Лучшая защита это нападение: как белые хакеры помогают бизнесу защитить себя

То, что хакер — это профессия, уже распространенное представление, хотя до сих пор за ними тянется шлейф “черных” героев. Но сегодня в основном они “белые”. Первые взламывают ИТ-системы компаний, вторые — приносят бизнесу практическую пользу. Рассказываем в этой статье, почему бизнес должен привлечь на свою сторону “партию белых”.

ИТ-инфраструктура любого бизнеса по умолчанию уязвима, а активность киберпреступников формирует полноценный рынок, который растет вместе с экономикой в целом. По данным отчета Hiscox за 2024 год, 67% компаний-участников заявили, что за последний год число кибератак на их бизнес увеличилось. Интересная деталь в том, что на первый план для бизнеса вышли репутационные риски, связанные с кражей баз клиентских данных. Это даже более серьезная угроза, чем вывод средств со счетов: единоразовые потери можно компенсировать, а вот удар по репутации приводит к потере клиентов или даже уходу с рынка.

Причем опасность кибератак для небольшого бизнеса даже выше, чем для крупного. Такие предприятия просто не выдерживают последствий и во многих случаях закрываются. Ранее исследование Hiscox показало, что порядка 60% малых бизнесов после серьезных кибератак прекращают свою работу.

В оценке уровня своей защищенности бизнес чаще всего полагается на свои ИТ-отделы и подразделения информационной безопасности. Они используют стандартный набор технических средств защиты (специальные программы, фильтры, облачные технологии защиты), периодически проводят пентесты (это эффективный инструмент, если использовать его несколько раз в год) и считают, что находятся в безопасности. Впрочем, многие компании в мире хорошо осознают, что отстают в применении необходимых технологий для обеспечения кибербезопасности. Одна из причин в дефиците кадров. Так, 52% участников исследования Hiscox заявили о критической нехватке квалифицированных специалистов в этой области. 34% признались, что новые технологические риски, связанные в том числе с появлением ИИ, слишком высоки, чтобы они успевали на них адекватно реагировать имеющимися средствами.

При этом есть распространенное заблуждение, что кибератаки — это технические проблемы, о которых должны думать только отделы ИБ, решая их своими силами. В реальности обеспечение кибербезопасности предполагает принципиально иной подход. Например, в отчете Hiscox аналитики утверждают, что сегодня она требует буквально “коллективной ответственности”. Компании обращаются к услугам тех, кто способен эту коллективную ответственность обеспечить и гарантировать безопасность. В том числе в формате кибериспытаний, в которых участвуют белые хакеры. Но платит бизнес при этом только за обнаруженные сценарии, как можно нанести ущерб, а не за сам процесс исследований.

Белых хакеров можно уже назвать отдельной ИТ-профессией. Это ИБ-специалисты или технически эрудированные любители, которые умеют искать уязвимости в коде и бреши в киберзащите ИТ-инфраструктуры организаций. Они могут участвовать в пентестах, программах Bug Bounty и кибериспытаниях. Все эти форматы проверки киберзащищенности похожи именно тем, что в них участвуют этичные профессионалы-хакеры.

Белые хакеры могут работать индивидуально, решая небольшие задачи. Но в одиночку никто из них не сможет, например, наглядно показать, каким образом ИТ-инфраструктуре компании наносится реальный критический ущерб. Для достижения этой цели необходимо объединить навыки разных специалистов в одну команду. Для любого бизнеса это более важная задача, чем обнаружение единичных “багов”.

Интересно, что белые хакеры обеспечивают защиту бизнеса не “постфактум”, а работают на опережение. Это объясняется тем, что они умеют думать в той же логике, что и преступники, и пытаются реализовать задуманные атаки на практике. То есть они используют те же методы и инструменты, что и черные хакеры, но на пользу бизнесу. Такой метод защиты с помощью белого хакинга иногда называют “наступательной безопасностью” (offensive security), когда степень защиты проверяется вместе с экспертами. Любые атаки при этом заканчиваются ровно на том этапе, когда они могут принести реальный вред ИТ-системам бизнеса, то есть до технического “красного флажка”.

В России белые хакеры работают в компаниях, которые разрабатывают ИТ-продукты в сфере информационной безопасности, а также в ИТ-интеграторах и бутиковых пентест-компаниях. Кроме того, они могут зарегистрироваться на открытых официальных площадках: Standoff Bug Bounty, BI.ZONE Bug Bounty и Bugbounty.ru в качестве исследователей, получать там заказы и вознаграждение. У крупных компаний есть свои подразделения “корпоративных” белых хакеров (red team, красная команда), которые проверяют информационную безопасность не только в своей компании, но и для сторонних заказчиков.

Каждый бизнес должен понимать, что никто и ничто не может гарантировать ему кибербезопасность, а тем более привычные методы защиты. Значит, нужно использовать максимально разнообразные способы проверить ИТ-инфраструктуру на прочность. Но чтобы это сделать, нужно знать, какие ее участки сильнее всего нуждаются в защите, так как атаки на них приведут к недопустимым для бизнеса событиям. Когда такое знание есть и нужные места укреплены, имеет смысл нанимать белых хакеров, которые позволят оценить качество построенной защиты.

Под ловушкой понимается имитация компьютерной системы с приложениями и данными, которую настоящие хакеры могут попытаться взломать, раскрыв свои методы. Допустима даже социальная инженерия, если не пересекается грань Уголовного кодекса. Если потребуется, белый хакер может вступить в личный диалог с сотрудником компании в его соцсетях и постараться получить доступ к конфиденциальной информации. Даже попробовать выдать себя за другого человека, например, генерального директора компании.

Этичные хакеры ищут слабые места в ИТ-инфраструктуре постоянно. Обнаружив уязвимость, исполнитель отправляет информацию о ней в ИТ-отдел заказчика, а затем компания предпринимает действия по выстраиванию или укреплению киберзащиты на нужном участке.

Важно, что белые хакеры прямо заинтересованы в эффективности своих поисков, так как они получают деньги только за обнаруженную проблему. Размер вознаграждения может достигать 60 млн рублей, хотя компания свободна выставить и гораздо меньшее вознаграждение в зависимости от своего уровня защищенности и целей. Проверка кибербезопасности компании в этом случае полностью объективна: этичные хакеры заинтересованы только наградой и не ангажированы. Бизнес в этом случае только выигрывает: если потенциальная проблема с безопасностью обнаружена, компания избегает убытков, которые могла бы нанести кибератака. А если уязвимостей не найдено, то в ее распоряжении оказываются доказательства защищенности и публично проведенной объективной проверки кибербеза. Это важно и для клиентов бизнеса, и для страховых компаний, если компания страхует или планирует страховать икберриски.

Однако целесообразность обращения к услугам белых хакеров для бизнеса в любом случае требует оценки: не все уязвимости имеют для него равную значимость. Поэтому перед тем как нанимать исследователей, нужно определиться с тем, что для бизнеса является недопустимым событием и сколько он готов заплатить за его предотвращение.