Кибербезопасность
07 сентября, 11:42

Как кибербезопасность сделать результативной

Обновлено 18 октября 2023, 11:06

Об эффективных способах поиска уязвимостей в ИT-инфраструктуре компаний, а также о том, как сделать невозможной реализацию недопустимых для нее событий, рассказал руководитель направления багбаунти Standoff 365 Анатолий Иванов.

Тема кибербезопасности в условиях тотальной цифровизации с каждым годом приобретает все большую актуальность. По данным российских правоохранительных органов, каждое четвертое преступление в нашей стране в прошлом году совершалось с использованием информационных технологий (ИТ). За последние восемь лет количество киберпреступлений выросло более чем в 50 раз — с 10 тыс. в 2014 году до 510 тыс. в прошлом году. Количество выявленных кибермошенников в 2022 году, по данным Генпрокуратуры, увеличилось на 45% по отношению к 2021-му (до 10 тыс.). Кибератаки становятся все сложнее и происходят все чаще, круг уязвимых сфер расширяется.

Согласно исследованию Positive Technologies, отечественные компании сегодня все больше внимания уделяют вопросам информационной безопасности (ИБ). При этом популярность набирает концепция так называемой результативной кибербезопасности, которая подразумевает непосредственное включение руководителей бизнеса в процесс киберзащиты, их участие в формировании перечня недопустимых событий.

Опросы Positive Technologies показали, что 71% респондентов в целом знакомы с такой концепцией. Около 20% опрошенных отметили, что их компании уже внедрили практику проведения киберучений или даже запустили программы багбаунти (от англ. bug bounty — награда за ошибку). Это процесс поиска уязвимостей в программном обеспечении, веб-приложениях и ИТ-инфраструктуре за вознаграждение с привлечением большого числа независимых исследователей кибербезопасности с различными навыками и инструментами. На фоне дефицита специалистов киберзащиты на российском рынке эксперты считают багбаунти одним из наиболее оптимальных решений, экономичным и эффективным, где бизнес платит только за результат, а не за команду условных пентестеров и потраченное ими время. Кроме того, это непрерывно действующий инструмент для улучшения самых разных процессов внутри компании — как в области ИБ, так и в целом в ИТ-сфере.

Ранее считалось, что запуск багбаунти под силу лишь высокотехнологичным компаниям. Однако сегодня спектр компаний, пользующихся механизмом, стал гораздо более широким и разнообразным. Еще одно исследование Positive Technologies показало, что запрос на услуги поиска уязвимостей за вознаграждение высок не только среди ИТ-компаний (16%) и онлайн-сервисов (14%), но и в сфере услуг (13%), торговле (11%), финансовых организациях (9%) и блокчейн-проектах (9%). В 2023 году Минцифры России впервые начало привлекать широкий круг независимых специалистов по безопасности для проведения масштабного тестирования защищенности ресурсов электронного правительства. Эксперты ожидают продолжения этого тренда и рост использования аналогичных программ в государственных учреждениях, сферах страхования, транспорта, ретейла.

Для внедрения багбаунти необходимо провести определенную подготовку. В первую очередь следует избавиться от уязвимостей, которые можно быстро найти при помощи автоматического сканирования инфраструктуры. Это позволит сэкономить средства в будущем. Программа багбаунти будет более эффективной, если в штате есть своя квалифицированная команда для исправления найденных ошибок. Чтобы разобраться, тиражируется ли уязвимость в других сервисах, а также поправить ее, не всегда достаточно усилий одного специалиста по ИБ, иногда требуется привлечь разработчиков или администраторов, обсудить проблему, проконтролировать процесс поиска уязвимостей.

Когда компания пользуется консалтингом, а разработка отдана на аутсорс, процесс значительно усложняется. Если организация использует внешний триаж (валидация, анализ и приоритизация отчетов об уязвимостях, полученных в результате багбаунти), то ей все равно потребуются один-два человека для контроля внутреннего процесса. Дополнительно к этому могут понадобиться сервис-менеджеры или менеджеры проекта.

Один из основных вопросов, который встает перед компаниями, планирующими запуск багбаунти, — как правильно сформировать бюджет такой программы. Ориентиром при бюджетировании всей программы является размер вознаграждения за критически опасную уязвимость. По данным платформы Standoff 365, при средней стоимости выявления таких инцидентов 590 тыс. руб. в первый месяц исследователи приносят от 20 до 60 уязвимостей. При этом необходимо учесть, что доля самых опасных уязвимостей обычно не превышает 5–10%, еще 20–25% составляют уязвимости среднего уровня, а остальные — низкого уровня критичности. Кроме того, багхантеры (от англ. bug — ошибка, hunter — охотник) начинают активно исследовать системы на уязвимости и отправлять отчеты в первые месяцы после запуска, поэтому эксперты советуют закладывать около 40% бюджета годовой программы на первый квартал, а на следующие три — по 20%.

Оценить размер годового бюджета багбаунти поможет и участие в специализированных краткосрочных мероприятиях. На данный момент в России такие экспресс-тесты проводит платформа Standoff 365. На Standoff Hacks ограниченное число этичных хакеров в закрытом режиме испытывают безопасность сервисов компаний в течение нескольких дней (обычно — до 14). В отличие от классических программ здесь багхантеры получают свое вознаграждение сразу по окончании мероприятия. Например, на последнем таком мероприятии в августе 2023 года компании заплатили исследователям 10 млн руб., а самый результативный хакер увез домой 3 млн руб.

По оценке платформы Standoff 365, общий бюджет, необходимый для размещения программы багбаунти на год в случае компании с небольшим скоупом размещенных систем, находится в пределах 3 млн руб. Окончательная стоимость зависит и от других факторов, включая тип программы (открытая или закрытая), а также наличия услуг триажа. Минимальная сумма, необходимая для размещения на платформе багбаунти, начинается от 1 млн руб.

Запустить программу багбаунти компании могут как самостоятельно, так и воспользовавшись услугами специализированных платформ или же совместив два этих способа. При этом площадки багбаунти имеют ряд преимуществ. Они выступают практичным каналом взаимодействия между исследователями и продуктовой командой, предоставляют удобный интерфейс для выплат, осуществляют PR-сопровождение, привлекая к участию в программе большой поток исследователей. Зачастую площадки самостоятельно и за свой бюджет проводят различные конкурсы или повышают вознаграждение для привлечения внимания к той или иной программе. Они также могут осуществлять функцию третейского судьи: к платформе багбаунти можно обратиться, чтобы решить спорные вопросы. Дополнительные услуги: платформа может значительно разгрузить внутреннюю команду, оказывая ей, например, помощь по разбору отчетов, чтобы компания получала из всей их массы только валидные.

В ближайшие годы эксперты рынка ИБ прогнозируют развитие нового типа программ багбаунти, которые нацелены не просто на поиск уязвимостей, а на исследование всей цепочки недопустимого для организации события, приводящего к длительным сбоям в ее работе. К примеру, в конце 2022 года Positive Technologies запустила программу, нацеленную на проверку одного из подобных сценариев — кражи денег со счета компании. Как правило, выплаты по таким программам гораздо выше, чем в классических багбаунти, так как специалистам требуется не просто найти отдельные уязвимости, а исследовать и реализовать всю их цепочку. Для этого необходимы не только навыки в поиске уязвимостей в сети, но и опыт поиска слабых мест в инфраструктуре. За реализацию такого сценария Positive Technologies, к примеру, готовы заплатить 30 млн руб.

Популярность багбаунти в ближайшее время, согласно прогнозам профсообщества в сфере информационной безопасности, будет расти. Компании начинают понимать, что реальные хакеры не станут атаковать в лоб хорошо защищаемую базовую инфраструктуру, а попытаются найти уязвимости, которые еще не попали на радары команд безопасности. Они воспользуются этими слабыми местами для проникновения во внутренний периметр компании и нанесения неприемлемого для нее ущерба. Программы багбаунти, направленные на исследование недопустимых событий, помогут организациям эффективно выявлять слепые пятна в своей инфраструктуре и устранять их до того, как до них добрались злоумышленники.

Поделиться
Теги
КибербезопасностьМнениеIT