Белый хакер о кибербезопасности, надежных паролях и защите от взломов

Фото: Андрей Любимов / РБК

• [00:07] За год кибератак стало на 30% больше. Основные уязвимости — слабые пароли, устаревшее ПО и игнорирование многофакторной аутентификации.

• [02:34] Наиболее частая ошибка — предсказуемые пароли (например, месяц + год + знак). Для повышения стойкости рекомендуются длинные фразы и замены символов.

• [05:28] Крупные компании защищены лучше благодаря ресурсам, но атаки случаются в любой организации; базовая ИТ-гигиена обязательна для всех.

• [07:26] Для малого бизнеса важны инвентаризация активов и двухфакторная аутентификация, для крупного — специализированные сервисы мониторинга периметра.

• [09:01] Ключевые меры: контроль периметра, двухфакторная аутентификация и регулярные проверки защищенности (в том числе с привлечением внешних специалистов).

• [11:32] Атаки на цепочки поставок становятся главным вектором взломов. Лучшие компании ужесточают требования к ИТ-безопасности подрядчиков и формируют новую культуру в отрасли.

Аркадий Глушенков, обозреватель

Вы занимаетесь пентестами — в широком смысле анализом защищенности. Что это такое?

Дмитрий Серебряников, директор по анализу защищенности Positive Technologies
Многие компании сейчас подвергаются атакам и начинают задумываться заранее: может ли злоумышленник проникнуть внутрь и что он сможет там сделать. Наша роль — играть за злоумышленника. Мы моделируем действия реальных хакеров и показываем владельцам бизнеса, что может сделать человек из сети, сидя за компьютером в другой точке мира.

Как вы пришли к «белому» хакерству? Что вас вдохновило?

Когда появился компьютер, многие начали с ним экспериментировать. Я начал программировать, а потом стал «ломать» системы. Понял, что задачи с заранее известным решением меня не мотивируют. Интерес возник оттого, что часто слышишь: «Нас не взломать». Нам интересно показать, насколько это правда.

Какой был ваш первый серьезный проект?

Не могу называть заказчиков. Это была крупная компания. Были разные уязвимости: например, доступ к базе данных пользователей и возможность полной выгрузки — то, что было критично для заказчика. В первую очередь это данные о клиентах.

Недавно вы выпустили большой отчет: типовые проблемы остаются прежними — простые пароли, отсутствие многофакторной аутентификации, устаревшее ПО, ошибки в разграничении доступа, недостаточная подготовка сотрудников. Из вашего опыта, какие уязвимости встречаются чаще всего?

Чаще всего — слабые пароли. Какую бы политику ни вводили, люди находят способы сделать пароль удобным и при этом простым. Часто используют текущий месяц и год: сейчас октябрь — «10», «October», «oktober» в латинице или «йфдшл» в раскладке, плюс «2025» или «25», и в конце — спецсимвол, например восклицательный знак.

Есть ли правило хорошего пароля?

Можно взять строку из песни или стихотворения, набрать ее как фразу и заменить несколько символов: «л» → «1», «о» → «0». Такой подход дает длинную, запоминаемую и устойчивую к перебору фразу.

Насколько защищены крупные и небольшие компании?

Крупные компании обычно защищены лучше: у них есть ресурсы, люди и продукты. Но многие небольшие компании не осознают риски: «Ко мне никто не придет». Между тем хакеров привлекает простая возможность — взломать потому, что можно.

Давайте сделаем чек-лист: что из базовых мер нужно иметь малому бизнесу?

Чем меньше компания, тем меньше ее периметр, тем проще следить за открытыми ресурсами. Важно знать, что выставлено в интернет, и регулярно проверять уязвимости используемых систем. Есть базовые гигиенические меры: включить второй фактор для входа в почту и системы удаленного доступа; следить за утечками паролей — многие пароли попадают в публичные базы, и злоумышленники пробуют их снова. Даже сложный пароль бесполезен без второго фактора.

А для крупной компании?

Базовые меры те же: двухфакторная аутентификация и контроль периметра. Обязательно регулярно проверять защищенность, в том числе привлекая внешних специалистов для пентестов и аудитов.

То есть звать вас — и все?

Это один из пунктов. Три ключевые вещи для всех: контролировать периметр, включить двухфакторную аутентификацию и регулярно проверять защищенность. Третий пункт — если есть ресурсы, приглашать специалистов для проверки.

Как организовать эти проверки эффективно?

Компаниям стоит проводить кибериспытания — оплачиваемые программы, где белые хакеры тестируют системы по четким правилам. Нужно заранее определить недопустимые события: кража денег, доступ к почте генерального директора и т. п. За нахождение таких уязвимостей платят. Регулярные испытания помогают понять, сколько стоит вас взломать: если за небольшую сумму профессионалы не приходят, значит защита сильная; если приходят — нужно усиливаться.

Какая сумма стимулирует профессионалов?

Примерно от 50 млн рублей. Если периметр вычищен и софт обновлен, для проникновения нужны уязвимости нулевого дня или высокая квалификация. Их либо нужно найти самостоятельно, либо купить.

Расскажите про атаки на цепочки поставок простыми словами.

Представьте крупную компанию, хорошо защищенную, которую сложно взломать напрямую. У нее есть подрядчик с дырявой инфраструктурой: у подрядчика простые пароли, уязвимости — и через него можно получить доступ в систему большой компании. Это и есть атака на цепочку поставок.

Насколько это актуально для России и боремся ли мы с этой проблемой?

Это один из самых серьезных векторов проникновения. Самые зрелые компании уже начали выставлять требования к подрядчикам: если подрядчик не обеспечивает уровень защиты, договор не заключат. Требования включают наличие определенных продуктов, двухфакторную аутентификацию, процессы и даже финансовую ответственность подрядчика в случае инцидента.

Готовы ли подрядчики идти на такие требования?

Крупным подрядчикам проще — им выгодно работать с большими компаниями и соответствовать требованиям. В целом культура безопасности формируется постепенно, жизнь подталкивает к этому.

А что с искусственным интеллектом? Можно ли через ИИ-агентов взломать систему?

Чаще всего это касается чат-ботов и сервисов вокруг них. Сам ИИ — модель — может генерировать некорректные ответы, что влияет на репутацию, но системно его сложнее взломать, чем окружение: приложения, интеграции, инфраструктуру. Проще атаковать все вокруг ИИ, чем саму модель.

Используют ли злоумышленники ИИ для фейков?

Да, уже есть примеры: звонили по видеосвязи от имени нашего HR-директора — на видео было ее лицо и голос, но это был фейк. ИИ позволяет подделывать изображение и голос, что усложняет верификацию.

Может ли ИИ помочь в проведении пентестов?

ИИ помогает автоматизировать рутинные задачи: писать скрипты, организовывать процессы. Но пока он не заменяет профессионалов в сложных целевых атаках. ИИ ускоряет рутину, но глубокая работа по проникновению все еще за людьми.

Будет ли ИИ «умнеть» и брать на себя большую часть работы?

Технологии развиваются, но пока ИИ — инструмент. Когда он станет значительно мощнее и надежнее, он будет сильнее помогать, но сегодня он скорее дополняет специалистов, чем заменяет их.