Проверка взломом: готов ли российский бизнес к исследованию на уязвимости

Айдар Гузаиров

Генеральный директор Innostage

Сейчас в профессиональном сообществе много говорится об антихрупкости ИТ-инфраструктуры, которую предлагается диагностировать такими инструментами, как программа bug bounty. Какие типы уязвимостей она помогает обнаруживать и действительно ли может помочь в повышении безопасности и непрерывности бизнес-процессов – разберем ниже на конкретных примерах.

Выявить мельчайшие дефекты

Проверку ИТ-систем с помощью bug bounty можно сравнить с хрупким стеклом, которое надо просканировать на дефекты и сделать прочнее. Цифровые уязвимости, как и трещины на стеклянной поверхности, нужно выявить и устранить. Причем, это важно сделать как можно быстрее, пока усилиями хакеров они не начнут увеличиваться и разбивать всю конструкцию вдребезги.

В отличие от стекла, «микротрещины в ИБ» неочевидны, и для их обнаружения требуется тщательный анализ целевой системы или всей инфраструктуры. Проведение программы bug bounty заметно повышает киберустойчивость систем и сервисов, снижает риск инцидентов ИБ. «Трещины» впоследствии заделываются, и наше условное «стекло» проходит закалку, приобретая прочность брони.

Привлечение к поиску уязвимостей широкого круга исследователей информационной безопасности – багхантеров, или «белых» хакеров – отличная возможность посмотреть на ИТ-инфраструктуру не замыленным глазом. Точнее, привлечь к проверке сотни ребят с зоркими глазами и высокой денежной мотивацией к поиску багов. Это нередко приводит к большей результативности, чем внутренние и экспертные пентесты, ведь оплата производится только при реально найденной уязвимости и соблюдении оговоренных офертой условий.

Bug bounty позволяет обнаружить уязвимости в ПО, ошибки конфигурации приложений и систем управления базами данных, слабые места в интеграции различных видов оборудования и сервисов.

На кого равняться?

Аудит защитного контура независимыми экспертами помогает компаниям не только обеспечить киберустойчивость, но и укрепить статус в отрасли. Запуск программы bug bounty свидетельствует о серьезном отношении к информационной безопасности и поддержании ее на высоком уровне.

Среди российских предприятий – пионеров по проведению bug bounty крупные ИТ и финтех-компании. В результате использования этого подхода они смогли улучшить свою безопасность, снизить риски и привлечь талантливых специалистов.

Так, компания Яндекс благодаря программе bug bounty обнаружила и устранила уязвимости в своих продуктах, что повысило уровень безопасности сервисов. Лаборатория Касперского регулярно использует bug bounty для поиска уязвимостей в своем антивирусном программном обеспечении и повышения его эффективности. А Сбербанк благодаря bug bounty повысил уровень безопасности банковских операций.

Все активнее bug bounty применяется и для проверки государственных федеральных и региональных сервисов. В частности, с его помощью тестировалась киберустойчивость главного федерального ресурса по оказанию услуг населению и бизнесу - Госуслуги. Программы поиска уязвимостей в своих инфраструктурах запускаются и в регионах. Среди пионеров - Московская и Ленинградская области.

Шаги для успешного запуска bug bounty

На основе сотен реализованных нами проектов, в компании сложилась собственная концепция киберустойчивости, включающая множество технологических процессов, ведущих к созданию надежной и эффективной ИТ-инфраструктуры.

В своем подходе к киберустойчивости мы выделяем пять шагов, или этапов. На стартовом шаге происходит оценка уровня киберустойчивости с анализом текущей ситуации, состояния ИТ-инфраструктуры, используемых систем и приложений, а также выявления потенциальных точек проникновения. На этом шаге применяется модель оценки негативного влияния, разработанная на основе ведущих международных и российских практик и многократно опробованная нами при проведении аудитов ИБ.

Затем актуализируется дизайн целевой архитектуры и выявляется взаимосвязь артефактов. Принципы перепроектирования безопасной инфраструктуры сформулированы Innostage как признанным экспертом-киберархитектором.

На третьем этапе производится трансформация инфраструктуры и определение значимости каждого объекта защиты с привязкой определенных процессов, необходимых для обеспечения его кибербезопасности. К примеру, ноутбук генерального директора с максимальными уровнями доступа к конфиденциальной информации будет защищен максимально тщательно и иметь многофакторную защиту с несколькими степенями проверки личности. В то же время SMM-менеджеру той же компании может быть достаточно меньшего количества действий, чтобы войти в свой аккаунт и подтвердить совершаемые действия. Кроме того, на третьем шаге производятся системы тестируются на устойчивость и восстановление после сбоев.

Четвертый - сквозной этап – подготовка и обучение персонала. Процессы по этому направлению начинают развиваться на предыдущих шагах и теперь достигают своего максимума. Все сотрудники компании регулярно проходят обучение по программам повышения осведомленности с многократными проверками в виде имитации фишинга и других инструментов пентеста. Эксплуатирующий персонал участвует в киберучениях, оттачивает навыки работы с СЗИ, координации и командного взаимодействия на киберполигоне.

Заключительный шаг - независимая оценка устойчивости отдельных систем и организации в целом. Он осуществляется такими инструментами, как внешние пентесты и запуск программы bug bounty. Высший пилотаж – объединить преимущества этих двух инструментов и провести на BB-платформе открытые кибериспытания. То есть привлечь наиболее маститых хакеров и проверить уязвимость систем в условиях, максимально приближенных к реалистичной хакерской атаке. Именно этим путем мы и планируем идти.

Стать примером

Доверительные отношения с заказчиками – для нас ключевая ценность. Казалось бы, кибербезопасность нельзя пощупать, но мы стремимся к тому, чтобы доверие к нам, как поставщикам услуг ИБ, подкреплялось реальными результатами, такими как объективная проверка боеготовности с помощью кибериспытаний.

Но даже для Innostage – ИТ-компании, специализирующейся на кибербезопасности и имеющей отлаженные технологические процессы в этой сфере, подготовка инфраструктуры к кибериспытаниям заняла порядка 9 месяцев. Самая интенсивная фаза подготовки развернулась в сентябре 2023 года и должна завершиться к июню 2024 года.

Мы всегда уделяли внимание вопросам собственной кибербезопасности, но после того, как внутри компании начались разговоры о выходе на BB, наша команда по ИТ неожиданно сказала: «Стоп, нам надо сперва подготовиться к этому».

И если до этого я спал спокойно, то тут начался марафон бессонных ночей. Вот так я, генеральный директор ИБ-компании, на себе прочувствовал, что переход от бумажной к реальной безопасности – достаточно серьезный вопрос даже для профессионалов. Нам потребовалось проделать большую подготовку, прежде чем запустить такой инструмент постоянной проверки на антихрупкость с точки зрения противодействия потенциальным злоумышленникам.

Вызовы и риски

Техническая сторона предполагает риск раскрытия конфиденциальной информации и случайного или преднамеренного повреждения исследуемых ИТ-ресурсов. Впрочем, использование специализированных BB-платформ для взаимодействия белых хакеров с заказчиками сводит этот риск к нулю. Так, одна из ведущих отечественных BB-платформ разработана лидером в области результативной кибербезопасности и нашим стратегическим партнером - компанией Positive Technologies.

Участие в программе bug bounty для технической команды зачастую невозможно без пересмотра устаревших методов, изменения архитектуры, дополнительных затрат на модернизацию СЗИ, обучение персонала и проведение внутренних проверок. Также потребуется переход на более высокий уровень стандартов работы с усиленными мерами по обеспечению информационной безопасности.

На этом фоне может разгореться конфликт между ИТ и ИБ из-за различий в подходах к обеспечению качественной, стабильной и высокопроизводительной работы. Кроме того, ИТ-команда может отказываться от выполнения блока дополнительных задач, которые раньше считались необязательными.

Для высшего менеджмента выставление своей ИТ-инфраструктуры на BB тоже вызов. Это демонстрация максимальной открытости, которая требует смелости и ответственности как от ИТ/ИБ подразделений, так и от руководства компании. Фактически, наше «закаленное стекло», публично проверяется на прочность. В какой-то момент предел прочности будет достигнут, и материал потеряет целостность. И это нормально. Нужно извлечь пользу из эксперимента и на будущее усилить то место, оказавшееся уязвимым.

Еще одна категория вызовов связана с реакцией багхантеров на приглашение к проверке. Так как в России процесс придания легитимности действиям белых хакеров и введение их в правовое поле ведется, но еще не завершен, это создает риски для этичных исследователей ИБ и затрудняет их выход из «тени». Вознаграждение от компании, объявляющей bug bounty или открытие кибериспытания, должно быть достаточно привлекательным, чтобы замотивировать участников не только искать уязвимости, но и становиться публичными.

Измеряем эффективность bug bounty

Bug bounty позволяет публично заявлять о повышенном уровне ее кибербезопасности, ссылаясь на объективные исследования багхантеров. Запуск bug bounty также помогает компаниям соблюдать требования регуляторов в области обработки персональных данных и информационной безопасности.

В то же время следует помнить: если багхантеры обнаружили уязвимость, это не кризис, а положительный результат диагностики, показывающий, что именно нуждается в улучшении. В противном случае эту «брешь» нашли бы настоящие хакеры, что могло бы привести к бОльшим финансовым потерям, чем выплата вознаграждения этичному взломщику. А именно - к разрушению ИТ-инфраструктуры и репутации компании. Представить потенциальный ущерб, который был бы нанесен компании, если бы хакеры обнаружили уязвимость раньше багхантеров, можно, опираясь на получившие огласку реальные взломы.

Оценивать эффективность программы bug bounty можно по таким показателям, как количество и критичность обнаруженных уязвимостей, время на их поиск и устранение, размер выплаченных вознаграждений. Уместен и финансовый подход: сравнить затраты и результаты с ценами на услуги профессиональных пентестеров.

Бонус - спокойствие генерального директора, а также его замов по направлениям ИТ и ИБ. После успешно прошедшей проверки на киберустойчивость можно быть по-настоящему уверенным в том, что компания не подвергает опасности себя, клиентов и бизнес-партнеров.

В случае выбора «задачи со звездочкой», то есть объявления об открытых кибериспытаниях, компания также получает возможность непрерывно апдейтить свою защищенность, регулярно имея дело с атаками высокой интенсивности.

Причем, объявленное вознаграждение служит условным индикатором уровня угроз, от которых компания планирует защищаться. Так, небольшие суммы заинтересуют скорее хакеров-джунов, которые «раскидывают» шифровальщики в то время, как за куш в десятки и сотни миллионов готовы будут побороться высокопрофессиональные хакерские группировки с полным арсеналом навороченных инструментов взлома.

Компания, которую не взломали в ходе кибериспытаний, может смело заявлять «мы защищены от атак стоимостью столько-то [размер объявленного вознаграждения] миллионов рублей».

Шаг навстречу «белым» хакерам

Для себя мы решили, что с ростом своей защищенности будем поднимать планку вознаграждения для этичных взломщиков. Повышенное материальное поощрение стимулирует белых профессионально развиваться и проводить глубокие исследования нашей ИТ-инфраструктуры, дающие реальное представление о пределах достигнутой киберустойчивости.

Фактически Innostage планирует получить бронежилет, защитные свойства которого должны проверяться в боевых условиях настоящим «огнестрельным оружием», а не травматическим пистолетом.

Повышение ставок с нашей стороны – плата за риск, так как нынешняя законодательная ситуация не мотивирует хакеров к тестированию «кибербронежилета», а значит – не приближает нас к созданию его совершенной версии. Ведь используемые пентестерами и «белыми» хакерами инструменты – такой же вредоносный софт, как и то, что используют злоумышленники. Применение и распространение подобныхпрограмм преследуется по закону, и пока для «белых» хакеров исключений пока не предусмотрено.

Но, с другой стороны, мне, как участнику программы BB, небезразлично, что будет с данными, которые добыты в ходе исследования на киберустойчивость. Мы хотим стать частью этого комьюнити, быть в курсе происходящего и влиять на контроль за безопасностью процессов, смотреть на эту долговременную инициативу шире и заниматься ею сообща.

Я твердо убежден в необходимости работы с «белыми» хакерами – для меня это реальный путь обеспечения спокойствия и уверенности в собственной информационной безопасности.

Innostage и другие игроки рынка ИБ заходят в эту историю первыми, так как понимают преимущества таких подходов и готовы служить примером. Но чтобы вовлечь в BB государственные структуры и бизнес, необходимо подготовить правильную нормативную инфраструктуру для «белых» хакеров и пользователей программ BB, с прозрачными правилами и принципами регулирования этой отрасли. Само поле взаимодействия с белыми хакерами должно стать легитимным.

В этом плане огромный пласт работы проделал Антон Немкин, член комитета Госдумы по информполитике и федеральный координатор партпроекта «Цифровая Россия». Он шаг за шагом прокладывает путь к легитимизации сферы этичного хакинга и выводу сообщества исследователей кибербезопасности на «светлую сторону».

Мы же со своей стороны популяризируем BB-программы и спрос на такие услуги у компаний-заказчиков, что также способствует публичной открытости «белых» хакеров. Они смогут профессионально развиваться в своей нише, получать большие гонорары и при этом повышать информационную безопасность коммерческих и государственных организаций. Чистой воды стратегия win-win, в которой выигрывают все стороны-участники.