Bug Bounty (BB) — набирающая популярность практика для выявления уязвимостей, которую все чаще крупные корпорации выбирают для проверки устойчивости своей информационной безопасности. О том, как «белые хакеры» помогают находить потенциальные уязвимости, рассказывает генеральный директор компании Innostage Айдар Гузаиров.
Бизнесу нужна «проверка боем»
Программы Bug bounty работают вот так: заказчик проверки публично объявляет о начале проекта и устанавливает уровень материального вознаграждения за обнаружение уязвимостей в своем ИТ-ландшафте. В таких программах участвует широкий круг специалистов по ИБ, в том числе «белые хакеры», они же — багхантеры или «этичные хакеры». Выявляется все: от стандартных XSS-атак и SQL-инъекций до более комплексных проблем на уровне конфигурации и архитектуры ИТ-систем или процессов.
Важно не путать bug bounty с пентестом, который представляет собой упорядоченную и контролируемую атаку на ИТ-систему. В отличие от программ BB, часто имеющих длительный, а иногда и постоянный характер, пентестинг выполняется в строго определенное время.
Привлечение к поиску уязвимостей широкого круга багхантеров — отличная возможность посмотреть на ИБ с другого ракурса. Так достигается большая результативность, чем после внутренних и экспертных пентестов, ведь оплата производится только за реально найденные уязвимости и при соблюдении оговоренных офертой условий.
Как подготовиться к Bug Bounty
Успешно проведенная программа BB помогает бизнесу улучшить свой уровень ИБ и повысить статус на рынке, а также привлечь внимание к своим продуктам со стороны специалистов и потенциальных инвесторов. Она поможет снять такие традиционные боли CEO, как отсутствие прозрачности и контроля над ИБ-процессами, а также обезвреживание «замедленных бомб» — уязвимостей, пока не дававших о себе знать.
Однако совершенно точно не стоит проводить программы bug bounty «для галочки» или просто потому, что так делают другие участники рынка. Перед тем, как принять решение о запуске BB, нужно тщательно подготовить свою инфраструктуру, повысить квалификацию ИТ- и ИБ-команды, внедрить принципы продвинутой цифровой гигиены среди сотрудников и подрядчиков.
Без подготовки привлекать «белых хакеров» не только бесполезно, но и рискованно с точки зрения финансового и репутационного ущерба. Чем больше уязвимостей будет выявлено — тем больше средств нужно выплатить багхантерам, а большой объем «находок» укажет на то, что клиенты и партнеры, взаимодействовавшие с компанией, могли оказаться под угрозой хакерских атак.
Поэтому при подготовке следует также выполнить базовые требования к киберустойчивости, где мы выделяем пять основных этапов.
- Оцениваем уровень киберустойчивости компании с анализом ситуации, состояния ИТ-инфраструктуры, используемых систем и приложений, а также выявления потенциальных точек проникновения. Этап включает создание модели оценки негативного влияния на основе лучших международных и российских практик, опробованную при проведении ИБ-аудитов.
- Актуализируем дизайн целевой архитектуры и выявляем взаимосвязь артефактов.
- Трансформируем инфраструктуру, определяя важность каждого объекта защиты и внедряя меры безопасности на практике. Здесь же производятся тестирования систем на устойчивость и восстановление после сбоев.
- Регулярно обучаем сотрудников, многократно проверяя их на «устойчивость» к фишингу и другим методам хакеров. Команду ИБ регулярно отправляем на киберучения: оттачиваем навыки работы с СЗИ, координации и командного взаимодействия на киберполигоне.
Проводим независимую оценку устойчивости отдельных систем и организации в целом при помощи внешних пентестов и запуска bug bounty.
Чем рискует бизнес
Риски могут возникнуть в любом проекте, даже если он классно подготовлен. Наиболее распространенные среди них — технические: есть вероятность возможного раскрытия чувствительной информации, а также случайного или намеренного нанесения вреда ИТ-активам. Такие риски минимальны при использовании специальных платформ bugbounty, через которые происходит взаимодействие «белых хакеров» с заказчиками.
Кроме того, подготовка и выход на bug bounty для технической команды нередко означает пересмотр устаревших подходов и перепроектирование архитектуры. А это — дополнительные финансовые и временные затраты на дооснащение, повышение квалификации сотрудников и внутренние проверки, переход на более высокие стандарты работы с повышенными обязательствами по обеспечению ИБ.
В ряде случаев вскроется внутренний конфликт между департаментами ИТ и ИБ, связанный с разницей в подходах к обеспечению работы. Может возникнуть и протест против выполнения дополнительных задач, которые еще вчера были необязательными. Даже для нас, как ИБ-компании, специализирующейся на кибербезопасности и имеющей отлаженные технологические процессы в этой сфере, подготовка инфраструктуры для публикации на платформе BB заняла девять месяцев.
Наконец, еще один вызов в рамках BB — привлечение и мотивация багхантеров. Сегодня в России только начинает формироваться процесс легитимизации «белых хакеров» на законодательном уровне. С ростом роли киберустойчивости компании должны поднимать планку вознаграждения для тех, кто готов обнаружить цифровые уязвимости и реализовать учебные инциденты в их инфраструктуре. Проверка в «плюшевом режиме», то есть щадящими, малоэффективными инструментами взлома — не то, к чему нужно стремиться.
Если цель — преодолеть хрупкость и получить «бронежилет ИБ», значит его защитные свойства должны проверяться реальным оружием, а не пневматикой или травматическим пистолетом.
Профессиональные программы, которые применяют опытные «белые» хакеры — такой же вредонос, как и то, что стоит на вооружении злоумышленников. Такое ПО запрещено, его использование и распространение — уголовно наказуемо, и пока тут для «белых хакеров» никакие исключения не делаются, что не способствует созданию «кибербронежилетов».
Как измерить результативность bug bounty
Компании могут измерять эффективность программы BB по таким метрикам, как количество и критичность обнаруженных уязвимостей, время на их поиск и устранение, размер выплаченных вознаграждений. Можно сопоставить затраты и полученные результаты с ценником услуг профессиональных пентест-команд. Среди косвенных признаков успеха или провала BB-программы — количество привлеченных исследователей, их отзывы.
Ориентируясь на кейсы с реальными взломами, можно попробовать подсчитать возможный ущерб, который нанесли бы компании хакеры, если обнаружили уязвимость раньше багхантеров. Если проверяются отдельные сервисы, то надо оценивать такие долгосрочные эффекты, как улучшение безопасности продуктов.
Еще одной значимой шкалой оценки является повышение спокойствия CEO: после успешно прошедшей проверки на киберустойчивость можно быть по-настоящему уверенным в том, что компания не подвергает опасности себя, клиентов и бизнес-партнеров.
Не стоит подходить к bug bounty с позиций максимализма. Если багхантеры нашли уязвимость — это не кризисная ситуация, а положительный результат. Он дает понимание, что в текущем моменте наиболее хрупко, и как это исправить. Рано или поздно до этого недочета добрались бы реальные хакеры, разрушив как ИТ-инфраструктуру, так и репутацию компании.