Как проверить, что инфраструктура компании готова к взломам

Стабильная работа ИТ-инфраструктуры не говорит о том, что все в ней безопасно. Большинство уязвимостей не заметны, пока не используются хакерами. Инфраструктура может быть собрана «как получилось» или развиваться хаотично, особенно если бизнес рос быстро. На первый взгляд все нормально, но под капотом — множество слабых мест, через которые могут проникнуть злоумышленники. Менеджер продукта Staffcop от Контур.Эгиды Максим Чеплиев рассказал, как понять, готова ли инфраструктура к кибератакам и когда пора звать специалистов для проведения пентеста.

Когда стоит задуматься о проверке инфраструктуры

Проверка инфраструктуры на устойчивость к кибератакам — это элемент регулярной гигиены, особенно для динамично развивающегося бизнеса. Она особенно важна в следующих ситуациях:

Компания активно росла или изменилась за последний год. Быстрый рост почти всегда приводит к хаотичному росту инфраструктуры: что-то запускали в спешке, появлялись новые сервисы, компоненты, скрипты, которые никто до конца не документировал. В таких условиях легко упустить уязвимости.

Компания полностью или частично перешла в облако. Такой переход добавляет уязвимостей, поэтому лучше сделать ревизию доступа, конфигураций и протоколов безопасности.

Появились новые сотрудники или подрядчики. Каждый внешний доступ — потенциальная точка входа для взломщиков, особенно если права выдаются «на всякий случай» и не отзываются после завершения проекта. Важно, чтобы для всех были выстроены четкие политики доступа, а права отзывались после окончания работы с человеком или компанией.

Компания начала работать с персональными или платежными данными. В этом случае она обязана обеспечить безопасность данных по ФЗ-152 «О персональных данных». Несоблюдение закона может повлечь штрафы, потерю доверия и репутационные риски.

Просто давно не проверяли инфраструктуру. Если компания работает больше года без ИБ-аудита, это повод насторожиться. Угрозы эволюционируют, а атаки становятся все более сложными. То, что казалось безопасным год назад, сегодня может больше не работать.

Что именно может быть атаковано: основные уязвимости

Сегодня атаковать могут не только сайт или интернет-магазин. Атаке могут подвергнуться все части цифровой инфраструктуры:

• Публичные ресурсы компании. Хакеры в первую очередь проверяют сайт, вход в личный кабинет, корпоративную почту, подключение по VPN. Если хотя бы что-то из этого плохо защищено — например, используется старое программное обеспечение или слабый пароль — опасность уже есть.
• Внутренние системы и тестовые версии. Если злоумышленнику удалось попасть внутрь, он может изучить сервисы, которыми пользуются сотрудники: тестовые версии сайта, внутренние административные панели, черновики новых функций. Часто такие системы защищены хуже, чем «фасад», но могут содержать важные данные или дать доступ к основным системам компании.
• Инструменты работы с продуктом. Системы, с помощью которых вы выкатываете обновления, храните код, настраиваете автоматизацию, — это, по сути, центр управления бизнесом. Если туда попадет посторонний, он сможет внедрить в продукт вредоносный код, похитить данные или отключить сервис.
• Открытые интерфейсы и панели управления. Многие цифровые продукты (например, мобильные приложения или платформы для партнеров) используют API. Через него удобно работать, но при неправильной настройке хакеры могут получать по API чужие данные. Аналогично с административными панелями — если они не защищены, хакер может подключиться и управлять продуктом как администратор.
• Старые сайты, домены, тестовые серверы. Часто бизнес забывает удалить то, что уже не используется: старые сайты, временные серверы, аккаунты бывших сотрудников. Все это остается доступным и может быть использовано для взлома. Причем вы сами можете не знать, что в компании до сих пор есть эти слабые места.
• Сотрудники и подрядчики. Большая часть утечек происходит не из-за хакеров, а из-за самих людей. Кто-то случайно отправил важный файл не туда, кто-то подключился к рабочему сервису с домашнего Wi-Fi, кто-то выбрал слишком простой пароль. Чаще всего сотрудник является точкой атаки, через которую злоумышленник попадает в инфраструктуру компании. Но бывает и так, что работник умышленно наносит вред.

Признаки, что IT-инфраструктура не готова к кибератакам

Неконтролируемый доступ для сотрудников, не удовлетворяющий минимальным требованиям безопасности. Если сотрудникам или подрядчикам предоставлен доступ ко всем системам без четкого разделения прав, то при утечке или компрометации одного аккаунта злоумышленник получает возможность воздействовать на всю инфраструктуру. Это может привести к утрате конфиденциальных данных, финансовым потерям или остановке бизнес-процессов.

Проблемы с паролями: слишком простые или повторяющиеся пароли, отсутствие двухфакторной аутентификации, хранилищ паролей, парольных политик. Если все сотрудники пользуются паролями, которые легко угадать или которые долго не меняются, риск их компрометации резко возрастает. Когда один и тот же пароль используется для доступа к нескольким системам, утечка одного из них может привести к полному контролю над несколькими направлениями бизнеса. Если инцидент уже произошел, восстановить контроль и сменить все пароли будет сложнее.

Открытость внутренних систем для внешнего доступа, отсутствие защищенного периметра. Если критичные бизнес-сервисы, такие как системы управления, CRM или финансовые платформы, доступны из интернета, любая уязвимость может быть обнаружена и использована злоумышленниками.

Отсутствие системы журналирования и мониторинга. Если компания не ведет подробные логи и не отслеживает активность пользователей, то даже при проникновении злоумышленника в систему первые следы его действий могут остаться незамеченными. Нарушение безопасности может быть обнаружено слишком поздно, когда уже нанесен ущерб.

Использование устаревших, опенсорсных и зарубежных программных продуктов и сервисов. Платформы, приложения и системы, которые давно не обновляли, часто содержат давно известные и разработчикам, и злоумышленникам уязвимости. Опенсорсные решения могут быть хорошими, но в этом случае всё равно важен дополнительный аудит и контроль. Использование отечественного ПО может снизить риски, связанные с утечкой данных или кибератаками из-за рубежа.

Отсутствие полной картины. Часто у собственников нет четкого понимания, какие цифровые ресурсы есть в компании, где они находятся и кто за них отвечает, какой план реакции в случае инцидента. Пока все работает, об этом не думают. Но если произойдет утечка, выясняется, что никто даже не знал, где именно была проблема и кто должен был ее предотвратить.

Что и как можно проверить своими силами

Даже без глубоких знаний в области информационной безопасности можно выявить ряд очевидных и критичных рисков. Это не полноценный пентест, но полезный первый шаг для оценки текущего состояния инфраструктуры и понимания, где сосредоточить дальнейшие усилия. Какие проверки можно выполнить самостоятельно:

Инвентаризацию ресурсов

Начните с составления полного списка всех компонентов инфраструктуры: серверов, виртуальных машин, сетевых устройств, баз данных, сервисов и приложений. Убедитесь, что у вас есть актуальные данные о том, какие сервисы и версии ПО используются, где расположены критичные ресурсы и кто отвечает за них.

Быструю проверку открытых точек доступа

Далее нужно узнать, какие из этих систем доступны из интернета или внутри компании. Например, какие сервисы запущены на серверах и какие из них видны извне. Важно, чтобы не было лишних и непроверенных сервисов, доступных для посторонних.

Аудит доступа и политик безопасности

Оцените, кто и каким образом получает доступ к системам: изучите списки пользователей, их роли и права. Важно использовать принцип минимальных привилегий: давать доступ только к сервисам, необходимым для работы, и отзывать, когда он больше не нужен. Проверьте наличие политик по паролям: минимальная длина, сложность, частота смены, использование двухфакторной аутентификации.

Проверку основных настроек систем

Проверьте, как настроены ключевые сервисы, такие как веб-серверы, системы удаленного доступа и базы данных. Например, важно, чтобы веб-сервер не показывал лишнюю информацию и не допускал открытый доступ к критичным файлам; системы удаленного доступа (SSH или VPN) и базы данных были настроены так, чтобы только доверенные сотрудники могли подключаться к ним.

Проверку защитных настроек сети

Посмотрите, как устроена защита на уровне сети — есть ли фильтры, которые блокируют нежелательные подключения, есть ли разделение между внутренними и внешними сетями, и ведется ли контроль за подозрительной активностью.

Если обнаружатся критичные уязвимости — это сигнал к привлечению специалистов по безопасности для комплексного аудита и пентеста.

Какие инструменты могут помочь проверить безопасность

Для проверки безопасности IT-инфраструктуры существуют разные инструменты — от простых до сложных. Они помогают найти слабые места, настроить контроль и вовремя реагировать на угрозы.

Существуют сканеры уязвимостей, которые могут просканировать ваши серверы и сервисы и показать, где есть проблемы, какие пароли слабые, а где используется устаревшее ПО. К ним относятся:

• Nmap, OpenVAS, Nikto — сканеры, которые помогают выявить открытые порты и известные уязвимости.
• Lynis — инструмент для аудита систем на базе Linux и Unix.

Важно не только найти уязвимости, но и контролировать, что происходит внутри систем. Для этого нужны инструменты, которые собирают и анализируют данные о действиях пользователей и систем:

• Инструменты аудита и анализа логов (например, Auditd и ELK Stack) — помогают видеть, кто и когда заходил в систему и что менял.
• SIEM-системы (например, Kaspersky KUMA, MaxPatrol SIEM или R‑Vision SIEM) — более сложные решения для управления безопасностью и её обеспечения.

Важно понимать, что просто запустить программу — недостаточно, нужно уметь анализировать результаты. Сканеры часто выдают множество предупреждений и ошибок. Не все из них критично, и наоборот — некоторые серьезные уязвимости могут не попасть в отчет. Нужно понимать, какие проблемы требуют немедленного устранения, а какие можно планово исправлять.

Стоит обеспечить не только сбор логов, но и настройку уведомлений о подозрительной активности, чтобы обнаружить атаки на ранней стадии. Без этого атака может длительное время проходить незамеченной. Но при этом важно настроить политику так, чтобы минимизировать количество ложноположительных срабатываний. Иначе уведомлений будет слишком много, и это затруднит анализ.

Когда пора звать аудиторов или делать пентест

Самостоятельные проверки — важный этап, но при определенных условиях без привлечения внешних экспертов не обойтись. Рассмотрите возможность заказа аудита или пентеста, если:

1. Недостаточно времени или компетенций в команде. Если штатные сотрудники перегружены или не имеют нужного опыта в области информационной безопасности, внешний аудит позволит получить независимую и квалифицированную оценку.
2. Масштаб и сложность инфраструктуры выросли. С ростом количества сервисов, пользователей и интеграций внутренняя экспертиза может не охватывать всех рисков. Внешние специалисты используют проверенные методики и инструменты, чтобы выявить скрытые уязвимости.
3. Необходимо получить объективную оценку с точки зрения взломщиков. Пентест помогает увидеть инфраструктуру глазами злоумышленника, выявить цепочки уязвимостей и понять, какие последствия могут быть у реальной атаки.
4. Вы запускаете новый продукт или важные сервисы. Независимая проверка безопасности на этапе запуска снижает риски инцидентов, помогает выявить слабые места и вовремя их исправить.
5. Вы начинаете обрабатывать персональные или чувствительные данные. Для компаний, которые работают с персональными данными или финансовой информацией, внешний аудит часто является обязательным требованием законодательства и стандартов (например, GDPR, PCI DSS, ФЗ-152).

Рекомендации по проведению аудита или пентеста

Вот на что важно обратить внимание перед началом работ:

• Не делайте аудит и пентест ради отчета или галочки. Главное — понимать, как использовать результаты для улучшения безопасности.
• Выбирайте проверенных и сертифицированных подрядчиков с опытом работы в вашей отрасли и с типом инфраструктуры, которую у вас есть.
• Обсуждайте с аудитором цели и ожидания заранее, чтобы получить максимальную пользу от процедуры.