Илья Забегаев, «Кибериспытание»: Методика Кибериспытаний позволяет оценить уровень защищенности бизнеса в самой понятной метрике — в деньгах

Илья Забегаев, директор по продукту, «Кибериспытание», рассказал порталу Cyber Media о том, что собой представляют Кибериспытания, какие преимущества они открывают для обеих сторон и почему этот инструмент может стать важной вехой в развитии индустрии.

Cyber Media: Что представляет собой концепция кибериспытаний? Это гибрид Bug Bounty и Red team? Почему необходим гибридный инструмент, если два формата давно и успешно работают самостоятельно?

Илья Забегаев: За последние три года мы наблюдаем существенный рост атак на российские компании. Они становятся сложнее, разрушительнее и изощреннее, затрагивая не только государственный сектор, но и частные организации. Кроме специалистов по кибербезопасности это замечают и руководители отдельных бизнес-направлений. Вопросы, защищена ли моя компания, волнуют руководителя компании и акционеров, отделы операционных рисков, внутреннего аудита, пиара, продаж и так далее.

Можно ли решить задачу «классическими» инструментами? Отчасти да – для этого и существуют пентесты, bug bounty и red team. Но ни один из них не говорит с непрофильными заказчиками на понятном для бизнеса языке через деньги. Кибериспытание отвечает на вопрос – сколько времени и средств должны инвестировать хакеры, чтобы нанести организации непоправимый ущерб.

Более того, в отличие от стандартного Bug Bounty, где обнаружение уязвимости подтверждает наличие, но не дает полной картины, здесь необходимо определить, насколько она критична, можно ли ее использовать в реальной атаке и станет ли она частью более сложного вектора взлома. Даже если найденная уязвимость выглядит серьезной, критична ли она в данном контексте — ключевой вопрос, требующий детального анализа.

То же самое касается пентеста или red team, где работает одна команда с определенным набором навыков. Когда она завершает проверку, остается вопрос: можно ли утверждать, что все уязвимости найдены. Естественно, пентестеры убеждены, что проверили все, что можно. В кибериспытаниях другой подход: экспертный совет оценивает, действительно ли пришло достаточное количество хакеров на задание и все ли вектора атак они использовали.

Также встает вопрос ограничений, которые существуют во всех текущих способах оценки: например, в пентестах часть заказчиков разрешает проводить атаки только в рабочие часы. Но в реальной жизни хакеры не следуют таким правилам. Например, на кибериспытаниях Innostage исследователи отправили сотруднику письмо с просьбой срочно залогиниться на сервер уже под окончание рабочего дня. Сообщение было тщательно подготовлено, и атакующие выбрали момент, когда человек был уставшим, что увеличило вероятность ошибки.

Cyber Media: Почему вы считаете востребованным и целесообразным запуск нового формата, который более сложен организационно и с точки зрения триажа?

Илья Забегаев: Одна из ключевых характеристик Кибериспытания — ее состоятельность. В рамках такого исследования мы силами экспертного совета можем подтвердить, состоялась или нет проверка на полноценную реализацию недопустимого события. Мы уверены, что только таким способом можно показать, реально ли защищена компания от киберугроз.

Востребованность такого подхода есть – причем как среди топ-менеджмента, так и среди директоров по информационной безопасности. Мы увидели этот запрос во время запуска грантовой поддержки организаций для выхода компаний на кибериспытания для популяризации этого формата и повышения общего уровня защищенности российского бизнеса. Для этого мы в ноябре прошлого года выделили 100 млн рублей и за два месяца получили 1000 заявок, из которых отобрали 100 компаний. Почти половина компаний уже вышла на площадку StandOff365 и у нескольких даже реализовано недопустимое событие. Но заказчики это воспринимают как позитивную новость – теперь они понимают, где у них слабые места и что необходимо сделать, чтобы им не нанесли ущерб в случае реальной атаки.

Cyber Media: В чем существенное отличие Кибериспытания?

Илья Забегаев: В основе Кибериспытания лежит методика, которая разработана участниками профессионального ИБ-сообщества. Она позволяет получить однозначный ответ об уровне защищенности компании, на языке, понятном и людям без специальной подготовки. Эта оценка выражается в деньгах – сколько компания готова заплатить исследователям, чтобы те смогли реализовать недопустимое событие.

На Кибериспытании вашу компанию пытаются взломать исследователи или по-другому, этичные хакеры, задача которых — найти способ нанесения ущерба сегодня, чтобы его не нанесли преступники завтра. Исследователи имеют сопоставимую с реальными злоумышленниками квалификацию и используют те же инструменты и методы, так мы можем сравнивать результаты их деятельности и необходимые ресурсы.

Мотивация исследователей построена на вознаграждении, которое они получат за демонстрацию подтвержденного способа нанести ущерб, но без реального ущерба. В зависимости от суммы вознаграждения, привлекаются исследователи с разной компетенцией и ресурсами. Соответственно, при увеличении вознаграждения к испытанию смогут присоединиться команды исследователей с более глубокой экспертизой.

Если на Кибериспытании удалось получить результат за вознаграждение в несколько сотен тысяч рублей, скорее всего, это сделали начинающие исследователи, а уровень защиты компании очень низкий. С другой стороны, если исследователям не удалось реализовать цель при вознаграждении в несколько сотен миллионов рублей — защита в компании на высоте и вряд ли будет по зубам многим профессиональным группировкам.

Это универсальная оценка, с которой согласны все — компании на Кибериспытании, исследователи или любая заинтересованная сторона. В том числе, благодаря тому, что Кибериспытание основано на объективной и независимой оценке экспертного совета. Это коллегиальный орган, который состоит из людей с непререкаемым авторитетом в индустрии кибербезопасности. Они участвуют в Кибериспытании на протяжении всего времени проведения, от согласования условий до подведений итогов.

Экспертный совет — саморегулируемая организация, которая определяет состав в соответствии с определенными требованиями. При подведении итогов, каждый член экспертного совета, который участвовал в конкретном Кибериспытании «ставит на кон» свою репутацию. Таким образом, компания фактически получает оценку не от юридического лица АО «Кибериспытание», а от коллективной индустрии ИБ.

Cyber Media: Программы верификации недопустимых событий с точки зрения исследований информационной безопасности — «игра в долгую», поскольку требуют больше времени и усилий, чем поиск отдельной уязвимости. Как привлекать хантеров к участию в таких программах?

Илья Забегаев: Кибериспытания не создают собственную платформу. Мы организовываем пространство для взаимодействия с хакерами. На российском рынке уже существуют три отличные площадки от StandOff365, BI.Zone BugBounty и BugBounty.ru. Они активно развиваются и привлекают исследователей, поэтому на текущий момент мы не видим необходимости в создании отдельной платформы.

Важно, что выплаты в этих программах значительно выше, чем в Bug Bounty. Это может стать одной из основных причин, по которой исследователи будут уделять внимание этим направлениям. Конечно, на мотивацию также влияют сила бренда и сложность задач, но финансовая составляющая — важный элемент для трансформации рынка исследователей.

Кибериспытания значительно усложняют задачи для исследователей. От них требуется объединяться в команды, постоянно повышать квалификации и тратить большое количество времени, чтобы решать поставленные перед ними задачи. Однако возможность получить крупное вознаграждение становится мощной мотивацией для старта.

Кроме того, в рамках грантовой поддержки мы выпускаем не только крупный бизнес, но и компании среднего уровня. В этом случае предоставляется уникальный шанс развиваться начинающим специалистам с опытом работы 2–3 года. Это вовлекает их в профессию белого хакера и позволяет приобрести ценный практический опыт. У нас уже есть пример, когда исследователь взломал три компании и получил за это 3 млн рублей! Когда мы начали общаться с ним, оказалось, что он выпускник нашей партнерской образовательной платформы CyberED, который несколько лет работал пентестером и за новогодние праздники заработал себе на первый взнос по ипотеке.

Cyber Media: Каким должно быть вознаграждение за верификацию недопустимых событий? Что предлагает ваша методология?

Илья Забегаев: Сумма вознаграждения определяется по методике Кибериспытаний. Если упрощать, то она выглядит следующим образом: чем более защищена компания, тем выше должно быть вознаграждение для исследователей. Например, если крупный банк оценит гонорар в 5 млн рублей, хакеры не заинтересуются предложением — потраченное время и усилия не оправдают потенциальную выплату.

Методология у нас одна, мы ее развиваем с членами экспертного совета. Они оценивают действительно ли на площадку привлекли нужное количество хакеров, реализована уязвимость или нет, а также относится ли к недопустимым событием.

Наши методологии открыты и доступны для всех желающих. Также мы готовы к диалогу, контакты для связи указаны на сайте — нам всегда можно написать и обсудить предложения.

Конечно, в первую очередь мы ориентируемся на крупные Кибериспытания. Например, одна компания предложила нам вознаграждение в размере 5 млн рублей, затем увеличила его до 10 млн рублей. Вполне возможно, что и это — не окончательная сумма. Всё это отражено в методологии, где есть расчеты и объяснения, как оцениваются такие задачи.

Cyber Media: Если говорить о регулятивных аспектах, есть ли потребность в принятии новых законов или корректировке существующих нормативных актов, которые могут способствовать развитию индустрии этичного хакинга в России?

Илья Забегаев: Уже существует очевидный запрос со стороны заказчиков на программы кибериспытаний, но заказчики часто сталкиваются с ограничениями и опасениями, связанными с образом белых хакеров. Для профессионального сообщества это квалифицированные специалисты, но для внешнего наблюдателя они все еще ассоциируются с «парнями в капюшонах». Легализация профессии может стать важным шагом к снижению стресса среди заказчиков и предвзятости в этом вопросе.

При разработке соответствующего законодательства стоит учитывать мнение как отрасли в целом, так и самих белых хакеров. Специалисты видят определенные риски для себя, и важно учесть их позицию при формировании новых норм.

Cyber Media: Как видите развитие практики открытых кибериспытаний в будущем?

Илья Забегаев: Первые 100 компаний, принявшие участие в кибериспытаниях, создают фундамент для нового подхода к оценке киберзащищенности и формирования отраслевых стандартов. Этот подход фокусируется не только на выявлении отдельных уязвимостей, но и на анализе цепочек реализации недопустимых событий. Запрос на подобные исследования исходит не только от директоров по информационной безопасности, но и от «непрофильных» подразделений бизнеса. В частности, ключевыми инициаторами таких исследований стали собственники, руководители компаний, а также департаменты операционных рисков и внутреннего аудита. Это говорит о том, что кибербезопасность все чаще рассматривается как стратегический приоритет для развития бизнеса.

Мы прогнозируем, что в этом году на кибериспытания выйдет больше крупных компаний, предлагая высокие вознаграждения для исследователей.

Этот процесс станет драйвером развития индустрии: увеличение числа участников кибериспытаний привлечет больше инвестиций в рынок, повысит количество обученных специалистов и увеличит число защищенных компаний. В конечном итоге это принесет пользу всем участникам экосистемы, способствуя укреплению общего уровня кибербезопасности.

Это действительно интересное время для индустрии, и мы уверены, что оно станет драйвером всего сектора кибербезопасности в ближайшие несколько лет. В будущем это может неким индустриальным стандартом, который будет принят и разделен всей отраслью, включая регуляторов и заинтересованные третьи стороны, например, страховые компании.