2019/06/13 16:30:09

Зачем B2B-Center заказал кибератаку на самого себя?
Техдиректор Артем Ломакин — о подходах к защите от хакеров

Крупнейшая российская площадка в сегменте закупок коммерческих компаний B2B-Center регулярно проводила аудит кибербезопасности, но у любых аудиторов – и внутренних, и внешних рано или поздно «замыливается глаз». В интервью TAdviser в июне 2019 года технический директор B2B-Center Артем Ломакин поделился опытом проведения пентеста как альтернативы классическому аудиту, который провела для площадки компания Group-IB, и его результатами.

Артем
Ломакин
Пентест подтвердил высокий уровень защищенности B2B-Center. Мы действительно хорошо подготовлены

B2B-Center занимается корпоративными закупками и продажами онлайн. Какие, в среднем, объемы тендеров проходят через вас?

Артем Ломакин: Объем торгов российских компаний на площадке постоянно растет. За 2018 год он увеличился на 29% и составил 2 трлн рублей. Всего наши клиенты провели 184 тысячи электронных закупок.

За первые четыре месяца 2019 года на B2B-Center прошли закупки на 856 млрд рублей. Это на 53% больше, чем за январь-апрель 2018 года.

Сегодня B2B-Center – крупнейшая российская площадка в сегменте закупок коммерческих компаний.

В чем преимущества именно вашей площадки? Оказываете ли вы дополнительные услуги своим клиентам? Касаются ли они кибербезопасности, ведь речь идет о довольно внушительных суммах?

Артем Ломакин: Наше главное преимущество – гибкость. Мы нацелены на работу с бизнесом, поэтому умеем настраивать сервис под задачи клиентов из любой отрасли – энергетики, промышленности, строительства, сельского хозяйства, ритейла, телекоммуникаций и ИТ.

B2B-Center – это не только площадка, на которой можно проводить любые разновидности торгов. Наши клиенты могут полностью автоматизировать закупочный процесс и тендерные продажи: планирование, управление работой с поставщиками и заказчиками, подбор подходящих закупок и потенциальных контрагентов, управление нормативно-справочной информацией, привлечение финансирования и многое другое.Трендвотчинг рынка CRM. Аналитический отчет TAdviser 10.6 т

Наш сервис должен соответствовать высоким требованиям в сфере кибербезопасности. Во-первых, их предъявляют законодательство и регулирующие государственные органы. Во-вторых, наши клиенты-заказчики. Среди них крупнейшие корпорации страны – «Росатом», «АВТОВАЗ», «РУСАЛ», «МегаФон» и многие другие. Поэтому кибербезопасность для нас – это не дополнительная услуга для клиентов, а обязательный элемент инфраструктуры.

Если коротко, то мы должны обеспечить конфиденциальность информации об участниках закупок и их предложениях, которая содержит персональные данные и коммерческую тайну, а также стабильность работы площадки. Сервис должен работать в режиме 24/7, т.к. закупки проходят по всей стране - от Калининграда до Владивостока.

Кроме того, есть и формальные требования. Должный уровень защищенности мы должны подтвердить документами – аттестатами, сертификатами и отчетами о проведении аудитов.

Не так давно вы проводили анализ защищенности своей площадки. Какие предпосылки были для этого? Это была инициатива безопасности или бизнеса?

Артем Ломакин: Мы используем самые современные практики при разработке программного обеспечения и регулярно проводим аудит сами. Но это не панацея от уязвимостей, поэтому раз в год привлекаем внешних подрядчиков – экспертов в сфере кибербезопасности. Это помогает оценить защиту площадки взглядом профессионалов, которые могут дать рекомендации по новым методикам и подходам.

Кроме того, внешний аудит – это требование части наших клиентов. Им необходимо авторитетное подтверждение уровня безопасности.

Как вы выбирали исполнителя? Что стало решающим фактором?

Артем Ломакин: Внешние аудиты проводим много лет, но глаз замыливается не только у нас, но и любого подрядчика. Поэтому в 2019 году решили привлечь другого партнера. У команды профессионалов всегда загораются глаза, когда появляется новый крупный объект для проверки. А нам как раз нужен свежий взгляд на инфраструктуру.

У Group-IB репутация профессионалов в борьбе с киберпреступностью. Они изучают ее методы работы много лет, поэтому знают как она атакует и какие схемы для этого использует. Они, скажем так, не «бумажные аудиторы». Это важный фактор, т.к. в ходе пентеста внутреннего периметра мы действительно пускаем подрядчика в самую защищенную часть сервиса и хотим точно знать, что эта защита работает.

По нашему запросу Group-IB предоставили пример обезличенного отчета об аналогичном аудите безопасности. Он нам очень понравился: четкая структура, методика, подробное обоснование выводов и практические рекомендации.

Плюс мы решили вместе с пентестом провести имитацию социоинженерной атаки на сотрудников компании. Такого опыта у нас еще не было.

В целом, понравился подход Group-IB к работе с клиентами. Все было быстро и удобно: от первого звонка до выставления предложения. Мы оперативно согласовали все условия - сроки, объем работ, адекватную цену – и приступили к пентесту площадки.

Какой объем работ был включен в контракт с Group-IB? Вы ставили жесткие сроки?

Артем Ломакин: Пентест внешнего и внутреннего периметра, а также фишинговая рассылка сотрудникам по электронной почте. Жестких сроков проведения аудита мы не ставили, но хотели начать, как можно быстрее. Нам это удалось – проверка началась через две-три недели и заняла два месяца.

Что удалось выявить в ходе работ по пентесту внешнего периметра? Были ли для вас неожиданными находки партнера?

Артем Ломакин: Пентест подтвердил высокий уровень защищенности B2B-Center. Мы действительно хорошо подготовлены.

При этом специалисты направления Аудита и Консалтинга Group-IB определили точки для дальнейшего роста, в том числе для усовершенствования наших внутренних процессов разработки и контроля. Кроме того, нам удалось получить оценку применяемых инструментов обеспечения информационной безопасности.

Насколько можно судить, внутренний пентест должен выявить есть ли вообще техническая возможность получить несанкционированный доступ к системам . Расскажите подробнее о задачах по внутреннему пентесту?

Артем Ломакин: Мы серьезно перестроили архитектуру после прошлого аудита, поэтому хотели убедиться, что все работает правильно.

Внутренний пентест имитировал модель угрозы, когда оборудование злоумышленника каким-то образом оказалось в нашей внутренней сети. Например, он подключился по публичному Wi-Fi, подкинул флэшку или заразил компьютер сотрудника через электронное письмо.

В рамках внутреннего аудита мы оценили какой урон может нанести злоумышленник, может ли он получить доступ к конфиденциальной информации или нарушить работу сервиса.

Как в целом вы оцениваете проведенную работу? Какие наиболее важные находки для вашего бизнеса содержал отчет по итогам проекта?

Артем Ломакин: Мы довольны качеством, сроками и результативностью аудита. Нам очень понравились отчеты - никакой «воды», четко описанная методика, подробное обоснование всех находок и рекомендации, как улучшить защиту.

Самой впечатляющей оказалась социотехническая атака. Эксперты Group-IB сделали фишинговую рассылку на e-mail сотрудников с актуальной для всех темой.

У нас не было такого опыта, но мы понимали, что человек – самое слабое звено в системе безопасности. Даже самая крутая защита не может исключить этот фактор. Дело вовсе не в злом умысле, а в рассеянности или чрезмерном любопытстве. Это делает социальную инженерию самым мощным оружием злоумышленников.

Нас порадовало, что компания очень быстро отреагировала. Сотрудники поняли, что это атака уже через 12 минут после рассылки. Хотя мы, конечно, никого не предупреждали.

Но главный эффект был в другом. Часть коллег поверила письму и на собственном примере убедилась в реальности киберугроз. Это подействовало гораздо лучше любых инструктажей и разговоров, которые со временем превращаются в рутину. Фишинговая атака наглядно показала всем скептикам, как работают киберпреступники, и какую опасность они несут не только для бизнеса B2B-Center, но и для каждого сотрудника.

Какие дальнейшие шаги будут предприняты с вашей стороны после проведенных Group-IB работ?

Артем Ломакин: Мы уже выполнили рекомендации и устранили все замечания, которые получили по результатам аудита.

Один из главных результатов проверки – это повышение сознательности сотрудников компании. Кибербезопасность всегда связана с непопулярными решениями: надо запоминать длинные пароли, чаще их менять, проходить двухфакторную идентификацию и т.д.

Но реальный опыт и заключение профессионалов помогает убедить всех, что угрозы реальны. И мы должны сделать все возможное, чтобы защищать компанию и наших клиентов.

Как часто вы планируете проводить аудиты в дальнейшем?

Артем Ломакин: Внешние аудиты мы проводим ежегодно или после серьезных изменений архитектуры. Но полагаться только на аудиты внешних специалистов не стоит, т.к. новые уязвимости в оборудовании и программных продуктах обнаруживают гораздо чаще. Поэтому мы регулярно проверяем защиту самостоятельно.

Могли бы вы дать советы по выбору аудитора для компаний вашего сектора?

Артем Ломакин: Часто под видом пентеста предлагают просканировать периметр одним-единственным программным продуктом, прилагая минимум усилий к анализу результатов. В реальности такой подход используют только школьники-хулиганы. Запустил сканер – что-то отозвалось – попробовал – сработало! Это самая примитивная атака.

Для проведения нормального пентеста надо думать и действовать, как реальный злоумышленник, которому действительно нужно проломить защиту. Это может быть многоходовая, нетривиальная последовательность действий. Такой подход встречается на рынке нечасто.

Поэтому, во-первых, ищите творческую команду. Аудиторы должны использовать много разных инструментов и навыков. Нужны профессионалы в сфере безопасности, которые могут обнаружить уязвимости в хорошо защищенном периметре.

Во-вторых, выбирайте аудитора с репутацией на рынке и значительным опытом. Вы должны доверять ему, т.к. дадите доступ к чувствительным данным.

В-третьих, заранее познакомьтесь с результатом аналогичных работ. Обезличенного отчета о проведенном пентесте будет достаточно, чтобы оценить уровень подрядчика.

Наконец, раз в 2-3 года меняйте аудитора. Стабильное многолетнее партнерство расслабляет и заказчика, и подрядчика. В сфере кибербезопасности свежий взгляд особенно актуален.