«Газинформсервис» провел встречу для студентов по теме пентестинга

Образовательное мероприятие Security Skills, рассчитанное на студентов, осваивающих навыки кибербезопасности, прошло в офисе компании «Газинформсервис».

Спикерами выступали сотрудники компании: Максим Шерягин, Иван Рябов, Роман Ноянов, Владимир Феоктистов, Павел Сулимов.

Веб-пентест и баг-баунти

Доклад о веб-пентесте и баг-баунти, а также о том, как прокачивать скилы на работе и в свободное время.

Спикер рассказал, как начинал работать SOC-аналитиком и параллельно пробовал тестировать веб-ресурсы. Важными для начинающего пунктами он назвал отчеты коллег: «Зачастую бывает, что какие-то моменты мы можем упускать из виду, и если ваш коллега при тестировании в рамках одного ресурса нашел какие-то уязвимости, которые вы не нашли, соответственно, стоит провести работу над ошибками и понять, почему вы их не нашли». 

Ведущий инженер по тестированию веб-ресурсов 
Фото: Елизавета Клейн / spbIT.ru

Некоторые действия по поиску уязвимостей можно автоматизировать, чтобы минимизировать рутину и просматривать только определенные результаты. При поиске уязвимостей надо понимать, что каждый вендор оценивает разные уязвимости по-разному, и обращать внимание, какие баги более целесообразно заносить в отчет. Также важно помнить, что мало просто найти уязвимость — необходимо написать максимально подробный отчет по ней.

Чтобы поиск был эффективным, надо понимать суть сервиса и его бизнес-процессов, попробовать отправить сначала 2-3 простых отчета для проверки триажа, скорости проверок и выплаты. 

Фишинг

Лекция, посвященная принципам и методам фишинга в контексте информационной безопасности. В ходе выступления эксперт акцентировал внимание на правовых аспектах, подчеркнув, что любые подобные действия допустимы исключительно в рамках закона и практики на специализированных учебных платформах.

В своем докладе он рассказал, к чему приводит фишинговая компания, обозначил основные принципы успешного фишинга, рассказал об инструментах проведения атаки, а также привел реальные примеры. 

Инженер по тестированию на проникновение 
Фото: Елизавета Клейн / spbIT.ru

Он напомнил слушателям, что основными каналами фишинга по-прежнему являются электронная почта, мессенджеры, соцсети, а также SMS и телефонные звонки.

По статистике, наибольшее количество фишинговых атак наблюдается в финансовой сфере — на нее приходится почти 30% атак, чуть меньше четверти атак направлены на госорганизации, 18% атакуемых организаций представляют ретейл, и примерно по 7% приходится на сферу услуг и на страхование. Несмотря на различные средства защиты — антиспам-фильтры, антифишинговые механизмы, SOC и другие, — наибольшим непредсказуемым фактором для злоумышленников все же остается конечный пользователь — он может как проявить бдительность, так и легко поверить предоставляемой легенде.

Мемы и киберразведка

Доклад о том, как можно осуществлять киберразведку посредством мемов.

В ходе своего доклада спикер продемонстрировал несколько мемов, предлагая понять, взлому какой компании они соответствовали. Как выяснилось, именно эти мемы выкладывались хакерскими группировками незадолго до официального сообщения о взломе — по идее, если перехватить их своевременно и предпринять проактивные действия, последствия атак можно было бы существенно сократить или вовсе предотвратить.

Формула разведки, по словам эксперта, представляет собой данные, обогащенные контекстом, на основе которых можно сделать определенные выводы и получить инсайты. Данными для киберразведки могут стать открытые данные — мониторинг Darknet на наличие публикаций злоумышленников, также можно получить технические данные — логи с защитой информации, IP-адреса, фишинговые домены. 

«Наибольшее количество данных у нас приходит сейчас из Telegram. Допустим, мы в блогах обнаружили какие-то IP-адреса или домены, и мы не знаем, вирусные ли они, использовались ли они в других инцидентах. Тогда мы обращаемся к другим компаниям, у которых тоже есть направление киберразведки, либо к таким популярным сервисам, как Virus Total, где мы можем посмотреть, использовался ли IP-адрес в других инцидентах», — рассказывает эксперт.

Инженер-аналитик группы анализа и расследования киберугроз 
Фото: Елизавета Клейн / spbIT.ru

Сама разведка делится на стратегическую, тактическую, оперативную и техническую. Стратегическая нацелена на долгий период, от года, и предназначена для принятия решений руководством.

Тактическая разведка рассматривает, что в текущий момент эксплуатируют злоумышленники: какие уязвимости эксплуатируют, какие у них эксплойты, какие куски кода повторяются от вирусов. Этот тип разведки сильнее всего бьет по группировке, так как позволяет предсказывать какие-то определенные ходы и ставить защиту непосредственно от них, в то время как группировка не имеет данных, какие конкретно ее особенности уже стали достоянием разведки.

Оперативная разведка позволяет оповещать компании, которые непосредственно были атакованы, или стало известно, что будут атакованы в ближайшее время. 

Самый низкоуровневый вид разведки — техническая, направленная на атакующих с низкими скиллами, при которой собирается и блокируется так называемый индикатор компрометации. Например, это может быть перечень IP-адресов, хэшей файлов, названий файлов, которые точно являются вредоносными. Впрочем, здесь злоумышленникам достаточно просто перекомпилировать файл, чтобы он имел другой хэш или другое название, и техническая разведка будет бесполезна.

Анализ устойчивости антивирусных решений

Спикер поделился данными об анализе методов обхода антивирусной защиты. В выступлении акцент был сделан на исследовательском и оборонительном контексте применения подобных знаний. 

Инженер-аналитик в отделе проактивной кибербезопасности 
Фото: Елизавета Клейн / spbIT.ru

Команда Security Research, в которой работает эксперт, взаимодействует с компьютерной инфраструктурой, оценивая ее защищенность. Пентестеры оценивают безопасность отдельных программных, программно-аппаратных продуктов, ведут поиск новых уязвимостей, разрабатывают новые цепочки атак с учетом новых и старых уязвимостей. Зачастую во время проведения тестирования на проникновение необходимо обойти антивирус, не позволяющий запускать инструменты пентестеров.

Не будем приводить в статье подробные технические инструкции — пусть все же ими пользуются профессионалы — скажем только, что после замены определенных инструкций и небольшого патча PowerShell позволяет запустить Rubeus, который был необходим команде для проведения дальнейшего анализа уязвимостей.

Пентест: мифы и реальность

Эксперт рассказал о мифах и реальности в профессии пентестеров на примере собственного карьерного пути.

Он развенчал несколько мифов о пентесте: например о том, что войти в пентест можно только после профильного вуза — достаточно иметь высшее техническое образование. Или что невозможно начать работать в пентесте без опыта — в качестве опыта зачастую зачитываются результаты СTF-соревнований, а также работа на специальных площадках для тренировок в пентестинге. 

Многие студенты полагают, что пентестер считается самой востребованной профессией в ИБ, но это не так — количество таких вакансий весьма ограничено и присутствуют они обычно только в весьма крупных компаниях, способных позволить себе не только специалиста по ИБ, но и штатного специалиста по проникновению.

Еще один миф, что пентестеры быстро растут и много зарабатывают. Спикер уверен, что несмотря на неплохие стартовые возможности, потолок зарплат несопоставим со многими другими прибыльными профессиями, а главное — рост доходов зависит от роста навыков, а растить их придется под постоянной нагрузкой.

«Придется браться за тяжелые задачи, непонятные задачи, работать ненормированно, нередко по выходным. Хотите стать профессионалом — вам надо учиться», — наставляет студентов спикер.
 

Руководитель группы тестирования на проникновение 
Фото: Елизавета Клейн / spbIT.ru

Миф о том, что пентестить весело, он также опроверг — самыми интересными, на практике, являются первые 2-3 дня, после которых начинается рутина: методика проверки, отчеты, внимательность, ведение записей и фиксация таймингов на случай, если у заказчика где-то «легла» инфраструктура — доказать, что ваши действия к этому не могли привести или сразу понять, какие именно привели к «падению».

Несмотря на то, что работа пентестеров многими видится как прекрасная удаленка с гибким графиком, зачастую «гибкость» графика требует выездов на инфраструктуру заказчика в удобное для него время, включая командировки по России и смену часовых поясов, а также работы с другими командами, которые должны понять, как устранить обнаруженные уязвимости.

Помимо навыков и опыта, пентестеру необходимо нарабатывать и софт-скиллы: умение планировать, коммуницировать, делегировать, планировать тайминги, объяснять просто сложные вещи и так далее. 

И, конечно, начинающему пентестеру для получения опыта необходимы амбиции и умение брать ответственность за свои действия, только тогда он сможет получать стопроцентную удовлетворенность от результата.

Встреча по пентестингу собрала практически полный зал
Фото: Елизавета Клейн / spbIT.ru

Не все студенты, посетившие встречу, пришли целенаправленно на тему пентестинга — многие из них в принципе обучаются на направлении «Информационная безопасность» и с интересом посещают различные лекции по всем темам, а кому-то максимально было интересно непосредственно проникновение в инфраструктуру. Это не последняя встреча, и студентов ждут и другие темы, о которых им расскажут специалисты компании «Газинформсервис» с использованием реального опыта.