Через уязвимости к безопасности
Зачем компании выходят на Bug Bounty и почему это важно сделать именно сейчас
Рост кибератак в России на госсектор и бизнес сформировал взрывной спрос на те услуги кибербезопасности, которые раньше считались нишевыми. Так, к примеру, широкое распространение приобрело тестирование инфраструктуры компаний на Bug Bounty (поиск уязвимостей исследователями безопасности за вознаграждение): к концу 2023 года собственные программы уже есть у порядка 20 крупных IT-компаний, ритейла и финтеха, а государственные цифровые сервисы на уязвимости проверяет Минцифры. “Ъ” разбирался, кому нужно протестировать инфраструктуру на Bug Bounty, сколько это стоит и какие задачи поможет решить компаниям.
Фото: Предоставлено Positive Technologies
Фото: Предоставлено Positive Technologies
Киберзащита организаций в период взрывной динамики атак на российскую IT-инфраструктуру за последние полтора года стала еще более актуальной как для бизнеса, так и для госсектора. Согласно исследованиям Positive Technologies, за последние два года число расследований киберинцидентов увеличилось более чем в два раза, а 40% всех расследованных инцидентов были совершены известными APT-группировками, то есть проводящими сложные целевые атаки (Advanced Persistent Threat — APT). Чаще всего атакам APT-группировок подвергались госучреждения (34%), промышленные предприятия (30%), IT-компании (7%), СМИ (5%) и телеком-компании (5%). В 25% проектов по ретроспективному анализу инфраструктур компаний после инцидента были выявлены следы деятельности APT-группировок, находившихся в сетях компаний-жертв длительное время: от полугода до года на момент анализа.
Одним из лидирующих методов успешных атак на организации в этом году стала эксплуатация уязвимостей (37%) — так злоумышленники продолжают использовать недостатки популярных IT-решений. По-прежнему активно используется вредоносное программное обеспечение (ПО, 45%). При этом чаще всего успешные кибератаки приводят к утечке конфиденциальных данных (56%) и нарушению основной деятельности (36%). Также злоумышленники не так часто изобретают новые способы атак, но тем не менее число инцидентов с применением уже известных уязвимостей продолжает расти. Это говорит о том, что компании как минимум не обновляют используемое ПО до последних версий и не производят аудит периметра инфраструктуры.
Осознавая риски, компании в России все чаще прибегают к тестированию своей инфраструктуры на Bug Bounty, то есть к тестированию белыми хакерами на наличие уязвимостей.
Найти, чтобы защитить
Белыми хакерами принято называть профессиональных хакеров и энтузиастов-исследователей, специализирующихся на легальном поиске проблем в защите компаний и ее улучшении. Для эффективного привлечения таких специалистов и организации работы этого комьюнити разрозненных экспертов существуют своеобразные точки сосредоточения такой экспертизы белых хакеров — платформы Bug Bounty, где организация может предложить для изучения и исследования свою инфраструктуру, ее часть или даже копию. Исследователи, собранные на платформе, все без ограничений или оговоренные с организаторами группы в случае, если программа приватная, принимают участие в поисках ошибок и уязвимостей. Изначально такие платформы были наиболее востребованы среди крупного бизнеса на Западе (именно такие компании запускали свои программы Bug Bounty и активно использовали для повышения их эффективности специализированные платформы). Например, в 2022 году Google заплатила за найденные в своих продуктах уязвимости $12 млн, а Microsoft вскоре выплатила белым хакерам $13,7 млн.
Сегодня программы Bug Bounty приобретают популярность у бизнеса другого размера и других регионов, а сами платформы стали появляться в других странах. Например, в России практика тестирования компаний таким способом стала развиваться позже, однако опережающими темпами. Как отметили эксперты на SOC Forum 2023, два года назад на рынке бытовало мнение, что Bug Bounty можно рассматривать как эксперимент, проводимый пока лишь парой компаний. Год назад о нем всерьез начал задумываться госсектор, а в 2023 году частные компании уже запускают Bug Bounty на недопустимые события, то есть события, которые могут привести к нарушению основной деятельности организации вплоть до ее остановки.
Эксперты платформы Standoff 365 считают, что одним из драйверов роста рынка Bug Bounty в 2024 году должен стать спрос со стороны госсектора. Первым российским министерством, публично запустившим тестирование собственной инфраструктуры, стало Минцифры. Первая программа Bug Bounty проводилась зимой для портала «Госуслуги» и длилась три месяца, а в ноябре текущего года министерство масштабировало ее и вывело на Bug Bounty уже девять сервисов электронного правительства: Единую биометрическую систему, Единую систему идентификации и аутентификации и другие. Выплата за каждую критически опасную уязвимость, которую обнаружит белый хакер, может достигать 1 млн руб. в зависимости от значимости (см. “Ъ” от 9 ноября).
Стоимость проведения Bug Bounty — один из первых вопросов, которым задается организация при планировании, отмечают эксперты по кибербезопасности. По оценке руководителя направления Bug Bounty Standoff 365 Анатолия Иванова, «исходя из нашего опыта проведения Bug Bounty, бюджет эффективной программы составляет порядка 3–5 млн руб. в год». В Positive Technologies подчеркивают, что в рамках Bug Bounty компании платят не за время проведения тестирования, а именно за найденные и подтвержденные уязвимости. Соответственно, чтобы заработать больше, белые хакеры должны найти по-настоящему опасный баг.
Согласно исследованию, проведенному платформой Standoff 365, доля самых опасных уязвимостей обычно не превышает 10%, около 20% представляют уязвимости высокой критичности, еще 20–25% составляют уязвимости среднего уровня, а остальные — низкого уровня критичности. При этом пик исследовательской деятельности и сдачи отчетов по выявленным уязвимостям приходится на первые месяцы после запуска программы. Поэтому эксперты советуют закладывать около 40% бюджета годовой программы на первый квартал, а на следующие три — по 20%. В случае необходимости интенсивного и ускоренного поиска уязвимостей компания может запустить специализированную программу Bug Bounty в закрытом режиме, когда в течение нескольких недель 20 лучших багхантеров исследуют защищенность, например, нового сервиса. На данный момент в России такие «экспресс-тесты» проводит только платформа Standoff 365, и одно из последних тестирований прошло в ноябре в рамках Moscow Hacking Week.
Подобные «экспресс-тесты» интересны и бизнесу, планирующему свои инвестиции в IT и кибербезопасность на 2024 года, и госсектору, который также стремится повысить свой уровень безопасной цифровизации. Это необходимо госструктурам в том числе для улучшения своих позиций в рейтинге цифровой трансформации ведомств и организаций, который с конца лета по решению Минцифры учитывает и уровень защищенности как параметр наравне с такими, как создание структурного подразделения по обеспечению информационной безопасности, импортозамещение в этой сфере, мероприятия по оценке уровня защищенности систем, в том числе проведение Bug Bounty (см. “Ъ” от 23 августа).
Бизнес объявляет охоту на уязвимости
Согласно исследованию платформы Standoff 365, спрос на Bug Bounty к концу 2023 года особенно отчетливо сформировался у IT-компании, онлайн-сервисов, компаний в сфере услуг, торговли и финансовых организаций. Перечисленные сферы объединяют значимость бесперебойной работы сервисов и их постоянная доступность для клиентов, в противном случае инцидент может привести к недопустимому событию: крупным финансовым потерям или оттоку пользователей. Проведение Bug Bounty значительно снижает эти риски. Свои программы Bug Bounty есть у VK, «Азбуки вкуса», «Тинькофф», Wildberries, Positive Technologies и других крупных игроков разных сфер.
«Вынося свою область исследования на Standoff, мы понимали, что уязвимости могут быть и их нужно исправлять,— поделился директор департамента защиты инфраструктуры ИБ компании VK Илья Сафронов.— Мы сами проводим аудиты своих продуктов и тоже находим баги. Но любой аудит, будь то внутренний или внешний, ограничен по времени, а Bug Bounty — это история постоянная. У VK не было страха перед Bug Bounty, а был скорее интерес».
Исследователи Positive Technologies отмечают, что специфика программ по поиску уязвимостей такова, что в большинстве своем там проверяются системы, которые и так уже доступны в интернете. Это онлайн-сервисы, маркетплейсы, соцсети, поисковые сервисы, онлайн-банкинги и т. д. А если что-то уже имеет выход в интернет, оно уже доступно для взлома, и черным хакерам незачем идти на платформу, рискуя в любой момент быть разоблаченными. «На Bug Bounty желательно выводить реальные продуктивные информационные системы, потому что настоящие злоумышленники будут атаковать именно такую инфраструктуру»,— считают в Positive Technologies. Тестовый же контур стоит использовать в случае размещения, например, промышленных систем, когда существуют физические риски для людей и дорогостоящего оборудования.
Эксперты на рынке онлайн-ритейла приводят и другие значимые факторы: «Во-первых, нужна квалифицированная и подготовленная к запуску такого масштабного мероприятия команда, которая сможет не только обработать большой поток отчетов, но и извлечь из этого реальную пользу»,— объясняет руководитель направления безопасности приложений Wildberries Александр Хамитов. Во-вторых, в компании должны быть выстроены зрелые процессы управления уязвимостями, чтобы с момента обнаружения проблемы и до передачи ее в команду разработки проходило минимальное количество времени, а сроки исправления были определены заранее и контролировались командой ИБ.
Каждая компания, любой бизнес, даже малый, нуждается в обеспечении информационной безопасности, так как имеет свои бизнес-процессы, а в них можно обнаружить уязвимости и недопустимые события, которые могут потенциально реализовать злоумышленники.
Запуская программу Bug Bounty, компания получает экспертизу этичных хакеров со всего мира с разным опытом и инструментарием. Это комьюнити готово помогать находить уязвимости в системах и инфраструктурах, не эксплуатируя их и помогая предотвратить реализацию уязвимостей и даже недопустимых событий при реальной атаке. А компания, помимо выявленных багов, получает возможность отработать реагирование на уязвимости в инфраструктуре, повысить уровень своей защищенности и компетенции внутренних специалистов.