться не очень хорошо.
Ещё один популярный у злоумышленников вид атаки – поддельные точки доступа. Многие пользуются бесплатными сетями Wi-Fi в общественных местах, у многих на личных устройствах стоит галочка автоматического подключения к Wi-Fi сети по запомненному SSID, то есть по названию. Скопировать интерфейс известного ресурса с формой авторизации нетрудно. Это создаёт прецеденты, когда люди заходят через такую фейковую точку доступа, не замечая подмены, отдают злоумышленнику данные доступа к своим учётным записям, которые используют в момент использования – начиная с аккаунта в Telegram и заканчивая корпоративными аккаунтами. Риск раскрыть свои данные при использовании Wi-Fi в общественных местах довольно высок. История, когда в аэропорту Шереметьево заметили поддельную точку доступа Wi-Fi, ещё раз подтверждает это. Повториться такая ситуация может где угодно.
Главная рекомендация по защите от таких случаев – отключить автоматическое подключение к известным сетям. Плюс не использовать для работы с конфиденциальной информацией бесплатные точки доступа в кафе, лобби гостиниц, отелях и так далее. А если использовать для каких-то личных целей, например, просмотра видео в соцсети или на облаке, лучше удостовериться, что точка доступа реальная.
Новое слово на букву D
В нашем законодательства курс на защиту персональных данных прослеживается чётко. В декабре прошлого года вступили в силу изменения в Уголовный кодекс, установлены санкции за использование персональных данных, добытых незаконных путём. С мая 2025 года увеличились штрафы за утечки данных, начнут действовать оборотные штрафы. Вслед за Европой в российских компаниях тоже стали появляться DPO (Data Protection Officer; специалист, который отвечает за защиту персональных данных клиентов и сотрудников компании). К сожалению, таких компаний все ещё немного. В большинстве организаций за это отвечают или юристы, или сотрудники ИБ-отдела, или IT-специалисты – но каждый из них компетентен только в своей части. Юристы понимают в законах, технические специалисты – в своей сфере, но для такой роли нужен специалист, который сочетал бы и те, и другие знания.
Опыт Европы в вопросах ответственности за утечку данных заслуживает внимания. Там ответственность идёт по вертикали, начиная с CISO. Но его не просто обвиняют в утечке, а выясняют, проявил ли он должную заботу, осмотрительность. Предпринял ли необходимые и достаточные меры для предотвращения утечки. Если да, меры были приняты, то, соответственно, можно отделаться сравнительно небольшими санкциями, потому что не бывает абсолютной. Но вместе с тем важно, чтобы каждый человек, который работает с персональными данными и от которого зависит их сохранность, понимал степень своей ответственности – тогда и человеческий фактор будет реже становиться причиной утечек.
По секрету всему свету
Доступ к конфиденциальным данным любой посторонний мог получить через поисковик. Когда во время пандемии началась массовая миграция компаний в облачные сервисы, наша команда аудита часто сталкивалась с разными ошибками пользователей публичных облаков. От слабой парольной политики, когда сотрудники обменивались логинами и паролями в мессенджере, до выложенных на гите репозиториев, содержавших креды боевых систем компании.
Были ситуации, когда по умолчанию какой-либо репозиторий или отдельный файл в облаке были открыты всему миру – то есть получить доступ к ним можно было прямо через поисковую систему. Естественно, после всех громких инцидентов выводы сделали. Компания, которая предоставляет услуги облачного провайдера, ужесточила свою политику безопасности, а клиенты, которые пользовались её услугами, приняли меры со своей стороны. Но проблемы здесь все ещё встречаются. В рамках разведки мы смотрим, какие есть публичные репозитории у компании-заказчика. Иногда действительно находим там пароли.
Как напоминает в известном меме Леонид Каневский, никто, естественно, этого не сделал. Был у нас кейс, когда заказчик использовал опенсорсную систему. Мы зашли на гит, где был репозиторий автора этого опенсорса (ПО с открытым исходным кодом). Там была инструкция по установке сервиса, а в ней сказано: после установки контейнера не забудьте сменить предустановленную пару логин-пароль. Мы проверили: оказалось, что пароль не меняли. Да, и такое встречается часто.
На светлой стороне всегда лучше
В культовой саге «Звездные войны» не раз упоминалось, что темная сторона соблазнительна. Так и в нашей сфере: молодые ребята могут надеть «черную шляпу», прельщённые возможными финансовыми выгодами, но в большинстве случаев это заканчивается для них плачевно. Поэтому мы рекомендуем не переоценивать свою мощь.
Гарри Поттеру было легче: за него выбор сделала Распределяющая шляпа. Молодым ребятам, тем самым green hat, которые увлекаются темой тестирования на проникновение и уже получили определённые навыки, но не имеют возможности реализовать себя, легко ошибиться – по незнанию они могут неосторожно уйти на тёмную сторону. Например, предпринять какие-то действия в отношении реальных систем, но без злого умысла и желания навредить, без ущерба для организации, отказа в обслуживания – из желания потренироваться. Моё мнение: каждый такой кейс нужно рассматривать в отдельности. У зелёных шляп, как я говорил, два пути: надеть белую шляпу или чёрную. И будет здорово, если они вовремя встретят людей, которые объяснят им, что на светлой стороне лучше. По крайней мере, безопаснее. Если таким ребятам отказывать из-за ошибок, которые можно исправить, специалисты по тестированию могут потерять хорошего коллегу, а хакеры – получить хорошего напарника.
Дорога жизни сама привела меня в компанию, и я никогда об этом не жалел. Я изначально собирался идти в кибербез, получил образование как специалист по информационной безопасности. Какое-то время, пока учился в магистратуре, преподавал в техникуме при Бауманке. Собрал там команду ребят, мы участвовали вместе с ними в CTF (Capture the Flag, командные соревнования в сфере кибербезопасности). На одном из CTF в Сколково познакомился с сотрудниками нашей компании. И тогда я подумал: какие же они классные, хочу быть таким же. И вот теперь я с ними, надеюсь, что такой же классный. У нас очень интересно, постоянный драйв, много интересных умных ребят, у которых всегда есть чему научиться.
Талантливых пентестеров нужно растить. У нас есть пример интерна, который пришёл к нам, будучи еще в школе, не по годам талантливый парень. Сейчас мы растим его, он делает успехи, очень им довольны. Большинство ребят, которые к нам приходят, большие энтузиасты, и мы это ценим. В нашем деле теория достаточно важна так же, как и практическая составляющая. Чтобы молодым ребятам стать пентестерами, попасть в команду аудита, конечно, нужно учить матчасть, практиковаться в различных системах. Есть OWASP Juice Shop: можно развернуть приложение и протестировать его безопасность. Есть множество сервисов, например, HackTheBox, в котором можно найти как теорию в большом количестве, так и лабораторные работы. А если этих знаний и практики становится недостаточно, можно приходить интернами в организации – обучаться, практиковаться под надзором специалистов с опытом.
Лучший способ повышения квалификации – несомненно, постоянно обновлять свой опыт. Что касается курсов, то сейчас всё ещё актуально получать международные сертификаты, такие как, например, OffSec (Offensive Security Certified Professional, сертификация в области этичного хакинга). Но важно помнить, что никакой опыт участия в CTF, багбаунти и прочих практико-ориентированных мероприятиях не компенсирует незнание фундаментальных основ. К слову, наша компания также реализует большое количество профильных курсов.
Если бы в инструкции по информационной безопасности было бы только одно слово, я бы выбрал «осмысленность» или «осознанность». Безопасность должна быть осознанной.
