Не все хакеры взламывают системы безопасности компаний и крадут данные, чтобы навредить или заработать на этом. Есть также белые или этичные хакеры, их задача - найти все уязвимости на сайте или онлайн-сервисе для дальнейшей проработки. И чем раньше будет проведен этичный хакинг, тем меньше рисков у компании. Кому и для чего следует проводить белый хакинг, об этом корреспондент центра деловой информации Kapital.kz побеседовал с экспертом по тестированию на проникновение IT-холдинга Kazdream Сакеном Тлеубердиным.
«Сайты и онлайн-сервисы состоят из разных программных обеспечений, и ошибки в них не исключены. Даже самые мелкие детали могут дать возможность хакерам взломать сервис и остановить работу сайта, онлайн-сервиса или приложения. Чтобы такого не происходило, нужно минимум раз в квартал проводить аудит на наличие уязвимости. Лучше компании это сделать самой, чем кто-то неизвестный сделает вместо вас и навредит», - говорит Сакен Тлеубердин.
По словам эксперта, этичный хакинг - это целенаправленный поиск ошибок в коде IT-специалистом, который работает в сфере исследований кибербезопасности. «Этичные хакеры или белые хакеры, аналитики в сфере информационной безопасности не крадут данные и не причиняют ущерб. Они обнаруживают проблему и сообщают о ней владельцу сайта, чтобы он мог исправить ошибку», - пояснил Сакен Тлеубердин.
Он полагает, что для тестирования и повышения безопасности своего ресурса нужно нанимать профессионалов, поскольку любая работа, где имеется доступ в интернет, подвергается атаке.
«Если вы хотите защититься от атак, то можно просто отключить интернет. Однако это невозможно, так как ваша работа просто «встанет». Независимо от уровня компании нужно делать аудит защищённости для выявления уязвимостей в IT-системах. К слову, этичные хакеры в большинстве используют те же методы и инструменты, что и злоумышленники. Конечная цель белых хакеров - повысить безопасность и защитить системы от атак. Но вместе с тем этичный хакер может попытаться собрать как можно больше информации о целевой системе, чтобы найти способы проникновения в систему и в результате обезопасить бизнес от рисков и уязвимостей», - отметил специалист.
Фазы этичного хакинга: планирование и разведка, здесь проводится определение целей и сбор информации; потом идет сканирование - использование инструментов сканирования для определения реакции цели на вторжение; после получение доступа - атаки на web-приложения для обнаружения уязвимостей цели; поддержание доступа - имитация целевой кибератаки (APT) и выяснение, можно ли использовать обнаруженные уязвимости для поддержания доступа, и в завершение анализ и конфигурация WAF - использование результатов теста для настройки WAF перед повторным тестированием.
Аудит защищённости для выявления уязвимостей в IT-системах можно сравнить с профилактикой организма человека, который необходимо наблюдать у врача, и как можно чаще.
«Процесс пентеста (аудит системы) разнообразный, так как приходится придумывать разные сценарии атак для обнаружения уязвимости. Он может занимать от нескольких часов до нескольких недель в зависимости от объема работы, иногда приходится трудиться сутками непрерывно, чтобы взломать систему», - заключил Сакен Тлеубердин.
