15 Декабря 2025 10:21 | 15 Дек 2025 10:21 | |

Поделиться

Дмитрий Зубарев, УЦСБ: За 3-4 года можно прийти от точечного усиления к созданию неприступного периметра

CNews: Насколько моделирование действий реального злоумышленника важно для оценки готовности компании к атакам? И можно ли назвать этот способ выявления угроз самым эффективным?

Дмитрий Зубарев: Моделирование реальной атаки — по-настоящему практичный и достоверный метод проверки защищенности. Мы разрабатываем сценарии потенциальных действий злоумышленников и проверяем на практике возможность их реализации, фиксируем, какие шаги мог бы пройти злоумышленник, и показываем Заказчику, как блокировать каждое из звеньев цепи атаки. Важно, что, пентесты выявляют риски, которые невозможно обнаружить автоматизированными средствами. Например, это могут быть лазейки в конфигурации сетевого доступа, неочевидные взаимосвязи между системами или изменения, внесенные администратором для своего удобства. Такие скрытые уязвимости — слепые пятна для скриптовых сканеров, но не для пентестеров.

Команда УЦСБ моделирует разные сценарии, чтобы посмотреть, насколько организация устойчива к различным типам кибератак. Моделирование атак в режиме Red Team также позволяет оценить эффективность внедрения средств защиты, проверить действительно ли они обеспечивают безопасность ИТ-инфраструктуры. Исходные условия для этих сценариев могут быть разными: начинать с позиции внешнего злоумышленника без каких-либо данных о сети или, наоборот, с определенной исходной информацией, как при атаке инсайдера. Именно это разнообразие вводных данных и позволяет нам проверить устойчивость защиты к реальным угрозам.

CNews: Какие сценарии атак можно смоделировать?

Дмитрий Зубарев: Теоретически, их может быть множество. При этом конкретные сценарии атак мы разрабатываем с учетом политик информационной безопасности, а также ряда технических и временных ограничений, согласованных с заказчиком. Это гарантирует, что тестирование будет максимально безопасным для работоспособности его инфраструктуры.

Также, как я упоминал выше, сценарий атаки во много определяется начальными условиями. Одна из основных моделей нарушителя — внешний хакер, атакующий без доступа к внутренней сети. Чтобы добраться до внутренних ресурсов, он пытается эксплуатировать уязвимости внешнего периметра или проводить атаки методами социальной инженерии.

Другой вариант — атакующий с некоторым уровнем доступа к внутренней сети. Это может быть инсайдер или внешний хакер, получивший доступ, например, с помощью успешной фишинговой рассылки или в результате взлома беспроводных сетей компании.

Могут быть и другие, более специфичные вариации, но, возвращаясь к вопросу, — в рамках пентеста можно смоделировать любой из них, если он актуален для конкретного Заказчика.

CNews: Чем отличается работа Red Team от обычного пентеста?

Дмитрий Зубарев: Классический пентест фокусируется на технических уязвимостях инфраструктуры и приложений и демонстрации возможных последствий их эксплуатации.

Red Team идет дальше — это имитация целевой атаки с проверкой не только технических аспектов, но и организационных процессов: детектирования инцидентов, реакции SOC, взаимодействия команд.

Red Team работает втайне от большинства сотрудников Заказчика, то есть в условиях, максимально приближенных к реальности. И если ИБ-команда обнаружит атаку — значит объективно инфраструктура находится под защитой. Ну а если нет — пентестер будет работать до достижения заданной цели.

CNews: В дополнение к Red Team вы активно развиваете направлении Purple Team, когда атакующие и защитники работают вместе. В чем заключается главная ценность такого подхода для команды безопасности заказчика?

Дмитрий Зубарев: Purple Team — совместные киберучения, где атакующая и защищающаяся стороны работают открыто. Все обо всем осведомлены, и между командами идет интенсивное взаимодействие. Такой формат позволяет команде Заказчика научиться самостоятельно выявлять уязвимости и попытки их эксплуатации, а также противодействовать кибератаками.

CNews: То есть можно сказать, что Purple Team — это своего рода «акселератор» для развития SOC и внутренних ИБ-специалистов?

Дмитрий Зубарев: Да, это отличный инструмент для «прокачки» киберзащитников, так как в реальном времени тестируются возможные векторы атак и методы детектирования. При успешном обнаружении атаки, SOC получает подтверждение эффективности текущей конфигурации средств защиты. А если SOC что-то пропустил, специалисты, проводящие Purple Team, помогают усовершенствовать настройки мониторинга и сценарии реагирования.

CNews: В каких случаях и как часто нужно проводить пентесты?

Дмитрий Зубарев: Пентесты должны быть регулярными — хотя бы раз в год, а также при значимых изменениях инфраструктуры, релизах приложений или внедрении новых средств защиты. Однократная проверка дает лишь срез на момент тестирования. Но инфраструктура меняется, администраторы вносят изменения в настройки, появляются новые сервисы — все это создает новые риски. Компании, ограничивающиеся единичным пентестом, со временем теряют понимание реального уровня защищенности своих систем.

CNews: Можно ли сказать, что чем регулярнее проводится тестирование, тем выше уровень защищенности и зрелости системы?

Дмитрий Зубарев: Да, организации, которые практикуют пентесты на регулярной основе, становится все сложнее взломать. Так, четыре года подряд команда УЦСБ проводила пентест в одной компании, и динамика весьма показательная. В первый год мы обеспечили максимальные привилегии в сети самыми разными способами, получив доступ практически ко всем внутренним ресурсам. Во второй год было уже сложнее: смогли провести взлом только двумя путями. На третий год нам едва удалось оформить один взлом с повышением до максимальных привилегий. А на четвертый год мы вообще не смогли скомпрометировать инфраструктуру. И это прямое следствие соблюдения рекомендаций и повышения уровня зрелости ИБ в компании. Ведь в отчетах мы пишем не только о том, как устранить уязвимости, но и делимся экспертизой по использованию средств защиты и улучшению процессов.

CNews: В каких отраслях вы обычно работаете? И можете поделиться неконфиденциальной историей, которая наглядно демонстрирует эффективность вашего подхода?

Дмитрий Зубарев: Отрасли, с которыми работает УЦСБ, очень разные: это финтех, ИТ, медицина, агропром и многие другие.

Один из ярких примеров нашей работы — взлом через внешнюю камеру. Территория компании была огорожена, но камера имела активный Wi-Fi интерфейс и постоянно искала сети для подключения. Наши специалисты перехватили эти запросы и, по сути, создали для нее контролируемую точку доступа.

Установив беспроводное соединение с камерой, мы проэксплуатировали уязвимость в ее прошивке, получили привилегированный доступ к ней и настроили таким образом, чтобы она перебрасывала наш трафик во внутреннюю сеть компании. Сеть была плохо сегментирована, так что через взломанную камеру пенстестеры смогли подключиться к внутренним ресурсам и постепенно развили атаку до полной компрометации инфраструктуры.

В данном случае первостепенная рекомендация от нас — подобное оборудование должно быть подключено в отдельный, изолированный сегмент, исключающий прямой доступ во внутреннюю корпоративную сеть.

CNews: Какие ключевые принципы лежат в основе вашей работы?

Дмитрий Зубарев: Глобально можно выделить три принципа. Первый — это соблюдение этики и законодательства. Мы строго «белые» хакеры: работаем по договору, соблюдаем границы работ и включаем в них только системы, владельцем которых является наш Заказчик.

Второе — это соблюдение правил и зафиксированных договоренностей. Например, если договорились не работать после 23:00, это обязательно соблюдается, хотя для пентестеров это может быть самое продуктивное время суток. И если понимаем, что эксплуатация уязвимости может нарушить доступность системы, мы сначала предупреждаем о рисках и согласовываем эту эксплуатацию.

Третье — ориентация на результат. Если позволяет время, исследуем альтернативные векторы атак. То есть одну задачу решаем разными способами, чтобы добиться максимальной эффективности.

CNews: Как строится работа с заказчиком?

Дмитрий Зубарев: Для нас важна установочная встреча — она дает заказчику возможность познакомиться с нашей командой и процессами и понять, каким будет результат работы. Мы в свою очередь на этой встрече уточняем все детали. Затем создаем общий чат, где на протяжении всего процесса работы отвечаем на вопросы, информируем о ходе работ, сообщаем о выявлении критических уязвимостей и помогаем с их устранением. Через несколько дней после завершения работ выдаем отчет с подробными рекомендациями на согласование.

CNews: А кто работает в проектной команде?

Дмитрий Зубарев: Техническое ядро такой команды — главный инженер проекта. Это опытный пентестер, который отвечает за соблюдение требований технического задания на всех этапах работы и качество исполнения. Наполнение отчета фактической информацией также входит в его зону ответственности, но за формулировками, структурой и грамотностью текста следит уже технический писатель.

В небольших проектах главный инженер может выступить исполнителем, а в больших и комплексных привлекаются дополнительно в среднем от двух до пяти человек. Это могут быть специалисты по веб-приложениям, внешнему или внутреннему пентесту, социальной инженерии или тестированию беспроводных сетей.

Также в команду входят менеджер по работе с заказчиками и руководитель проекта, они отвечают за вопросы, не касающиеся технической части.

CNews: Как вы считаете, изменятся ли подходы к Red Team и Purple Team в ближайшие годы?

Дмитрий Зубарев: С одной стороны, концептуально ничего не меняется, поскольку это вечное противостояния добра и зла в цифровом мире. Одно совершенствуется в ответ на другое, но их фундаментальные роли — нарушить и сохранить целостность системы — остаются неизменными.

С другой стороны, если посмотреть на содержание работ на более низком уровне, то оно постоянно меняется. Каждый день появляются новые техники, уязвимости и векторы атак. Как только создается новый эффективный класс средств защиты, следом появляются и методы его обхода. Таким образом, внутри этого процесса постоянно происходит обновление.

CNews: Как ИИ повлияет на роли атакующих и защитников?

Дмитрий Зубарев: Уже появились компании, которые предлагают платформы ИИ для проведения пентестов. Они устанавливают агента, который самостоятельно выполняет часть работы. Вопрос эффективности такого метода работы открыт, и пока очевидно, что системе ИИ нужен оператор — так что все вновь упирается в человеческий фактор, но уже в немного другом ключе.

В сфере защиты тоже виден прогресс. Машинное обучение уже позволяет гораздо точнее отличать реальную атаку от обычного сетевого трафика.

Показательно, что в этом году экспериментальная модель OpenAI смогла успешно решить все 12 задач в финале соревнований по программированию — против 11 задач, которые осилили люди. Год назад такие модели не справлялись даже с одной задачей подобного класса. Это демонстрирует огромный скачок в области применения ИИ для решения алгоритмических задач, и возможно, что в ближайшем будущем аналогичный прорыв нас ожидает и в области информационной безопасности.

CNews: Искусственный интеллект не менее активно используется хакерами. Как компаниям уже сегодня готовиться к новому этапу киберпротивостояния?

Дмитрий Зубарев: ИИ — это мощный инструмент, который усиливает и атакующих, и защитников. Но именно качество человеческих решений и компетенций определяет, в чьих руках такое оружие будет более эффективно. Поэтому начать стоит с честной оценки готовности своей защиты к текущим угрозам. И здесь на первый план выходит не закупка каких-то волшебных ИИ-решений, а системное развитие команды и процессов через практические проверки.
Компаниям, делающим первые шаги к ИБ-зрелости и которым формат киберучений пока не подходит, нужно начинать с классических пентестов или даже автоматических сканирований, чтобы двигаться в сторону повышения цифровой устойчивости.

А вот зрелым компаниям уже стоит присмотреться к динамичным киберучениям, где способность ИБ-специалистов адаптироваться и реагировать на инциденты проверяется и тренируется в бою. Но пентесты для них также важны, потому что дают большее покрытие технических проблем и имеют другую направленность. Хорошая практика — и делать тесты на проникновения, чтобы исправлять максимум технических проблем, и организовывать Purple Team, чтобы совершенствовать в первую очередь процессы, а уже во вторую — устранять технические недостатки.

CNews: Вы упомянули и пентесты, и Purple Team как необходимые практики. Как именно эти форматы проверок помогают подготовить команды к противостоянию с атакующими, использующими ИИ? В чем их ключевое отличие в этом контексте?

Дмитрий Зубарев: Комплексный подход, сочетающий упомянутые виды проверок, и создает устойчивость к новым угрозам. Пентест выявляет конкретные технические уязвимости, которые может эксплуатировать в том числе и автоматизированный ИИ-злоумышленник. А Purple Team тренирует скорость реакции, принятие решений и слаженность процессов — те самые «человеческие» компетенции, которые критически важны для противодействия адаптивным ИИ-атакам.

Внедряя в параллели с пентестами практики Red и Purple Team, бизнес уверенно приближается к цифровой зрелости и развивает команду, способную эффективно работать с любыми инструментами — как сегодняшними, так и завтрашними, включая самые продвинутые ИИ. Причем двигаться в этом направлении пора уже сейчас, пока взлом ИТ-инфраструктуры конкретной компании не стал еще одной решенной алгоритмом задачей.

Поделиться

Короткая ссылка