Безопасность сервисов, сайтов, электронных систем — это то, что следует регулярно проверять и улучшать. Информация и деньги могут утекать на счета и в дата-центры неизвестных, а владелец будет думать, что его компания защищена лучше, чем Хельмова Падь. Вспомни хотя бы об утечке данных из Facebook, траблы с безопасностью у Apple и Микромягких. Если у таких гигантов были обнаружены червоточины, то обычным компаниям, сервисам и приложениям тем более следует внимательно исследовать свои системы.
Доверить это сисадмину не лучшее решение, он же не хакер. Всё равно что пытаться танковать Траксой. Мы пообщались на этот счёт с командой сервиса White-Hacker, которая как раз занимается электронной безопасностью и безопасностью в интернете, и расскажем, что следует сделать, чтобы обезопасить свою компанию.
Кто такие «белые хакеры»
Про мастеров конспирологии в капюшонах ты наверняка и слышал, и видел их, и даже в них играл в какой-нибудь Watch Dogs. Однако кроме них есть мастера, которые не используют принцип «салями», чтобы воровать наличку со счетов, да и вообще не воруют. Это так называемые белые хакеры — специалисты, использующие хакерские знания и уловки, чтобы находить по заказу компаний прорехи и опасные баги и сообщать о них владельцам.
В отличие от чёрных хакеров, деятельность которых нарушает закон, белые хакеры работают по договору, часто являются официальными сотрудниками компаний. На данный момент это уже полноценная профессия со своей этикой. Кстати, самые известные ныне белые хакеры, например, Кевин Митник, в прошлом занимались незаконным взломом сетей.
Есть и компании белых хакеров, которые предоставляют всем желающим свои услуги для защиты систем. Не стоит их путать с теми, кто организует DDos-атаки по заказу, чтобы обвалить сайт конкурента, засылает вирусы с теми же целями, крадёт стратегическую корпоративную информацию. Белые хакеры этим не занимаются. Будучи на Светлой стороне Силы, они эмулируют хакерскую атаку, но всю информацию о системных дырах используют не для того, чтобы выкачивать деньги и данные, а чтоб продать её владельцу.
Тестирование безопасности корпоративной системы
Одна из главных проблем в безопасности — это дыры, возникшие в результате недоработки, через которые можно проникнуть в систему и управлять ею. Когда разрабатываешь сайт, приложение, базу данных, невозможно сразу выявить такие дыры. Для этих целей белые хакеры, например, парни из сервиса White-Hacker, выполняют пентест.
Пентестинг включает в себя анализ сети и поиск уязвимостей, пробные проникновения через эти уязвимости и эксплуатацию их разными способами, чтобы выявить масштаб прорехи и то, какую именно угрозу приносит её существование. Назовём этот вариант электронным пентестингом. Кроме него есть ещё социальный пентестинг, который выявляет, как можно проникнуть в систему, используя социальную инженерию (о ней Крис Касперски написал отличную книжку «Секретное оружие социальной инженерии»). Искусство социального хакинга заключается в умелом использовании взаимодействий между людьми в компании, чтобы получать пароли, коды доступа, логины.
Провести электронный пентестинг твоей компании можно тремя способами. Сотрудники White-Hacker могут, используя функции и инструменты твоей системы, изучить её максимально глубоко, понять реальный масштаб и определить баги и дыры. Это самый эффективный из трёх способов, если использовать их отдельно.
Второй вариант — «чёрный» — отличается от первого тем, что тестер позиционирует себя как хакер, а не как сотрудник. Он получает доступ к основной информации о системе и действует, применяет классические способы хакинга, например, SQl-инъекции, а также импровизирует, действует по обстановке. Такой способ требует больше времени, и есть вероятность пропуска некоторых прорех.
Используя третий — «серый» — способ, белый хакер получает ограниченный доступ к информации о системе и имитирует полноценную внешнюю атаку.
Чтобы проверить полностью систему, стоит использовать все три способа. Если понимаешь, что кибербезопасность твоей компании оставляет желать лучшего, воспользуйся услугой сервиса White-Hacker.
Заказать пентестинг→
Обеспечение безопасности серверов
Когда тестирование корпоративной системы и социальных взаимодействий проведено, стоит посмотреть на безопасность тех серверов, которые использует твоя компания. Они опора системы, сайтов, приложений, средств обратной связи. Информация — номера платёжных карт, телефонные номера, электронная почта — всегда хранится в базах данных. Соответственно, дата-центры и серверы, в которых и располагаются базы данных, — лакомый кусок для хакеров. Обычно компании, которые сдают в аренду серверы в дата-центрах, например, в Шпицбергене или в Новосибирске, обеспечивают высокоуровневую безопасность. Тем же, кто не в состоянии заплатить за такой сервис или просто не понимает всю важность безопасности, стоит провести проверку.
Пентестинга будет достаточно для выявления багов и слабостей. Сервис White-Hacker после отчёта о тестировании может организовать защиту твоего сервера. Парни возведут вокруг него кибероборону, как у Сталинграда.
Заказать защиту сервера→
Парни из White-Hacker, помимо пентестинга, обеспечивают безопасное управление электронными кошельками. Когда в компании часто ими пользуются, нужно, чтобы именно профи организовали все манипуляции с паролями и кодами подтверждения. Иначе сначала твои сотрудники записывают пароль на стикер и приклеивают к монитору, а потом ты удивляешься, что кто-то проник в систему и перевёл деньги.
Ещё одна полезная услуга от White-Hacker — обеспечивать безопасность блокчейн-проектов. Крипта сейчас очень популярна, запущены тысячи ICO-проектов. Их безопасность — самая важная составляющая, поскольку от неё зависит сохранность миллионов долларов. Команда сервиса разрабатывает и проводит аудит всех возможных систем, использующих блокчейн, например, смарт-контрактов. Соответственно, если используешь или планируешь использовать эти технологии, позаботься о безопасности.
White-Hacker — сервис от маркетингового интернет-агентства OLIT. Агентство 10 лет занимается кибербезопасностью, разработкой сайтов, SEO-оптимизацией. Они выполнили более 300 проектов. Среди их клиентов: АНО «Центр Амурский тигр», «Гидролика», «Банк Тинькофф», «Солид Банк».
Узнать больше об агентстве→