Как техники хакерских атак используются в информационной безопасности
Рассказываем, кто такие Red Team и Blue Team, какие навыки им нужны, и как хакерские атаки могут усилить безопасность инфраструктур.
6К открытий6К показов
Привет! Это школа кибербезопасности HackerU, и в этой статье мы хотим рассказать о двух направлениях в информационной безопасности: Red Team и Blue Team.
Когда мы говорим об информационной безопасности, мы в первую очередь имеем в виду защиту — инфраструктуры, систем, данных, you name it. И кажется, что в этом контексте слово «атака» окрашивается сугубо негативно: атаки же проводят злоумышленники.
Но техники хакерских атак можно использовать во благо. В информационной безопасности действует правило, пришедшее из военных игр: чтобы защита работала эффективно, ее должны атаковать свои.
По этой логике в индустрии выделились два направления, которые разными путями приходят к одной цели — не допустить взлома системы. Это атакующие и обороняющиеся, они же пентестеры и безопасники, они же Red Team и Blue Team.
Кто такие Red Team и Blue Team?
Red Team — это, по сути, хакеры, которые действуют на «стороне добра»: с помощью взлома систем защиты они помогают эти системы усилить. Еще их называют пентестерами.
Пентестеры работают в связке с Blue Team — командой специалистов, обеспечивающих информационную безопасность системы изнутри. Чаще всего это чистые инфраструктурщики.
Для работы в Red Team в первую очередь нужны знания о работе различных приложений и основных атакующих техник, а также умение программировать. Специалистам Blue Team требуются фундаментальные знания, в первую очередь технические.
Компании выделяют все большие бюджеты на ИБ. При этом схема, в которой Blue Team работает вместе с Red Team, оказывается наиболее эффективной. Blue Team-специалисты обеспечивают защиту от хакерских атак изнутри: настраивают системы, мониторят их состояние — и делают это постоянно. Red Team же работает снаружи: ищет и использует уязвимости, проводит хакерские атаки — не чтобы все сломать, а чтобы указать на слабости коллегам-безопасникам.
Ключевые задачи Red Team и Blue Team
Итак, есть инфраструктура, и её нужно защитить от злоумышленников. Специалисты из Blue Team должны это обеспечить. Если суммировать их конкретные задачи, то получится такой список:
- Выстраивать систему защиты от известных хакерских атак, которая (в идеале) будет работать 24/7.
- Выявлять новые атаки и изучать поведение хакеров.
- Создавать систему реагирования на попытки взлома.
- Прогнозировать цели хакерских атак и появление новых атак с учетом меняющегося ландшафта.
«Любую систему можно взломать. Возьмите социальную инженерию, и вы спокойно сможете поломать любую, даже самую защищенную систему. Наша задача — минимизировать вероятность взлома», — поясняет Ильдар Садыков, руководитель департамента ИБ Федерального бюро МСЭ Министерства труда и социальной защиты.
Минимизировать риски безопасникам помогают пентестеры. Их ключевая задача — имитировать настоящие атаки хакеров на систему защиты. В ее подготовке выделяются семь этапов, но главные из них два: поиск уязвимостей и их эксплуатация.
«Red Team — это, вообще, не какая-то конкретная команда. По сути, это процесс использования атакующих тактик. Обычно нам дают время, за которое нужно систему компрометировать. Либо продемонстрировать компрометацию — показать, что ее можно взломать, показать, какие есть уязвимости», — поясняет Head of Security в HackerU Russia Егор Богомолов.
Что должен знать пентестер: программирование, работа приложений, типы уязвимостей
Знания, необходимые пентестеру для работы, можно разделить на три больших категории:
- Принципы работы разных мобильных и веб-приложений. Сюда же можно отнести понимание операционных систем.
- Основные типы уязвимостей и техники их использования.
- Языки программирования. Для пентестера нет необходимости в умении писать на всех языках, но читать и понимать их он обязан.
«Знать все на свете нереально. Поэтому пентестер уделяет особенно много времени изучению тех систем, с которыми он сталкивается чаще всего. А параллельно он развивает в себе полезные навыки: умение искать, быть внимательным, наблюдательным. Найти абсолютно все уязвимости невозможно. Но можно попытаться обнаружить большую часть», — поясняет Егор Богомолов.
Коротко разберем популярную задачу пентестера — использовать SQL-инъекцию. Это один из самых простых способов взлома сайта, работающего с базами данных. Его суть — внедрить в данные произвольный код на языке SQL, что позволит злоумышленнику выполнить любой запрос к базе, читать и записывать данные.
Чтобы использовать SQL-инъекцию, пентестер, по словам Егора Богомолова, должен:
Применить знания о работе веб-приложений. База помогает пентестеру работать даже с сайтами, которые совсем не похожи на те, с которыми он сталкивался до этого.
Знать принципы SQL-инъекций и контекст, в котором они могут и не могут появляться.
Понимать язык SQL.
Часть необходимых знаний пентестеры получают в университете — это в первую очередь касается языков программирования. Однако программ именно для пентестеров в вузах нет — специалисты Red Team получают необходимые знания и навыки благодаря самообучению, проходят курсы и посещают вебинары.
В школе кибербезопасности HackerU есть трёхэтапный профессиональный курс «Специалист по тестированию на проникновение». Он дает знания и навыки, необходимые для старта карьеры в этой области. Получить программу обучения и записаться на бесплатный пробный урок можно по этой ссылке.
Что должен знать безопасник: системы, сети, защита
«Специалистам из Blue Team нужен более обширный багаж знаний, причем в первую очередь — технический. Стартовать в этой профессии будет легче системным администраторам или сетевым инженерам», — отмечает Ильдар Садыков.
Ключевые знания эксперта по ИБ можно точно так же разделить на группы:
- Администрирование операционных систем: Windows, Linux, MacOS, Unix-подобных систем.
- Понимание работы компьютерных сетей.
- Знание систем защиты и навык конфигурации.
«Принципиальный момент: в сетях требуются экспертные знания. Допустим, ты их понимаешь слабо. Настроить сеть тебе, возможно, поможет системный администратор. Но если ты не будешь понимать, в какой момент тот или иной протокол может иметь ту или иную уязвимость, то ты просто это пропустишь», — подчеркивает Ильдар Садыков.
Получить знания и навыки для работы на стороне Blue Team можно на курсе «Cпециалист по информационной безопасности» от экспертов-практиков HackerU. Курс подойдёт, как начинающим IT-специалистам, так и сисадминам, сетевым инженерам. Записаться на бесплатный пробный урок можно по этой ссылке.
Востребованность, деньги, перспективы
Обеспечения информационной безопасности — это дорого. Согласно отчету Cisco, российские средние и крупные компании тратят на это в среднем 1,4 миллиона долларов в год. В итоге эффект — положительный: опрошенные организации оценили преимущества, которые они получили от защиты данных, в 2,1 миллиона долларов ежегодно. Логично, что инвестиции в ИБ продолжают расти.
Вместе с тем, до 93 % компаний признают, что их служба кибербезопасности не в полной мере соответствует потребностям. Одна из ключевых проблем в ИБ — «заплаточный» подход, когда проблемы решаются по мере их поступления. В таком случае отсутствует единое видение системы защиты организации.
Несостоятельность такого подхода доказывается работой пентестров. В 2019 году компания Positive Technologies провела ряд тестирований на проникновение, и вот что из этого вышло:
- получить доступ к локальным сетям удалось в 93 % случаев;
- чаще всего находилось несколько способов преодолеть сетевой периметр, максимальное число векторов проникновения в одном проекте — 13;
- в среднем на проникновение в локальную сеть требовалось четыре дня, минимум — 30 минут;
- сложность атаки в большинстве случаев оценивалась как низкая — значит, совершить ее мог даже низкоквалифицированный хакер.
Более современным и актуальным оказывает подход к ИБ, в котором присутствует механизм моделирования угроз, а мониторинг ведется постоянно. Практика показывает, что уровень защищенности систем растет, если безопасники и пентестеры работают в связке.
Это не может влиять на рынок: потребность в специалистах Blue Team и Red Team уже сейчас высока, а в будущем она будет только расти. Уровень зарплат в обоих случаях достойный даже у специалистов без обширного опыта:
- безопасники на старте карьеры получают в среднем 70 тысяч рублей, специалисты с опытом от года до трех лет — до 120 тысяч.
- пентестеры с опытом от трех лет могут получать до 250 тысяч рублей, без опыта — около 80 тысяч.
6К открытий6К показов