Наш собеседник Чарльз Хендерсон (Charles Henderson), возглавляющий подразделение X-Force Red в IBM, относится к категории экспертов в области безопасности, которых еще называют «белый хакер» за те методы, что использует его команда для исследования уязвимости разнообразных ИТ-решений.
Моя команда X-Force Red работает под лозунгом «Взломать что угодно, чтобы обезопасить!». Среди наших проектов можно встретить самолеты, поезда, веб-приложения и даже целые организации. Подразделению X-Force Red уже четыре года и оно глобально, поскольку входящие в него эксперты живут на разных континентах планеты. И без ложной скромности признаюсь, встающие перед нами вызовы поистине уникальны.
А в чем суть вашего сервиса?
На выходе нашего коммерческого проекта — подтвержденное описание уязвимости, которая приводит к финансовым потерям заказчика. В чем-то мы похожи на врачей, которые предлагают упредить болезнь, а не лечить ее в запущенной стадии. И бизнесы чаще всего, точно также относятся к вопросам безопасности, как большинство людей поступают со своим здоровьем: не задумываются о последствиях взлома их системы ИТ-безопасности, пока не ощутят их во всей полноте. Поэтому в своих проектах мы демонстрируем масштабируемые взломы, чтобы заказчики поняли, насколько велика потенциальная опасность имеющихся уязвимостей.
При заключении контракта на проверку ИТ-инфраструктуры какого-либо предприятия на устойчивость к взлому, мы действуем как внешний подрядчик, не входя в организационный состав компании. Это позволяет свежим взглядом оценить ситуацию, без влияния корпоративных правил организации. В своих проектах мы не отталкиваемся от того, что существующая бизнес-структура работает корректно. Приведу такой пример. Наше исследование защищенности одной финансовой компании включало анализ корректности проведения в ней транзакций, которые требовали определенных авторизаций. Но мы выяснили, что если наша группа приобретет что-то у этой организации, то мы сможем вторгнуться в процесс авторизации и других транзакций. При этом никто со стороны заказчика не может заметить внешнего вмешательства.
Можно ли сказать, что вы выполняете только тестирование на вторжение или инсайдерские угрозы также в вашем портфолио?
Мы используем все существующие методы взлома. Среди них, например, поставка в организацию ноутбука или какого-либо IoT-устройства, через которые мы пытаемся организовать канал утечки коммерчески важной информации. Анализируем мы на устойчивость ко взлому и разнообразные аппаратные решения. Причем наша работа начинается с уровня микросхем и контроллеров умных устройств, которые в последнее время стали очень популярны.
А какой из ваших проектов оказался самым впечатляющим по своей потенциальной опасности?
В нашем активе — исследование защищенности железнодорожного депо, в рамках которого выяснилось, что есть возможность взлома системы управления поездом. Если ее реализовать, можно удаленно управлять составом. Согласитесь, жутко представить, к чему может привести подобное. На контрасте, самым забавным из взломанных нашими экспертами решений стал «умный» туалет. Нам удалось перехватить управление этим устройством в режиме биде.
В каких случаях имеет смысл обращаться к подобным красным командам?
Все зависит от зрелости ИТ-инфраструктуры. Для начала достаточно обратиться к нашей «голубой команде», провести эмуляцию атак. Оцените сетевой периметр организации и приложения. Задача «красной команды» — проверка устойчивости организации, которая уже устранила широко известные уязвимости.
Насколько часто удается воспользоваться человеческим фактором в ваших проектах?
Действительно, особенности нашей психологии таковы, что у каждого всегда можно найти какие-то слабости. Поэтому самым слабым звеном в системе ИТ-безопасности является обличенный наибольшими правами доступа сотрудник, например, высокопоставленный менеджер. И в наших проектах мы выделяем четыре направления исследования защищенности организации: сотрудники, аппаратное обеспечение, сети и приложения. И чаще всего слабые места находятся на стыке этих сегментов, поскольку обычно в компаниях за них отвечают различные люди. А они перекладывает ответственность друг на друга.
А насколько актуальным является фишинг?
По результатам наших тестов с использованием фишинга, могу признать очень высокую эффективность этого метода взлома систем защиты. Таким способом нам удавалось проникать в почтовые аккаунты даже высокопоставленных менеджеров. Замечу, что сама технология фишинга в последнее время значительно изменилась. И защита не может оставаться неизменной, поскольку это не гонка с финишем, а непрерывный процесс. А если вы сталкиваетесь с одной атакой, после ее отражения обязательно будет следующая.
Специфика вашей работы подразумевает, что ее выполняют люди, которые не воспользуются своими продвинутыми возможностями в незаконных целях. Как вы подбираете сотрудников?
Мораль нельзя привить или воспитать: она или есть, или ее нет. Поэтому мы привлекаем только тех экспертов, которые в своей жизни придерживаются так называемого морального компаса. Я в ИТ-индустрии с 1993 года и хорошо знаю всех ведущих специалистов. Кроме того, мы в контакте с другими «красными» командами, следим за крупнейшими конференциями по безопасности. Поэтому прежде чем нанять кого-то, проводим большую подготовительную работу, чтобы разобраться с тем, что же это за человек, и совпадает ли его моральный компас с нашим.
Всегда ли вы уверены, что ваши деструктивные действия не будут иметь катастрофических последствий?
В своей работе мы тесно сотрудничаем с экспертами по праву, и далеко не всегда соглашаемся на выполнение заказа, так как он может противоречить принципам работы IBM. Мы не беремся за тестирование просто потому что кто-то нас нанимает. Заказчиком может быть только тот, кто наделен полномочиями распоряжаться активами компании. И удивительно, что часто инициатива о тестировании исходит не от авторизованных лиц. Поэтому мы всегда очень тщательно подходим к подготовке проектов.
Какая технология может коренным образом улучшить системы защиты?
Поскольку возможности человека ограничены, пора переводить ИТ-защиту на рельсы автоматизации. При этом управлять ею придется с помощью технологии искусственного интеллекта. Этот новый вектор развития индустрии связан со значительным усложнением ландшафта угроз. Поскольку атаки становятся автоматизированными, противопоставить этому можно только наращиванием возможностей защиты также через автоматизацию.
А что сегодня наиболее сложно защитить?
Меня особо впечатляют своей сложностью задачи по защите систем, использующих большие объемы информации для принятия решений. Впрочем, вектор атак в последнее время меняется, они нацеливаются на персонально идентифицируемые данные, которые используются не только в здравоохранении, но и в различных программах лояльности авиакомпаний, отелей и т.д. Злоумышленники научились монетизировать эту информацию, при этом подобные утечки пагубно отражаются на массе обычных людей.
Но, пожалуй, самая сильная головная боль у меня вызывает ситуация с устаревшими банкоматами, которые зачастую работают под управлением Windows XP Embedded. И не представляется возможным с этим что-то сделать, кроме как провести коренную модернизацию. Особенно тревожно на душе становится, когда выясняешь, что система защиты на моем домашнем термостате гораздо надежнее, чем на электростанциях и в системах подачи воды на защитных дамбах.
Возвращаясь к проблеме утечки персонально идентифицируемой информации, хочу поделиться своими опасениями о том, что в результате массовости этого явления едва ли ни целое поколение может забыть о таком понятии как приватность. Посудите сами, в США сегодня можно приобрести паспорт со всеми корректными данными всего за $300-$350. И это не украденный, а сгенерированный на основе реальной информации документ. Что уж говорить о таком документе, как водительские права, которые можно купить за $20. В результате того, что огромный объем персональной информации попадает в публичную сферу, теряется смысл, например, в двухфакторной аутентификации. И уже становится близкой к реализации даже подделка целостного цифрового отпечатка человека.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365