Взаимная безопасность

На фоне непрекращающегося роста числа кибератак все больше компаний начинают тестировать защищенность ИТ-систем, но дефицит кадров в сфере информационной безопасности усложняет эту задачу. Но сегодня у организаций есть возможность проводить анализ ИТ-активов руками «белых» хакеров. “Ъ” разбирался, почему сейчас самое подходящее время для компаний, чтобы запустить свою программу Bug Bounty.

Выйти из полноэкранного режима

Развернуть на весь экран

Сегодня тысячи исследователей кибербезопаности за вознаграждение протестируют продукты, найдут бреши в безопасности и опишут их в отчетах. Все будет конфиденциально, и компания заплатит только за результат, то есть за принятые отчеты с реальными уязвимостями, а не за потраченное на поиск время. Этот подход получил название Bug Bounty. Ранее считалось, что запуск такой программы под силу только высокотехнологичным игрокам. Однако это не так, и расширяющийся список компаний, тестирующих продукты по такой программе, доказывает обратное.

За последние два года под воздействием киберугроз актуальность защиты ИТ-инфраструктуры кратно возросла для организаций из разных отраслей. Согласно исследованию Positive Technologies, в 2023 году количество атак увеличилось на 18% по сравнению с предыдущим годом. Каждый третий успешный инцидент (32%) связан с использованием уязвимостей. Метод атаки с использованием недостатков безопасности не теряет популярности у киберпреступников во многом потому, что количество уязвимостей, обнаруживаемых в программном обеспечении, продолжает расти. Например, специалисты Национального института стандартов и технологий США подсчитали, что число найденных за 2023 год недостатков безопасности достигло 28 902 — это на 42% и 14% больше, чем в 2021 и 2022 годах соответственно.

Осознавая риски кибербезопасности, российские компании все чаще выводят свои продукты на Bug Bounty или по крайней мере начинают задумываться об этом. Так, за два года количество открытых программ на платформе Standoff Bug Bounty выросло с 2 до 64.

Инструмент уровня топ-менеджера

На Bug Bounty можно вывести любой цифровой актив компании: от компонентов программного обеспечения и отдельных сервисов до ИТ-инфраструктуры в целом. Багхантеры, используя хакерские методы, помогут найти уязвимости, но не будут эксплуатировать их, как это сделали бы злоумышленники. Таким образом, для топ-менеджмента подобная программа выступает инструментом, который позволяет посмотреть, как хакеры могут (и могут ли вообще) атаковать организацию прямо сейчас, а также проанализировать реальную эффективность выстроенной системы безопасности и качество работы CISO, которое никак иначе оценить нельзя. Кроме того, этот инструмент можно использовать для проверки информационных активов новых дочерних компаний, которые часто бывают недостаточно защищены и становятся слабым звеном в инфраструктуре головной организации. Используя проблемы безопасности дочерних фирм, киберпреступники могут атаковать холдинг, даже если защита всех остальных ИТ-активов обеспечивается на высоком уровне. Bug Bounty поможет выявить недостатки, которые способны поставить под удар безопасность всей системы.

В отличие от тестирования на проникновение, багбаунти позволяет получать информацию о новых недостатках безопасности в режиме нон-стоп. Если необходимо проверить, например, новый сервис в ускоренном режиме и выявить как можно больше брешей в безопасности за ограниченный период, компания может запустить закрытую специализированную программу. В рамках нее лучшие багхантеры в течение нескольких недель будут тестировать защищенность ИТ-актива. Такую возможность предоставляет платформа Standoff Bug Bounty.

Организация платит только за результат — подтвержденные уязвимости, найденные в процессе анализа. По данным платформы Standoff Bug Bounty, суммы различаются от программы к программе. Средняя стоимость обнаружения недостатков безопасности составляет 590 тыс. руб. Минимальная сумма, необходимая для выхода на багбаунти-платформу,— 1 млн руб. Окончательная стоимость зависит от количества сервисов, которые нужно проверить, срока действия программы и ее формата (открытая или закрытая), а также наличия услуг по разбору и приоритизации полученных (триаж). Так, годовая программа с небольшим набором ИТ-активов обойдется примерно в 3 млн руб. На стоимость также влияет тип программы: на багбаунти появился новый вид тестирования — программы, ориентированные на недопустимые события, которые препятствуют в достижении целей организации или нарушают ее основную деятельность. В таких программах багхантеры не просто ищут отдельные уязвимости, а исследуют всю цепочку возможных атак. Это задача повышенной сложности, и для ее выполнения необходим более широкий спектр навыков. Выплаты по таким программам гораздо выше, чем в классических багбаунти.

В сравнении с суммами ущерба от возможных кибератак затраты на Bug Bounty носят экономически обоснованный характер. В частности, особенно ярко это смогут подтвердить инциденты, которые приводят к краже конфиденциальной информации. С вступлением в силу закона об оборотных штрафах за утечку данных (Госдума приняла проект в первом чтении) ущерб для компании от подобных атак сможет измеряться в сотнях миллионов рублей.

Согласно данным платформы Standoff Bug Bounty, наибольший спрос на багбаунти сегодня наблюдается со стороны ИТ-компаний, государственных учреждений, образовательных платформ, рекламных сервисов, маркетплейсов, организаций из сферы услуг и финтех-игроков. Таким образом, в перспективе нескольких лет факт участия в Bug Bounty может стать одним из критериев конкурентоспособности организации: заказчики будут выбирать продукты тех компаний, которые проводили тестирование безопасности.

Возможно, главной предпосылкой для этого станет растущий спрос на Bug Bounty со стороны госсектора, прогнозируемый экспертами Standoff Bug Bounty. В конце прошлого года Минцифры запустило на платформе программы для публичного анализа безопасности сразу десяти сервисов электронного правительства. Ранее министерство в рамках первого этапа тестировало на Standoff Bug Bounty защищенность «Госуслуг» и единой системы идентификации и аутентификации.

Матвей Соколов