Внешняя защищенность компании глазами злоумышленника: обзор Cyber Identity Index от F6

Как устроен CII

CII от F6 проводит проверку внешней инфраструктуры бизнеса, давая представление о степени защищенности компании и её уязвимых местах. Это дополняется стратегическим анализом влияния этих факторов непосредственно на бизнес. 

Cyber Identity Index работает следующим образом:

• Компания-клиент проходит детальный анализ с учетом ситуации в индустрии. Специалисты F6 оценивают её размер, учитывают отраслевой контекст и определяют ключевые угрозы в этом сегменте;
• F6 погружается в работу компании. Клиент проходит индивидуальный опрос, по итогам которого аналитик обрабатывает данные — фиксирует архитектуру, зрелость процессов и бизнес-приоритеты компании;
• Технический анализ. Attack Surface Management (ASM) F6 анализирует поверхность атаки: IP-адреса, субдомены, открытые порты, протоколы, уязвимости. На этом же этапе компания изучается с помощью других инструментов — DPR и TI. 

В результате две одинаковые по размерам фирмы, работающие в одной отрасли, но различающиеся, например, устройством внешней инфраструктуры, получат разные результаты по индексу.

Звучит как долгий и трудоемкий процесс, однако на практике аналитика стартует сразу после подачи заявки и подписания необходимых бумаг с клиентом, в которых указывается корпоративный почтовый домен. После этого ASM запускает анализ и начинает распутывать паутину внешней цифровой инфраструктуры, в то время как аналитик направляет опросник в компанию для уточнения архитектуры. Затем данные из опросника и теханализа объединяются и проходят комплексный «ручной» расчет по категориям индекса. Финальные результаты индекса формируются исключительно руками аналитика, напрямую. 

Что оценивает CII

Автоматизированный анализ внешнего контура, подкрепленный пониманием внутреннего устройства компании и её бизнес-приоритетов, создает для клиентов персонализированную карту рисков.

Итоговый отчет по результатам анализа включает восемь разделов:

1. Уязвимости ОС и ПО;
2. Сетевая безопасность;
3. Утечки данных;
4. Вредоносные программы;
5. Почтовая безопасность;
6. SSL/TLS-конфигурация;
7. DNS и домены;
8. Упоминания в даркнете.

Скриншот из примера отчета. Так выглядит пример итогового индекса. Обратите внимание на ноль баллов в «Уязвимостях» — разберем подробнее ниже. 

При этом в каждом разделе детально описываются потенциальные цифровые риски и атакующих: вплоть до неправомерного использования бренда, фишинга и скама (при их наличии). 

Каждой категории присуждаются баллы, отражающие зрелость защиты.

Например, если в блоке «Уязвимостей» F6 выявили у компании критические CVE (Common Vulnerabilities and Exposures) в Nginx, PHP и jQuery, то присуждается ноль баллов, поскольку старые версии позволяют выполнять произвольный код и способствовать развитию атак. 

Скриншот из примера отчета. 

А если в компании нормально настроены SSL/TLS, но сертификаты приближаются к истечению, то клиент получает 8 баллов в категории «SSL/TLS». 

Скриншот из примера отчета. 

Разумеется, итоговый балл в категории строится не только на одних лишь этих показателях — «под капотом» каждого отчета куда более детальный разбор. 

Указанием на технические уязвимости дело не ограничивается: в итоговом отчете F6 указывают, чем грозят бизнесу проблемы на том или ином цифровом фронте: снижение устойчивости к DDoS, риски целевого фишинга и так далее.

По итогам анализа дается план действий и рекомендации для клиента. В случае с теми же критическими CVE из-за устаревшего ПО, F6 указывает, где и что нужно обновить, и насколько это острая проблема для безопасности компании.

Если у клиента нет возможности самостоятельно разобраться с обнаруженными проблемами, то в F6 готовы предложить помощь.

«В рамках отчета мы даем рекомендации, что требует внимания. Конечно, далее будем рады предложить наши продукты и услуги и реализовать совместный проект», — отмечают в компании.

Особенности CII

Конкретные цифры, приводимые в индексе, позволят бизнесу лучше понимать, на какие направления в сфере ИБ стоит тратить бюджет в первую очередь. Итоговый отчет написан понятным языком для людей, далеких от ИБ, но принимающих ключевые решения в вопросах безопасности компании. В комплекте идет приложение с техническими деталями, которое могут пригодится команде, отвечающей за ИБ в бизнесе. 

Единичным итоговым отчетом с указанием индекса и его анализом дело не ограничивается. Спустя полгода F6 может провести бесплатную диагностику систем клиента — это помогает понять, где удалось продвинуться в устранении уязвимостей и как нужно скорректировать этот процесс. А присмотреться к безопасности в ближайшее время стоит непременно: с 30 мая 2025 года утечка персональных данных грозит многомиллионными оборотными штрафами.

Что «под капотом» CII

Основой для экспертной аналитики в CII служит техническая оценка, получаемая с помощью собственных решений компании: Attack Surface Manager, Threat Intelligence и Digital Risk Protection. ПО собирает всю необходимую информацию о компании — данные об активных и забытых элементах внешнего контура, связанных с основным доменом, мониторит уязвимости и многое другое. 

Тот же ASM от F6 уже состоявший продукт, обкатанный рынком. Например, решение использовалось интернет-магазином ювелирных украшений 585 GOLD при росте онлайн-сервисов компании. С помощью ASM удалось взять под контроль поддомены без владельцев, проверить устаревшие лендинги и открытые интерфейсы. Схожая история была и с сервисом грузоперевозок «Грузовичкоф», когда компания нуждалась в обеспечении полной видимости периметра своих онлайн-ресурсов. 

Однако значительная часть это работа аналитика, который интерпретирует технические данные в разрезе отрасли компании и ее специфики, выделяет угрозы, которые актуальны для конкретной анализируемой компании, подчеркивают в F6. 

Так что если ПО представляет собой инструменты, полезные в руках в первую очередь ИБ-специалистов, то CII предназначен для определения уязвимостей и принятия стратегических решений в компании на уровне всего бизнеса. 

«CII, по сути, является надстройкой над уже существующими продуктами F6, добавляющей к техническим данным ручной анализ бизнес-процессов и отраслевого контекста, – отмечают в F6. – Это создает основу для диалога между ИБ-службами и топ-менеджментом, переводя технические уязвимости в плоскость бизнес-рисков».