Зачем нанимать «белых» хакеров
Количество киберпреступлений в России в 2023 году выросло на 30%, а ущерб от них превысил 156 млрд рублей. При этом потенциальные риски намного серьезнее. Согласно отчету IBM Security Cost of a Data Breach Report 2023, средняя стоимость утечки данных в мире в прошлом году достигла рекордного максимума и составила $4,45 млн (около 410 млн рублей). Это на 15,3% больше, чем в 2020 году.
Столкнуться с проблемой может любая компания. По данным Statista, в глобальном масштабе 72,7% организаций стали жертвами атак программ-вымогателей в 2023 году. Средний размер выкупа — $1,5 млн (почти 138 млн рублей).
Риски таких финансовых потерь вынуждают бизнес увеличивать инвестиции в кибербезопасность. Так, растет интерес к пентестам и программам баг-баунти — способам проверки защищенности компании с участием этичных хакеров, которые выступают в роли атакующих и моделируют полноценную кибератаку на компанию. В зависимости от условий они могут использовать социальную инженерию, искать уязвимости и даже попытаться пройти в офис компании-заказчика под видом нового сотрудника, чтобы смоделировать атаку через инсайдера — внутреннего нарушителя.
Сейчас привлечение этичных хакеров — самый простой и эффективный способ понять и измерить в деньгах уровень защищенности компании.
Форматы испытаний: классика и передовой опыт
Сегодня на рынке есть множество команд с разным уровнем навыков, оказывающих услуги по анализу защищенности. Да и сами услуги уже давно не сводятся к одному лишь сканированию инфраструктуры.
Наиболее распространенный способ проверить информационную защищенность бизнеса — это пентест. Заказчик нанимает команду этичных хакеров, которые проводят аудит безопасности. Преимущество этого метода в гибкости настроек. Можно устанавливать буквально любые границы: что конкретно атаковать, какие методы взлома использовать, какая степень воздействия на инфраструктуру допустима.
Главный недостаток пентеста — высокая вероятность столкнуться с некачественной работой. Это связано с тем, что для ряда компаний, например, финансовой отрасли, необходимость проведения аудитов безопасности прописана законодательно. Недобросовестные поставщики готовы по сравнительно низкой цене провести «анализ защищенности» и отчитаться, что никаких уязвимостей найти не удалось.
Пентесты требуют постоянного увеличения затрат. Чем выше уровень защищенности компании, тем более высококлассных специалистов нужно привлекать для анализа. Иначе велик риск, что эта система начнет стагнировать — компания не будет развивать ИБ, потому что уверена в своей защищенности, но дело не в уровне этой защищенности, а в классе атакующих, который компания переросла.
Более продвинутый вариант пентеста — это проекты red team. Если пентест можно условно сравнить с работой боксера «на лапах», то редтиминг — это уже полноценный «спарринг» с минимальным количеством ограничений.
Основной недостаток метода том, что это именно проекты, и невозможно проводить их постоянно. Также важно регулярно находить новые команды, поскольку у одной и той же группы может замылиться глаз и могут закончиться идеи. А анализ защищенности — направление творческое.
Высококлассных редтим-команд немного и их услуги стоят дорого. Компания получает разовое подтверждение уровня своей защищенности и информацию о проблемных местах, над которыми нужно поработать, но эта информация перестанет быть актуальной буквально через пару недель.
Такого недостатка лишена программа bug bounty — «конкурс» среди этичных хакеров, который организуют на специализированной площадке. Она идет 24 часа, семь дней в неделю, до тех пор, пока компания сама не захочет ее закрыть. Бонусом компания получает возможность привлечь высококлассных исследователей, которые никогда не пришли бы в рамках пентестов. Например, потому что они работают в компании-заказчике — крупном банке или другом бигтехе.
К минусам баг-баунти-программ можно отнести непрогнозируемость результата. Всегда есть вероятность, что опытные исследователи программой не заинтересуются, а начинающие будут сдавать только некритичные уязвимости, которые особо не влияют на уровень защищенности компании, но их нужно закрывать и платить исследователю.
Из недостатков программ bug bounty вытекает сложный экономический менеджмент. Нужно не только определить оптимальную стоимость для каждого вида уязвимости, но и проводить разного рода мотивационные программы, периодически повышать выплаты. Средняя сумма вознаграждения на российских баг-баунти-площадках находится от 30 000–50 000 рублей до 10 млн рублей, в зависимости от уровня выявленной опасности (низкая, средняя, высокая, критическая).
Кибериспытание, или программа верификации недопустимых событий, — это новый способ проверки защищенности не только для российского, но и для мирового рынка. Как и в случае с баг-баунти, компания выходит на платформу, но не с предложением найти одну уязвимость, пусть даже критическую, а реализовать полноценную цепочку атаки, которая приведет к недопустимому для компании событию.
Недопустимое событие (НС) — это такой инцидент, который несет критические последствия для компании. Например, хищение денег со счета организации. При этом для верификации НС исследователю достаточно вывести небольшую сумму, условно, в сто рублей. Этого достаточно, чтобы подтвердить реализацию НС, а последствия для компании от такого инцидента минимальны.
Такой формат максимально приближен к реальной хакерской атаке — угроза существует постоянно, и у атакующих есть конкретная задача, реализация которой критична для компании. Фактически он сочетает в себе бонусы редтим (высококлассных специалистов) и баг-баунти (непрерывность анализа).
Главный недостаток этого подхода к анализу защищенности — высокий порог вхождения. Стоимость реализации НС начинается с нескольких миллионов рублей и может исчисляться десятками миллионов. Если изначально переоценить свои силы, велик риск, что этичные хакеры легко справятся с задачей, а заказчику придется заплатить большие деньги за не самую сложную цепочку атаки.
Важные моменты независимо от подхода
В основе любого проекта по анализу защищенности лежат границы допустимого. Всегда нужно помнить о рамках законодательства, это важно и для исследователей, и для заказчика.
Второй существенный момент — это техники. Важно определиться, можно ли использовать социальную инженерию, физический пентест и другие специфичные методы, насколько это целесообразно.
На третьем месте идет скоуп, то есть части инфраструктуры, которые можно атаковать. Если у компании есть сервисы, которые содержат легаси-код, написанный давно и никем не проверяемый, целесообразно вывести его из скоупа до тех пор, пока его не разберут штатные специалисты. Иначе велик риск, что багхантеры «набьют» там простых уязвимостей, за которые придется платить заказчику.
Сколько платить этичным хакерам
Разберем ценообразование на примере наиболее продвинутого способа — верификации недопустимых событий. Наиболее критичная уязвимость, позволяющая внедрить произвольный код (RCE), может стоить около 2 млн рублей. Соответственно, чтобы привлечь исследователей и мотивировать их выстраивать целую цепочку атаки, нужно предложить как минимум не меньше этой планки.В дальнейшем можно отслеживать интерес багхантеров к программе и их активность. Если он спал и у атакующих ничего не получилось, можно поднять стоимость. Повышается вероятность, что придут более высококлассные специалисты. И так постепенно наращивать бюджет.
Важно помнить о том, что не всегда компания обязана платить за реализованный риск. Например, если исследователь вышел за рамки скоупа. Или нарушил условия программы, применил запрещенную в рамках проекта технику. Как пример, использовал социальную инженерию в программе, где разрешены только программные, технические методы атаки.
Что же выбрать
Каждый из форматов анализа защищенности приносит пользу на своем этапе развития практик информационной безопасности в компании. Важен поэтапный подход — от более простого к более сложному — и тщательная подготовка к применению каждого следующего способа проверки. Это позволит минимизировать финансовые издержки, получить максимальный результат.
При этом формат кибериспытаний выглядит логичным шагом для зрелых с точки зрения ИБ компаний, которые хотят защититься не просто от киберугроз и уязвимостей, а от полноценных «черных лебедей» — их никто и никогда не ждет, но они неизменно «прилетают». Пусть лучше это будет контролируемой атакой этичных хакеров, чем полноценным инцидентом кибербезопасности с масштабными последствиями.
