Эволюция управления уязвимостями: когда багбаунти заменит пентест?

Подходы к поиску уязвимостей в информационных системах и исследованию киберзащищенности организаций постоянно развиваются. Раньше компании использовали в основном привычное тестирование на проникновение (пентест). Этот метод подразумевает под собой моделирование кибератак злоумышленников и подтверждение возможности нанести организации ущерб в ходе реальной атаки. Обычно пентесты проводят в течение 2-4 недель силами команды из 3-5 специалистов.

Сегодня различные организации все чаще предпочитают более прогрессивный метод — программы багбаунти, то естьпоиск уязвимостей силами независимых исследователей за вознаграждение. Такие программы можно проводить на протяжении длительного времени, привлекая потенциально неограниченный круг белых хакеров с разным опытом и инструментарием. Так, на российской платформе Standoff Bug Bounty, количество программ багбаунти увеличилось с двух на старте в мае 2022 года до более чем 70 на сентябрь 2024 года. За два года после запуска платформы ее клиенты приняли от исследователей более 2200 уникальных отчетов и выплатили в качестве вознаграждений за найденные уязвимости более 100 млн рублей. Чтобы разобраться в преимуществах нового подхода и его перспективах, мы поговорили с Юлией Вороновой, директором по консалтингу Positive Technologies.

Действительно ли пентест утратил свою актуальность?

Проблема не в пентесте как таковом. Это важный и полезный способ проверки защищенности инфраструктуры организации от киберугроз. Пентест помогает ответить на вопрос: можно или нельзя взломать компанию, однако сегодня это не самый эффективный метод. И многие компании по-прежнему используют его для проверки своих систем, даже в том случае, когда у них параллельно запущена программа багбаунти. Но инфраструктура увеличивается, сети становятся сложнее, а кибератаки — более целенаправленными. Киберпреступники нередко оказываются на шаг впереди с точки зрения применяемых техник и инструментария. В результате этой гонки эволюционируют и методы исследования защищенности: поэтому на смену пентестам приходят более эффективные способы, такие как багбаунти.

А в чем основные проблемы пентестов?

Пентест — это сервис, который полностью зависит от квалификации специалистов. Но часто у них просто нет достаточных навыков, необходимых для реализации полноценного сценария атаки. И на старте объективно оценить квалификацию исполнителя достаточно сложно, особенно когда в России нет сертифицирования. Поэтому часто клиенты выбирают исполнителей, основываясь на его репутации. Но назвать этот параметр объективным ­— сложно. И не менее сложно — объяснить отделу закупок стоит выбрать компанию с более дорогой стоимостью услуг, основываясь только на репутации часто бывает проблематично. Поэтому, по формальным признакам, им приходится выбирать тех, кто утверждает, что они могут реализовать все поставленные задачи.

В целом, квалифицированных команд исследователей безопасности с хорошими навыками и репутацией очень мало. Предложение такого рода услуг совершенно не соответствует огромному спросу. На рынке просто нет для этого достаточного количества исполнителей.

И при всем при этом, эти работы очень сложно объективно оценить. Предположим, исполнители не смогли реализовать ни одного сценария атаки и сдают пустой отчет. И вы просто не сможете подтвердить, что исполнитель действительно пытался реализовать поставленную перед ним задачу.

Такие пустые отчеты становятся большой проблемой. Кому-то они могут внушить ложное ощущение безопасности, кто-то может решить, что заниматься безопасностью больше не нужно, потому что "нас нельзя пробить".

Что же делать тем компаниям, которые не могут себе позволить действительно качественный пентест или red team?

Если у вас нет возможности нанять команду проверенных пентестеров, тогда нужно запускать багбаунти и платить исследователям ИБ на платформе вознаграждение только за найденные и верифицированные уязвимости или реализацию векторов атак. В этом случае вы платите уже за реально существующий изъян, а не просто за время исполнителей с непонятной квалификацией, как при пентесте. В последнее время развивается новый формат багбаунти, который среди прочего позволяет оценить возможность реализации крайне нежелательных событий, реализация которых может нанести бизнесу серьезный ущерб.

Например, два года назад наша компания первой призвала багхантеров за награду в 10 млн рублей не просто обнаружить уязвимости, а попробовать украсть деньги со счетов компании. В 2024 году вознаграждение увеличилось до 60 млн рублей, а задача была усложнена — в качестве реализации второго крайне опасного для бизнеса события "белым" хакерам предложили заложить в продукты компании условно вредоносный код. Но пока никому так и не удалось приблизиться к решению задач нашей программы, несмотря на рекордную награду.

Однако в июле 2024 года одному из белых хакеров удалось реализовать одно из промежуточных событий в рамках другой программы со схожим сценарием, которую запустила компания Innostage. В результате успешной фишинговой атаки он смог завладеть учеткой одного из ее сотрудников. И хотя исследователю не удалось закрепиться на корпоративной рабочей станции, он получил награду в 100 тысяч рублей. Сегодня проведение тренинга и учебных фишинговых атак обойдется как минимум в полмиллиона рублей. При этом сложно будет оценить его реальную эффективность. В этом же случае за успешный и, кстати сказать, очень нетривиальный фишинг заказчик заплатил значительно меньше.

Почему организациям выгодно запускать багбаунти?

Нанять хороший red team, например на год, обойдется компании в круглую сумму. Если это организовать, то специалисты будут регулярно испытывать вашу инфраструктуру в непредсказуемое время, а также будут постоянно держать в тонусе вашу команду по ИБ. Но нанимая red team, вы оплачиваете время специалистов. К тому же, обеспечить правильную ротацию кадров и команды внутри проекта, а это обязательно условие для непрерывного квалифицированного исследования — могут позволить единичные компании. И это очень дорогое удовольствие. Если в штате 5-10 человек, они не смогут год работать на одной инфраструктуре, они очень быстро выдохнутся. Чтобы работать нон-стоп, нужно иметь очень большую команду, потому что должна быть постоянная ротация, чтобы у исследователей не замыливался взгляд, не заканчивались стили, техники и методы. В нашей команда таким анализом защищенности занимается 130 человек, и мы можем эту ротацию обеспечить. Это очень много. Обычно в компании работает 5-10 пентестеров, которых хватит на несколько месяцев, дальше эффективность их работы будет снижаться.

А формат багбаунти означает, что "ломать" вас будут неограниченное число багхантеров непрерывно, и, что важно, безвозмездно, а заплатить исследователям нужно будет только в том случае, когда им на самом деле удастся найти баг или подтвердить возможность реализации опасного сценария.

Кроме того, к поиску уязвимостей и исследованию различных векторов атак, включая сценарии реализации неприемлемых для компании событий, потенциально могут подключиться многие тысячи исследователей с различными навыками, техниками и инструментами. На платформе Standoff Bug Bounty, например, сегодня зарегистрировано уже более 14 тысяч белых хакеров. Багбаунти могут проходить на протяжении длительного времени, круглые сутки в режиме нон-стоп, а отчеты об опасных находках компания будет получать сразу же, по мере их выявления.

Например, многие компании регулярно проводят тестирования безопасности своих систем, тем не менее эти компании все равно запускают программы багбаунти. Такие программы не заменяют пентесты, но дополняют их, обеспечивая независимую оценку систем силами тысяч независимых исследователей и помогая предотвращать потенциальные инциденты до их возникновения. Учитывая, что оплачиваются только найденные уязвимости, затраты по сравнению с пентестами снижаются, а постоянный мониторинг и свежий взгляд извне позволяют быстро адаптироваться к новым угрозам.

Багбаунти набирает обороты. Однако всем ли компаниям подходит этот метод?

Уровень защищенности большинства организаций остается очень низким. По итогам пентестов, проведенных нами в 2023 году, в 96% случаев компании оказались уязвимы перед злоумышленниками. В среднем специалистам потребовалось 10 дней для получения доступа в их локальную сеть, а самое быстрое проникновение произошло в первый же день начала работ. Тем не менее запуск багбаунти для поиска наиболее опасных уязвимостей остается рабочим вариантом и для таких организаций.

В случае проведения пентестов они получили бы в один момент огромный отчет с информацией о множестве уязвимостей, от которых нужно срочно избавляться. Багбаунти же позволяет сделать процесс более плавным и комфортным для корпоративной службы кибербезопасности. Компании могут запустить свою программу поиска уязвимостей с минимальной ценой за баги и, постепенно повышая размер вознаграждения, шаг за шагом выстраивать процессы латания дыр в своей инфраструктуре. Таким образом, правильно расставляя приоритеты, они могут реально укрепить свою киберзащищенность и реально сэкономить деньги.

В первые полгода — год на платформе багбаунти рекомендуем компаниям запускать приватную программу. Для начала нужно выстроить внутренние процессы и научиться работать с потоком отчетов. Кроме того, не всегда компании готовы публично говорить о том, что недопустимо для их бизнеса. Есть случаи, когда наши клиенты сначала запускают открытую программу багбаунти, а уже затем добавляют приватную историю исследования критически опасных событий, за реализацию которых они платят больше.

По нашим оценкам, хорошая программа багбаунти может обойтись в 1,5 – 2 млн рублей. При этом среди клиентов нашей платформы есть компании, которые за все время проведения багбаунти выплатили за сотни валидных отчетов всего 500 тысяч рублей в качестве вознаграждения. За такую сумму сегодня анализ защищенности точно не купишь.