Мы точно защищены? Эксперты обсудили методы оценки кибербезопасности
В пятницу, 24 мая, на площадке международного киберфестиваля Positive Hack Days 2 в «Лужниках» прошла дискуссия с замысловатым названием «Багбаунти vs. пентест vs. кибериспытания vs. верификация НС vs. red team. Что за ***** они еще придумают, или как реально проверить, что мы защищены». Как объяснила модератор встречи, ведущая РБК Анна Заброда, название было придумано исходя из практики: руководители компаний могут не вникать в IT-процессы, но всегда живо интересуются, точно ли бизнес защищен и по каким критериям можно оценить степень безопасности.
Участники сессии обсудили разные методы оценки защищенности — багбаунти (поиск уязвимостей за награду), пентесты, кибериспытания, верификацию недопустимых событий и red team — и попытались понять, какие из них наиболее эффективны и как их правильно реализовывать.
Дискуссию открыла директор по консалтингу Positive Technologies Юлия Воронова, сообщившая коллегам и гостям о том, что число атак на бизнес постоянно увеличивается, при этом растет и их качество. Чтобы им противостоять, необходимо развиваться как минимум в том же темпе, что и взломщики. «Любая сфера, любая цифровизованная компания под угрозой, даже самая маленькая, — отметила Воронова. — Задача целевых атак, доля которых выросла до 78%, — реализовать событие, которое приведет к недопустимым последствиям для бизнеса, в результате чего он перестанет существовать. Защиту нужно построить таким образом, чтобы у компании была фора, позволяющая заметить и выкинуть из своей системы злоумышленника».
При этом представительница Positive Technologies подчеркнула, что полностью защитить компанию от взлома невозможно: «Сам факт пробития внешнего периметра и попадания во внутреннюю сеть непринципиален для бизнеса. Принципиальна утечка данных клиентов, остановка работы больше чем на неделю, кража больших денежных средств. Важно выстроить защиту так, чтобы было невозможно реализовать недопустимые события».
Ключ к решению этой задачи Воронова видит в проведении кибериспытаний — непрерывного мониторинга киберугроз независимыми экспертами. Отслеживание безопасности в динамике выгодно отличает кибериспытания от разовых пентестов (то есть классического испытания на проникновение. «При запуске кибериспытаний на Standoff Bug Bounty наши специалисты помогут запустить и сопроводить этот процесс, а лучшие багхантеры продемонстрируют объективную картину защищенности компании», — рассказала Воронова.
«Как мы можем проверить, что этот риск снижен? Естественно, провести натурные исследования: пригласить специалистов, которые попробуют взломать систему, то есть будут действовать как реальный злоумышленник, — согласился директор департамента информационной безопасности «Интер РАО» Дмитрий Васильев. — Этот метод наиболее эффективен с точки зрения практической безопасности, и мы его активно применяем».
Директор по информационной безопасности Ozon Кирилл Мякишев рассказал, что в данный момент компания присутствует на двух крупнейших отечественных площадках багбаунти. «За год мы выплатили хантерам порядка ₽4 млн за оценку уязвимости и в целом оцениваем активность багбаунти очень хорошо», — заявил эксперт.
В свою очередь, гендиректор проекта «Кибериспытание» Вячеслав Левин убежден, что кибербезопасность сегодня важна не только для самих компаний, но и в первую очередь для их внешнего окружения: «Она касается клиентов, партнеров и регуляторов. Любой фирме, которая выбирает поставщика или партнера, да и просто человеку, выбирающему маркетплейс или банк, необходимо понимать, насколько он безопасен».