Ашер де Мец вошел в парадные двери супермаркета. На боку у него вместо многоразовой сумки для покупок висела обычная сумка для ноутбука. Де Мец не покупал продукты — это был взлом. Но ни покупатели, проверяющие авокадо, ни кассиры, крадущие кредитные карты, не поняли, что на них напали.

Де Мец прошелся по магазину и обнаружил помещение, заполненное людьми за компьютерами. Это была тренировка. Идеальное место, чтобы слиться с толпой. Итак, он сел и угнал компьютер. https://limonsu.ru/

"Я просто зашел, отсоединил кабель от задней панели одной из машин и подключил его к своему ноутбуку", - говорит де Мец. "Я некоторое время занимался хакингом и довольно быстро получил доступ к системам и базам данных из этой комнаты".

По горячим следам "хакера"
Вскоре после этого тренер обратился к де Мец. Она была вежлива, но неуверенна в нем. "Я из головного офиса", - объяснил де Мец. Он сказал ей, что нужно установить некоторые обновления. Эта история успокоила ее на несколько минут, но она решила ввести в курс дела своего руководителя.

Именно тогда де Мец решил, что пришло время уходить. "Я закрыл все и начал уходить", - вспоминает де Мец, но тренер был у него на хвосте. "Я поднялся по лестнице и, к сожалению, когда я толкнул дверь, сработала сигнализация".

Погоня продолжалась под звуки ревущей охранной сигнализации и финального крещендо визга, когда тренер вопил на весь магазин: "Это он! Это тот самый парень!" Другой сотрудник супермаркета обратился к де Мецу, но де Мец был подготовлен. У него была папка из манильской бумаги с сфабрикованным рабочим заданием.

Он сказал им, что он был и что было серьезных рубить в магазине системы. "Вы знаете, что прошлой ночью был сбой в сети? Были украдены миллионы ". "Нет", - сказал руководитель. "Я понятия не имел". Пара согласилась позвонить позже в тот же день, чтобы избежать каких-либо проблем из-за серьезного нарушения кибербезопасности.

Часть рассказа де Меца менеджеру супермаркета была правдой; его наняло для работы в супермаркете руководство супермаркета. Однако единственный взлом, который произошел, был совершен самим де Мецем, и он не украл ни цента. Его наняли, чтобы посмотреть, как далеко он сможет проникнуть в системы супермаркета. И в этом случае он продвинулся далеко. Теперь у него была полезная информация, которой он мог поделиться с руководством команды о том, как сделать их безопасность более эффективной и безопасной как для сотрудников, так и для клиентов.

Некоторые тестировщики на проникновение, такие как Ашер де Мец, обучены, среди прочего, проникать внутрь и смешиваться с толпой на корпоративных собраниях и тренингах, чтобы посмотреть, смогут ли они взломать компьютеры и заметит ли начальство их присутствие.

Почему компании платят за то, чтобы их взломали
Де Мец - старший менеджер по консалтингу в области безопасности в Sungard Availability Services, глобальной компании по управлению ИТ-услугами. У него более чем 20—летний опыт работы в качестве тестировщика проникновения — так они называются - и он предоставил бесценные советы некоторым крупнейшим мировым компаниям в Великобритании, Европе, на Ближнем Востоке и в Северной Америке.

"Причина, по которой компании проводят тестирование на проникновение, - говорит де Мец, - заключается в том, что они не знают того, чего не знают. У вас могла бы быть отличная внутренняя команда ИТ-специалистов или службы безопасности, которая устанавливает пакеты и пытается защитить системы, но пока у вас там не появится хакер, который будет копаться и делать то, что они не должны были делать, чтобы найти те риски, которые люди упустили, компании не знают, каковы их риски ".

Цель Де Меца - находить уязвимости раньше плохих парней, что является растущей угрозой для предприятий всех размеров. Согласно исследованию стоимости утечки данных за 2017 год, спонсируемому IBM security, 60 процентов малых и средних предприятий подвергаются атакам каждый год. Хуже всего то, что 60 процентов этих компаний закрывают свои двери в течение шести месяцев после атаки. Средняя глобальная стоимость одного взлома составляет 3,62 миллиона долларов.

Но новости становятся все хуже. Согласно исследованию Check Point Software Technologies, за первые шесть месяцев 2021 года число предприятий, пострадавших от атак вымогателей — тех, где установлено вредоносное программное обеспечение, блокирующее доступ к сетям до тех пор, пока не будет выплачен "выкуп", — более чем удвоилось по сравнению с 2020 годом. В отчете FireEye Mandiant M-Trends 2021 было обнаружено 800 попыток вымогательства, в результате которых данные компании были украдены в период с 1 октября 2019 года по 30 сентября 2020 года.

Ставки очень высоки
Вот почему все больше организаций нанимают тестировщиков на проникновение, также известных как хакеры в белых шляпах (буквальное обозначение символизма западных фильмов середины 20-го века), таких как де Мец, для целенаправленного проникновения в их системы.

"Это как страховой полис. Если компании потратят деньги сейчас на безопасность, это сэкономит им от 10 до 100 миллионов долларов, которые им обойдутся в случае взлома", - объясняет де Мец. "Например, если они оценят свою программу-вымогательницу и сделают себе прививку, это избавит компании от месяцев головной боли и потери доходов из-за невозможности вести бизнес".

Другая причина, по которой организации платят за то, чтобы их взломали, - убедиться, что они соответствуют более строгим нормативным стандартам. Здравоохранение, финансовые организации и правительственные учреждения, среди прочего, должны соответствовать федеральным, штатным и отраслевым правилам кибербезопасности, поскольку взлом становится все более распространенным и более дорогостоящим.

Кибербезопасность бывает физической и технической
Когда люди думают о взломе, они обычно представляют себе одинокого рейнджера, атакующего личные данные компании из безопасного темного подвала их мамы. Однако тестировщики на проникновение изучают как физические, так и технические аспекты программы безопасности организации, поэтому они взламывают изнутри самой организации.

"Компании не хотят оставлять что-либо на столе, что может быть частью слабости позиции", - говорит де Мец. "Мы тестируем физические средства контроля; можем ли мы получить доступ к зданию, обойти охрану, пройти через черный ход? Можем ли мы получить доступ к физическим файлам? Можем ли мы проникнуть в области, где компании печатают кредитные или подарочные карты?" Это критические физические моменты, на которые указывает де Мец, в дополнение к технической стороне, такой как доступ к сети или конфиденциальным данным.

Он также дает советы, например, рекомендации по программам обучения сотрудников, чтобы люди, подобные руководителю, с которым он познакомился, знали, как проверять людей, которые должны находиться в здании. Или что делать, если они кого-то не узнают (вместо того, чтобы начинать поиск по всему магазину, даже если из этого получится хорошая история). "Нам это доставляет большое удовольствие, но мы также приносим большую пользу клиенту".

Если вы представляете хакера как человека, сидящего за компьютером в темном подвале, подумайте еще раз. Сегодня они намного изощреннее, чем когда-либо.

Как работает тестирование на проникновение
Тестировщики на проникновение должны обладать подробными знаниями в области технологий, и это приходит с опытом, а не только с навороченными инструментами. "Тестирование на проникновение — это понимание технологии и взаимодействие с ней - знание того, как эта технология должна работать. Это методология и, возможно, настройка инструмента в соответствии с ней, но речь идет не просто о сценариях или инструментах ".

Как только де Мец оказывается внутри системы, он обращает внимание на три вещи: где он может войти в систему, какие версии программного обеспечения используются и правильно ли настроены системы. "Можем ли мы угадать пароль? Можем ли мы найти какой-нибудь другой способ получить доступ к логину? Возможно, программное обеспечение устарело и в нем есть эксплойт, поэтому мы пытаемся использовать какой-нибудь код программы-вымогателя против него, чтобы попытаться получить доступ к системе ", - говорит он. "Кое-что можно выяснить в ходе аудита, но мы также обнаруживаем вещи, о которых [организация] не подумала".

Проникновение происходит глубже, чем аудит сети, и это важное различие. Аудит спрашивает, соблюдается ли программа безопасности? Тестирование на проникновение спрашивает, работает ли программа?

Тестировщики на проникновение рассматривают стратегию безопасности с высоты птичьего полета. Проблема может быть не такой простой, как устаревшее программное обеспечение, а целой стратегией безопасности, которая нуждается в улучшении. Вот что выяснил де Мец.

Многие малые и средние предприятия испытывают трудности с финансированием хорошо обоснованных инфраструктур безопасности. Тем не менее, хакерские атаки в белых шляпах становятся все более популярными среди организаций, ответственных за личные данные, таких как Facebook, который известен тем, что поощряет хакеров в белых шляпах с помощью их программы "Вознаграждение за ошибки" для поиска уязвимостей в их системе...........
Де Мец также выступал в подкастах с некоторыми из своих самых драматичных историй тестирования на проникновение. Его цель двоякая: развлечь слушателей дикими историями, но, что более важно, подчеркнуть ценность тестирования на проникновение — и что поставлено на карту, если компании этого не сделают. Вы можете никогда их не видеть, никогда не знать, что они там, но тестировщики на проникновение помогают обеспечить безопасность бизнеса, а также безопасность таких клиентов, как вы.