"Белым" хакерам - зеленый свет
Программа поиска уязвимостей Mail.ru Group работает на платформе для экспертов по кибербезопасности HackerOne с 2014 г. Она помогает исследователям найти недостатки в системе безопасности и устранить их до того, как их обнаружат злоумышленники. Масштабная программа охватывает практически все проекты экосистемы VK (которую развивает Mail.ru Group), позволяя повысить их защищенность.
Размер вознаграждения за обнаруженную уязвимость зависит от ее критичности. Выплаты варьируются от $150 до $40 тыс., а самая дорогая уязвимость из заявленных в программе оценивается в $55 тыс. - это один из самых высоких показателей на ИТ-рынке.
Mail.ru Group выплачивает вознаграждения исследователям каждую неделю. Всего с момента запуска принято почти 5000 отчетов от чуть более чем 3400 исследователей безопасности.
Отметим, что HackerOne - популярная среди экспертов по компьютерной безопасности платформа, благодаря которой исследователи всего мира могут сообщить компаниям о найденных уязвимостях и получить за это вознаграждение. В программе участвуют такие организации, как PayPal, Twitter, Goldman Sachs, Пентагон, и сотни других.
"Программа поиска уязвимостей - важный инструмент обеспечения безопасности, который мы активно используем. Это сродни регулярному прохождению диспансеризации: чем чаще ты ходишь к опытным врачам - тем больше шансов, что все возможные проблемы со здоровьем отлавливаются на ранней стадии и не приводят к кризису. С нами сотрудничают лучшие эксперты со всего мира. Они помогают нам в обнаружении малейших угроз безопасности и получают за это заслуженную награду - не только деньги, но и признание в сообществе. Над устранением всех обнаруженных уязвимостей мы работаем максимально оперативно, что позволяет поддерживать высокий уровень безопасности наших продуктов. Это мировой стандарт", - отметил руководитель программы поиска уязвимостей Mail.ru Group Алексей Гришин.
В пресс-службе Mail.ru рассказали, что большая часть репортов имеют небольшую критичность, их можно отнести к best practices violation, то есть они не несут прямых рисков для пользователей, но поскольку программа "баг баунти" охватывает огромное количество проектов, встречаются уязвимости практически всех типов. Представитель пресс-службы сообщил, что, помимо HackerOne, Mail.ru сотрудничает с площадкой BugCrowd. "Мы постоянно расширяем и область действия программы, и увеличиваем вознаграждение в старых областях, за время действия программы вознаграждения за некоторые уязвимости выросли в 20 раз и более. Программе Bug Bounty более семи лет, и если первый миллион мы потратили за шесть лет, то второй - всего за год", - объяснили в пресс-службе Mail.ru.
В пресс-службе "Яндекса" рассказали, что у них есть своя программа по поиску уязвимостей - "Охота за ошибками", в которой может принять участие любой пользователь за вознаграждение.
Директор департамента информационной безопасности компании Oberon Евгений Суханов объяснил, что практика открытого тестирования на защищенность системы заказчика пришла в Россию из опыта западных компаний. Особенно это актуально, по его мнению, для тех компаний, активы которых имеют публичный доступ и массово используются. К ним относят социальные сети, масс-маркет, финансовые организации.
Для промышленности, по оценке Евгения Суханова, актуально проведение закрытых тестирований на проникновение с привлечением white team. На его взгляд, такое сотрудничество будет только расти, потому что каждая команда использует свои методы тестирования и получения результата, заказчик в итоге получает более широкий взгляд на свою защищенность.
"Значимость "белых" хакеров в целом довольно уникальна. Такие команды зачастую узконаправлены и работают в своей нише и со своими особенностями. Для заказчика услуг важно получить весь спектр рисков с защитой информации и активов, а также варианты устранения выявленных уязвимостей. Так как мускулы растут в драке, наилучшего способа не найти", - подчеркивает Евгений Суханов.
Руководитель направления аудита и консалтинга Group-IB Андрей Брызгин подчеркивает, что сотрудничество с "белыми" хакерами все шире распространяется на российском рынке в силу того, что после начала массовой автоматизации и информатизации киберпреступники активизировались. Речь идет как о шифровальщиках, так и о прогосударственных АРТ-группах. Круг компаний, готовых вкладываться в защищенность своих приложений и инфраструктур, по мнению Андрея Брызгина, растет каждый год. "При этом стоит отметить, что некоторые компании выбирают более классический вариант - выделение функции по защите своих информационных активов внутри собственной организации или ее частичный или полный аутсорсинг профессиональному игроку рынка информационной безопасности, другие же пытаются штурмовать сферу "модного" сейчас Bug Bounty-формата. И вторые далеко не всегда выигрывают от такого решения. Суть Bug Bounty - вознаграждение за нахождение уязвимостей - заключается в предоставлении организатором программы неограниченному кругу участников возможности по изучению информационных ресурсов организатора и оплате найденных и описанных уязвимостей согласно заранее сформулированным правилам программы", - сообщает Андрей Брызгин.
Исходя из сути программы, по оценке эксперта, среди достоинств такого подхода можно выделить следующие достоинства: формат оплаты за фактический результат, что может помочь организатору сэкономить на анализе защищенности; возможность получить анализ собственных систем от специалистов достаточно высокого уровня; наличие на проекте "многих пар глаз", что способствует всестороннему анализу систем.
К недостаткам Андрей Брызгин причисляет сложность контроля действий участников программы и отделения их воздействий от возможных кибератак, протекающих параллельно; сложность фильтрации обращений от участников программы, связанная с разными подходами к описанию найденных уязвимостей и к оценке их критичности; сложность осуществления выплат, связанная как с необходимостью бюджетирования программы (итоговый бюджет может существенно отличаться от планового и, как правило, в сторону увеличения), так и с желанием некоторых участников сохранить собственную конфиденциальность; неизбежность конфликтных ситуаций в случаях, когда об одной и той же уязвимости сообщают несколько исследователей в короткий промежуток времени, а программа подразумевает выплату только нескольким первым сообщившим; сложность, граничащая с невозможностью оценить профессиональный уровень участников, откликнувшихся на открытое приглашение в программу.
"Таким образом, для формирования собственной программы Bug Bounty компания-организатор должна обладать серьезными компетенциями в сфере информационной безопасности, иметь постоянную команду реагирования на инциденты и команду аналитиков, способных работать с постоянным потоком сообщений о найденных уязвимостях и оценивать качество работы участников программы. Это достаточно серьезный уровень подготовки, который подразумевает и длительную историю проведения тестов на проникновение собственными силами или с привлечением профессионального подрядчика", - говорит Андрей Брызгин.
Руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин отмечает, что на данный момент компаний, которые сотрудничают с этичными "белыми" хакерами, не так много, но каждый год появляются новые. "Так, недавно на платформу HackerOne (площадка, которая объединяет исследователей безопасности и компании, заинтересованные в тестировании своей защиты) пришли российские банки, например "Тинькофф". Еще из последних - AliExpress Russia, "Ситидрайв" и Ozon. Как видно, это организации из разных отраслей, но общее у них в том, что большая доля их бизнеса связана с онлайном. Поэтому я считаю, что в ближайшее время мы увидим еще больше компаний, которые будут сотрудничать с этичными хакерами. Например, принять участие в нашей кибербитве The Standoff могут с одной стороны исследователи безопасности со всего мира, а с другой стороны производители ПО могут стать технологическими партнерами киберполигона - предоставить свои продукты для тестирования и проверить их на "прочность". Исследователи получают новый опыт и вознаграждение, а вендоры - огромный опыт и данные, как могут действовать реальные хакеры, какие уязвимости содержит их разработка, да и в целом оценить, как система работает в экстренных условиях", - рассказал Ярослав Бабин.
Генеральный директор ITGlobal.com Security Александр Зубриков объясняет, что "белых" хакеров по-другому называют пентестерами, от слова pentest-тестирование на проникновение. По его словам, задача пентестеров - сымитировать хакерскую атаку и найти слабые места в информационной инфраструктуре заказчика. Александр Зубриков считает, что на данный момент популярность данной услуги на российском рынке растет, поскольку, пентестеры позволяют не только найти уязвимости со стороны внешнего злоумышленника, но и показать, к каким последствиям могут привести действия внутреннего злоумышленника. "Для того чтобы качественно провести пентест, специалист должен обладать знаниями из области информационной безопасности - кстати, данное направление в технических вузах становится все популярней. Я считаю, что значимость пентеста будет только расти, поскольку киберпреступления очень быстро развиваются. Количество хакерских атак растет с каждым годом, особенно в финансовой сфере. Это заметно по выросшему спросу на услугу пентеста среди как финансовых организаций, так и других компаний, стремящихся устранить риски денежных и репутационных потерь", - говорит Александр Зубриков.