Ловцы уязвимостей. Как устроена деятельность белых хакеров в Т-Банке

Красная команда

Отдел белых хакеров в Т-Банке возглавил тимлид Никита Медведев. В ходе презентации работы отдела на Positive Hack Days в Москве он заявил, что его команда нужна не для того, чтобы просто кошмарить SOC банка – структуру, занимающуюся оперативным мониторингом возможных киберинцидентов.

Пентестеры в Т-Банке пытаются воссоздать «майндсет», т.е. мировоззрение современных хакеров, и показывают, с какой стороны может прилететь атака на банк. Это понимание транслируется в каждый отдел blue team – команды, занимающейся непосредственно защитой ИТ-инфраструктуры корпорации.

У Т-Банка перед созданием Red Team уже была выстроена система кибербезопасности, стратегия по защите серверов, действовал набор рекомендаций по обнаружение и предотвращению киберинцидентов, в котором были прописаны роли всех специалистов. Также у банка был выстроен vulnerability management – процесс выявления, оценки и устранения уязвимостей в инфраструктуре. Хорошо в банке устроено и детектирование –  анализ подозрительных с точки зрения безопасности действий внутри ИТ-инфраструктуры, признает Медведев.

Все это облегчило работу пентестеров. «Нам не нужно бегать за кем-то и просить устранить уязвимости. Мы находим слабые места, передаем об этом данные и все – дальше специалисты из blue team их моментально фиксят», – поясняет Медведев.

Медведев рассказал, что, когда он создавал Red team, то не хотел, чтобы работа этого отдела сводилась к одним пентестам. «Пентестеры – люди экспрессивные. Если давать им однотипную работу, им станет скучно, мотивация у них упадет», – говорит он.

В итоге отдел занялся поиском векторов атак. Белые хакеры пытаются не просто выявить уязвимости, но и найти слепые зоны во внутренней инфраструктуре корпорации – узлы, находящиеся на стыке ответственности разных специалистов. Как правило, этим узлам не уделяют достаточного внимания.

Таким образом, пентестеры влияют на стратегию по кибербезопасности компании – они не просто «сканеры уязвимостей», а обратная связь от окружающего мира для всей системы кибербезопасности банка. Медведев поясняет, что выявлять баги нужно не только, чтобы их сразу фиксить, но и чтобы понять, «где ниже заборы, где кибербезопасники недостаточно отработали». Поэтому пентестеры оставляют артефакты – цифровой след, который можно проанализировать и скорректировать работу систем.

При этом пентестеры не встраиваются в работу специалистов по кибербезопасности – они не занимаются исправлением багов, не пишут алерты – предупреждения об опасности. Они просто делятся атакующей экспертизой, в том числе при внедрении новых продуктов. Например, если где-то захотят внедрить EDR (Endpoint Detection & Response) – решения, собирающие и анализирующие данные с конечных точек, т.е. компьютеров, смартфонов и т.д. – пентестеры попробуют по-атаковать инфраструктуру. Это нужно, чтобы понять, какие зоны EDR может прикрыть, а какие нет. После этой проверки они снова уходят на второй план и не занимаются внедрением системы – за это отвечают уже другие специалисты.

Измеряя угрозы

Пентестеры в Т-Банке для отчетности о своей работе выбрали главным показателем число реализованных векторов атак, т.е. действий для получения неавторизованного доступа к защищенной информации. По мнению Медведева, это понятная для всех разработчиков метрика и ею удобнее всего отчитываться.

Но атаки от белых хакеров совершаются не просто ради отчетности. Они часто воспроизводят нападения каких-то действующих кибергруппировок. Пентестеры собирают гипотезы возможных успешных атак, выбирают вектора и, не говоря другим специалистам ничего, в полной секретности, совершают кибернападение. Все инциденты должны восприниматься другими сотрудниками служб безопасности, как настоящие. Если специалисты банка поняли, что атака идет с компьютеров пентестеров, они сами приходят к ним. Тогда все действия сразу документируются, кибербезопасниками из blue team готовятся отчеты. Если же системы безопасности не обнаружили атаку, то белые хакеры делают сами скрины, показывают специалистам по кибербезопасности точку входа. И после этого те проводят полноценное расследование и пытаются понять, как можно было заранее предотвратить такую атаку.

Также пентестеры совершают атаки-симуляции разных ситуаций. К примеру, они создают ситуацию, когда злоумышленник залогинился в банкомате как клиент и пытается через него совершить атаку на внутреннюю инфраструктуру банка. Белые хакеры могут обращаться к специалистам других отделов, чтобы они дали им такой же доступ, как у какой-то группы лиц. Например, как у подрядчиков CRM-систем банка. И осуществляют атаки как бы от них, пытаясь понять, нет ли при данном уровне доступа каких-то специфических уязвимостей.

Кроме того, белые хакеры занимаются и исследованиями. Например, они готовят анализ того, как запуск какого-то нового продукта может повлиять на безопасность инфраструктуры.

Позволить содержать постоянно полноценный Red team могут себе не все банки, говорят опрошенные SecPost специалисты по кибербезопасности. Это слишком накладно, по требованию же регулятора подобные пентесты достаточно проводить раз в год.

Поэтому чаще банки сотрудничают с белыми хакерами внештатно. В последнее время стали популярны программы Bug Bounty —  на специальных платформах банки объявляют вознаграждение за нахождение ошибок и уязвимостей в их сервисах. Так, Сбер в мае запустил программу Sber Anti-fraud Bug Bounty на платформе BI.ZONE Bug Bounty, в рамках которой разработчикам обещали заплатить до 250 тыс. рублей за обнаруженные баги. В июле там же похожую программу начал и Альфа-Банк, предложив пентестерам большее вознаграждение – до 400 тыс. рублей. ВТБ также привлекает «белых хакеров», но на каких условиях работает с ними – неизвестно.

Правда, открыто рассказывать о работе белых хакеров большинство банков не любят. В Сбере, ВТБ и Альфа-Банке на запрос SecPost о работе пентестеров не ответили. В других банках – «Точке», «Уралсибе», банке «Абсолют» – также отказались объяснить, как пентестеры выявляют у них уязвимости.