Дмитрий Зубарев, УЦСБ: От локальных улучшений к построению надежной защиты можно перейти за три-четыре года
Стремительные технологические изменения и растущая сложность киберугроз вынуждают бизнес внедрять гибкие и постоянно действующие механизмы обороны. В такой ситуации эпизодических проверок на проникновение уже не хватает. Минимизировать риски позволяет только систематическое воспроизведение атакующих сценариев и оперативное устранение найденных недостатков. О том, как подходы Red и Purple Team способствуют переходу от периодического аудита к активной обороне и мониторингу безопасности в режиме реального времени, в беседе с CNews рассказал Дмитрий Зубарев, заместитель руководителя Аналитического центра УЦСБ.
CNews: Насколько критично моделирование поведения реального злоумышленника для оценки устойчивости компании к кибератакам? Является ли этот подход наиболее результативным для обнаружения угроз?
Дмитрий Зубарев: Имитация настоящей атаки — это действительно наглядный и надежный способ оценки уровня защиты. Мы создаем возможные сценарии действий атакующих и тестируем их выполнимость на практике, определяя каждый этап, который мог бы пройти злоумышленник, и демонстрируем Заказчику способы блокировки всех звеньев атакующей цепочки. Ключево, что тестирование на проникновение выявляет риски, недоступные для автоматических средств анализа. К примеру, это могут быть изъяны в настройках сетевого доступа, скрытые взаимозависимости между компонентами инфраструктуры или изменения, внесенные администраторами для упрощения работы. Подобные скрытые слабые места остаются незамеченными для сканеров, но хорошо видны специалистам по пентестингу.
Специалисты УЦСБ проводят моделирование различных сценариев, чтобы оценить, насколько эффективно компания способна противостоять разнообразным киберугрозам. Тестирование методом Red Team также помогает проверить, насколько корректно внедрены защитные механизмы и действительно ли они обеспечивают необходимый уровень безопасности информационных систем. Исходные параметры для таких учений могут варьироваться: от имитации действий внешнего злоумышленника, не имеющего данных о сети, до моделирования атаки инсайдера с определенным уровнем доступа. Именно такой спектр условий позволяет всесторонне оценить устойчивость защиты к актуальным рискам.
CNews: Какие варианты атак возможно смоделировать в ходе тестирования?
Дмитрий Зубарев: В теории, их количество практически не ограничено. Конкретные же сценарии мы формируем, учитывая установленные политики информационной безопасности, а также технические и временные рамки, согласованные с клиентом. Это обеспечивает максимальную безопасность тестирования для стабильной работы его инфраструктуры.
Кроме того, как уже отмечалось, сценарий во многом зависит от начальных условий. Одна из ключевых моделей — внешний нарушитель, не имеющий доступа к внутренней сети. Чтобы проникнуть к критичным ресурсам, он может пытаться использовать уязвимости внешнего периметра или применять методы социальной инженерии.
Другой распространенный вариант — атакующий, уже обладающий определенным доступом к внутренней сети. Это может быть как инсайдер, так и внешний злоумышленник, получивший доступ, например, через успешную фишинговую атаку или компрометацию корпоративных беспроводных сетей.
Существуют и другие, более специфичные варианты, но, возвращаясь к сути вопроса, — в рамках пентестирования можно воспроизвести любой из них, если он представляет интерес для конкретного Заказчика.
CNews: В чем состоит основное отличие работы Red Team от стандартного пентеста?
Дмитрий Зубарев: Классический пентест концентрируется на выявлении технических уязвимостей инфраструктуры и приложений, а также на демонстрации потенциального ущерба от их эксплуатации.
Red Team действует шире — это имитация целенаправленной атаки, которая проверяет не только техническую составляющую, но и организационные процедуры: обнаружение инцидентов, реакцию SOC, взаимодействие между командами.
Red Team действует скрытно от большинства сотрудников Заказчика, то есть в условиях, максимально приближенных к реальным. Если команда информационной безопасности обнаружит атаку — это объективно свидетельствует о защищенности инфраструктуры. Если же нет — тестирование продолжается до достижения поставленных целей.
CNews: Помимо Red Team, вы активно развиваете направление Purple Team, где атакующие и защитники действуют совместно. Какую главную пользу приносит такой подход для команды безопасности заказчика?
Дмитрий Зубарев: Purple Team — это формат совместных киберучений, в рамках которого команды нападения и обороны действуют открыто и согласованно. Все участники полностью информированы о происходящем, а между группами поддерживается активный диалог. Такой подход помогает специалистам Заказчика самостоятельно находить уязвимости и признаки их использования, а также эффективно противостоять киберугрозам.
CNews: Получается, Purple Team можно назвать своеобразным «ускорителем» роста для SOC и внутренних экспертов по информационной безопасности?
Дмитрий Зубарев: Совершенно верно, это мощный инструмент для развития навыков защитников, поскольку в режиме реального времени отрабатываются потенциальные сценарии атак и методы их обнаружения. Если SOC успешно выявляет угрозу, это подтверждает корректность текущих настроек защитных систем. В случае же пропуска атаки, специалисты Purple Team помогают доработать параметры мониторинга и алгоритмы реагирования.
CNews: Как часто и в каких ситуациях следует выполнять тестирование на проникновение?
Дмитрий Зубарев: Пентесты необходимо проводить регулярно — минимум ежегодно, а также после существенных изменений в инфраструктуре, выхода новых версий приложений или внедрения дополнительных средств защиты. Разовая проверка дает лишь моментальный снимок состояния безопасности. Однако инфраструктура постоянно развивается: администраторы корректируют настройки, добавляются сервисы — всё это порождает новые риски. Компании, которые ограничиваются одним тестированием, со временем утрачивают объективное представление об уровне защищенности своих систем.
CNews: Значит ли это, что чем чаще проводится тестирование, тем выше становится защищенность и зрелость системы?
Дмитрий Зубарев: Безусловно. Организациям, которые регулярно проводят пентесты, со временем становится всё труднее нанести ущерб. Например, на протяжении четырех лет наша команда выполняла тестирование для одной компании, и динамика очень показательна. В первый год мы получили максимальные привилегии в сети множеством способов, получив доступ почти ко всем внутренним ресурсам. На второй год задача усложнилась: нам удалось это сделать лишь двумя методами. К третьему году мы с большим трудом реализовали только один сценарий с повышением привилегий. А на четвертый год компрометация инфраструктуры оказалась для нас невозможной. Это прямое следствие выполнения наших рекомендаций и роста зрелости процессов ИБ в компании. Ведь в отчетах мы не только указываем на уязвимости, но и передаем экспертные знания по настройке защитных инструментов и оптимизации рабочих процедур.
CNews: С какими отраслями вы обычно сотрудничаете? Можете привести открытый пример, иллюстрирующий результативность вашей работы?
Дмитрий Зубарев: Сфера деятельности наших заказчиков весьма разнообразна: это финансовые технологии, информационные технологии, здравоохранение, агропромышленный комплекс и многие другие.
Наглядной иллюстрацией нашего подхода может служить инцидент с внешней IP-камерой. Хотя периметр компании был защищен, сама камера обладала активным Wi-Fi-модулем и постоянно сканировала эфир в поисках доступных сетей. Наши эксперты перехватили эти запросы и, по сути, развернули для нее управляемую точку доступа.
После установления беспроводного соединения с устройством мы использовали уязвимость в его прошивке, получили административные права и перенастроили камеру так, чтобы она служила шлюзом в корпоративную сеть. Из-за слабой сегментации этой сети, проникнув через камеру, тестировщики получили доступ к внутренним ресурсам и поэтапно эскалировали атаку до полного контроля над инфраструктурой.
Основная рекомендация в подобных случаях — выносить такое оборудование в отдельный, изолированный сетевой сегмент, который не имеет прямого выхода во внутреннюю среду компании.
CNews: На каких ключевых принципах строится ваша деятельность?
Дмитрий Зубарев: В целом можно обозначить три основных принципа. Первый — это неукоснительное следование этическим нормам и законодательству. Мы — «белые» хакеры: действуем строго в рамках договора, соблюдаем установленные границы тестирования и включаем в них только системы, принадлежащие нашему Заказчику.
Второй — соблюдение правил и заранее оговоренных условий. К примеру, если было решено не проводить работы после 23:00, мы строго придерживаемся этого, даже если для пентестера это наиболее продуктивное время. И если мы понимаем, что эксплуатация найденной уязвимости может привести к сбою в работе системы, мы сначала предупреждаем о возможных рисках и согласовываем свои дальнейшие действия.
Третий — нацеленность на результат. Если позволяет временной ресурс, мы исследуем альтернативные пути атаки. То есть одну цель пытаемся достичь разными методами, чтобы обеспечить максимальную эффективность проверки.
CNews: Как организовано взаимодействие с заказчиком?
Дмитрий Зубарев: Для нас крайне важна стартовая встреча — она позволяет заказчику познакомиться с командой и рабочими процессами, а также понять, каким будет итоговый результат. Мы же со своей стороны используем эту встречу для уточнения всех деталей. Далее мы создаем общий чат, в котором на протяжении всего проекта оперативно отвечаем на вопросы, информируем о ходе работ, сообщаем о критических уязвимостях и помогаем в их устранении. Спустя несколько дней после завершения работ мы предоставляем на согласование детальный отчет с развернутыми рекомендациями.
CNews: А кто входит в состав проектной команды?
Дмитрий Зубарев: Техническое ядро команды — это ведущий инженер проекта. Это опытный специалист по тестированию на проникновение, который отвечает за соблюдение требований технического задания на всех этапах и за общее качество выполнения работ. В его обязанности также входит наполнение отчета фактическими данными, однако за формулировки, структуру и грамотность текста уже отвечает технический писатель.
В малых проектах ведущий инженер может совмещать роль исполнителя, тогда как в масштабных и сложных обычно привлекают дополнительно от двух до пяти специалистов. Среди них могут быть эксперты по веб-приложениям, внешнему или внутреннему тестированию на проникновение, социальной инженерии либо анализу безопасности беспроводных сетей.
Кроме того, в группу включаются менеджер по взаимодействию с клиентами и руководитель проекта, которые занимаются вопросами, не связанными непосредственно с технической стороной.
CNews: Как, по вашему мнению, будут развиваться подходы к Red Team и Purple Team в ближайшее время?
Дмитрий Зубарев: С концептуальной точки зрения кардинальных перемен не предвидится, поскольку это вечное противоборство между защитой и атакой в цифровом пространстве. Одна сторона развивается в ответ на другую, но их базовые цели — нарушить или сохранить целостность системы — остаются постоянными.
В то же время, если рассматривать конкретное содержание работ на операционном уровне, изменения происходят непрерывно. Ежедневно возникают новые методики, уязвимости и способы атак. Как только формируется эффективный класс защитных инструментов, почти сразу находятся методы их обхода. Таким образом, внутри этого противостояния постоянно идёт процесс обновления.
CNews: Какое влияние окажет искусственный интеллект на роли атакующих и обороняющихся?
Дмитрий Зубарев: Уже существуют компании, предлагающие ИИ-платформы для тестирования на проникновение. Они внедряют агента, способного автономно выполнять часть задач. Вопрос эффективности такого подхода остаётся открытым, и пока ясно, что ИИ-системе требуется оператор — так что человеческий фактор снова оказывается ключевым, хотя и в несколько ином качестве.
В области защиты также наблюдается прогресс. Машинное обучение уже позволяет значительно точнее отделять реальные атаки от обычного сетевого трафика.
Примечательно, что в этом году экспериментальная модель OpenAI смогла успешно решить все 12 задач в финале соревнований по программированию — в то время как люди справились с 11. Год назад аналогичные модели не могли выполнить ни одной задачи такого уровня. Это показывает огромный скачок в применении ИИ для алгоритмических решений, и вполне вероятно, что в скором времени сопоставимый прорыв произойдёт и в сфере информационной безопасности.
CNews: Искусственный интеллект не менее активно применяется и злоумышленниками. Как компаниям уже сейчас готовиться к новому этапу киберпротивостояния?
Дмитрий Зубарев: Искусственный интеллект представляет собой значительную силу, которая работает на обе стороны киберконфликта, усиливая как нападающих, так и обороняющихся. Однако решающим фактором, определяющим, чья сторона извлечет из этого оружия больше пользы, остаются качество человеческих суждений и уровень профессионализма. Следовательно, отправной точкой должна стать объективная оценка того, насколько ваша защита соответствует современным вызовам. Ключевым моментом здесь является не приобретение «волшебных» ИИ-продуктов, а последовательное совершенствование коллектива и рабочих процедур через регулярные практические испытания.
Организациям, которые только начинают путь к зрелости в сфере информационной безопасности и для которых киберучения пока преждевременны, следует стартовать с традиционного тестирования на проникновение или даже с автоматизированного сканирования уязвимостей. Это станет первым шагом на пути к укреплению цифровой устойчивости.
Компаниям с развитой ИБ-культурой уже пора обратить внимание на динамичные киберучения. В их рамках проверяется и оттачивается в условиях, приближенных к реальным, способность специалистов по безопасности адаптироваться и оперативно реагировать на инциденты. При этом пентесты для них не теряют актуальности, поскольку обеспечивают более широкий охват технических проблем и преследуют иные цели. Оптимальной стратегией является совмещение: проведение тестов на проникновение для исправления максимального числа технических недочетов и организация упражнений по методологии Purple Team, чтобы в первую очередь улучшать процессы, а уже затем — устранять технические огрехи.
CNews: Вы отметили важность и пентестов, и практик Purple Team. Каким именно образом эти форматы оценки помогают командам подготовиться к противоборству с атакующими, применяющими ИИ? В чем состоит их принципиальная разница в данном контексте?
Дмитрий Зубарев: Устойчивость к новым угрозам формируется именно за счет комплексного подхода, объединяющего эти виды проверок. Тестирование на проникновение выявляет конкретные технические слабости, которые может использовать, в том числе, и автоматизированный злоумышленник на базе ИИ. А упражнения Purple Team тренируют скорость реагирования, качество принятия решений и согласованность процедур — те самые «человеческие» навыки, которые имеют критическое значение для противодействия гибким атакам с использованием искусственного интеллекта.
Параллельное внедрение практик Red и Purple Team наряду с классическими пентестами позволяет бизнесу уверенно повышать уровень цифровой зрелости и воспитывать команду, способную результативно работать с любыми инструментами — как существующими сегодня, так и теми, что появятся завтра, включая самые совершенные системы ИИ. Причем двигаться в этом направлении необходимо уже сейчас, пока взлом ИТ-инфраструктуры конкретной компании не превратился для алгоритмов в очередную тривиальную задачу.
■ Рекламный материалerid:2W5zFJSZ3xLЗаказчик: ООО «УЦСБ»ИНН/ОГРН: 6672235068/1076672021194Адрес в сети: https://www.ussc.ru/
