Как «белые» хакеры проверяют бизнес на прочность

Фото: пресс-служба

В России такая практика тоже набирает обороты. За последние два года госучреждения, промышленные, финансовые, медицинские и IT-компании, а также телеком, ретейлеры и маркетплейсы столкнулись с беспрецедентно высоким числом киберугроз. Наиболее распространенная цель кибератак — кражи клиентских баз, а также остановка внутренних бизнес-процессов.

В начале 2022 года, например, хакеры через взлом виджета статистики для отслеживания количества посетителей атаковали сразу несколько сайтов госорганов. В ходе другой были нарушены процессы работы нескольких предприятий одного из крупнейших в стране мясоперерабатывающих холдингов «Мираторг». В 2023 году были атакованы системы безопасности «Ашан Россия», Gloria Jeans и книжного магазина издательской группы «Эксмо-АСТ», сообщали сами компании. В открытый доступ попали персональные данные (номера телефонов, адреса электронной почты и доставки) нескольких миллионов клиентов.

По данным российского вендора Positive Technologies, в 2023 году число успешных атак на организации по всему миру выросло на 18% по сравнению с 2022 годом.

Из всех успешных атак на организации в 2023 году 8% пришлось на IT-компании наравне с промышленными организациями, что на 2% выше, чем в 2022-м. «IT-компании стали все чаще подвергаться кибератакам, так как, получив доступ к системам вендора, злоумышленники могут проводить атаки типа supply chain на организации, которые пользуются его услугами и продуктами», — говорит управляющий директор Positive Technologies Алексей Новиков.

Атаки такого типа опасны своей непредсказуемостью и широким охватом. Бизнес может оказаться под ударом случайно, использовав внутри своей инфраструктуры программы сторонних разработчиков и компоненты от разных вендоров, не проверив безопасность поставщиков услуг, отмечает Алексей Новиков.

Причем злоумышленникам интересны не только корпорации. Как правило, у крупного бизнеса большой штат специалистов по кибербезопасности, а также свой SOC — центр мониторинга и реагирования на киберинциденты. «Такие компании постоянно инвестируют в свою кибербезопасность, что делает их более сложной целью для злоумышленников», — говорит директор по стратегии BI.ZONE, компании по IT-безопасности, Евгений Волошин. Поэтому в качестве потенциальных жертв нередко выбираются компании малого и среднего бизнеса (МСБ), чей уровень киберзрелости ниже.

Результативная безопасность

Кибератаки достигают целей, потому что информационные активы бизнеса постоянно увеличиваются, а хакеры действуют все изощреннее, и привычные методы уже не справляются с защитой, отмечают эксперты. Наиболее зрелые в области информационной безопасности организации действуют на опережение. Для проверки своей защищенности они используют программы багбаунти (англ. «награда за ошибку»).

Суть в том, что компания предлагает тысячам независимых исследователей — «белых» хакеров со всего мира за вознаграждение найти ошибки и уязвимости в своих системах и продуктах. Выплата происходит только за реальные отчеты с найденными уязвимостями, а не за время, потраченное на их поиск. Таким образом бизнес обнаруживает свои слабые места до того, как это сделают злоумышленники.

Самые уверенные в своей киберустойчивости компании в целях проверки готовы на реализацию недопустимого события.

Например, компания Positive Technologies в 2022 году предложила багхантерам за выплату ₽10 млн не просто обнаружить уязвимости, а попробовать украсть деньги со счетов компании на площадке Standoff Bug Bounty. В 2023 году сумму выплаты подняли до ₽30 млн. В 2024 году вознаграждение выросло до ₽60 млн, и задача была усложнена — в качестве реализации еще одного недопустимого события «белым» хакерам предложили заложить в продукты компании условно вредоносный код.

Такая постановка задачи на порядок усложняет работу исследователя, поскольку ему нужно разобраться, как выстроены бизнес-процессы компании, обойти системы защиты и продемонстрировать факт хищения денег, говорит Алексей Новиков: «Это единственный способ для CISO (англ. Chief Information Security Officer, директор по информационной безопасности) и топ-менеджмента на деле убедиться в эффективности выстроенной системы защиты — последовательно определять и верифицировать недопустимые события, чтобы они были гарантированно нереализуемы». Пока «белым» хакерам так и не удалось достигнуть цели.

Реализация недопустимых событий «белыми» хакерами — новое направление в багбаунти и вершина в построении результативной кибербезопасности, считают в Positive Technologies. Компания последовательно шла к такому подходу несколько лет: определяла недопустимые для своего бизнеса события и возможные сценарии их реализации, добивалась баланса между мониторингом и усилением инфраструктуры (харденинг), создавала центр противодействия киберугрозам (ЦПК).

От обычных SOC ЦПК отличается тем, что фокусируется на обнаружении и, самое главное, на реагировании на недопустимые события, говорит Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies: «Обычно SOC отслеживают атомарные события безопасности, иногда объединяя их в цепочки событий, а недопустимые события — явления более высокого порядка. Перебросить мостик от первых ко вторым — задача нетривиальная, поэтому многие компании на данном этапе притормаживают».

Награда за ошибку

В мае 2024 года российская компания Innostage, интегратор сервисов и решений в области цифровой безопасности, с годовой выручкой 16 млрд руб. в 2023 году, тоже вышла на открытые кибериспытания на платформе багбаунти Standoff Bug Bounty с недопустимым событием. Компания приглашает этичных хакеров попытаться перевести до 2000 руб. со счетов компании — за вознаграждение до 5 млн руб.

«У нас, как у системного интегратора, огромная ответственность перед заказчиками, — говорит генеральный директор Innostage Айдар Гузаиров. — Я хочу быть по-настоящему уверенным в том, что Innostage не подвергает опасности себя, клиентов и бизнес-партнеров. Мы должны не просто защитить себя, но и не стать точкой входа для атак на другие компании, для которых являемся поставщиком. Багбаунти в формате открытых кибериспытаний дает возможность измерить, надежно ты защищен или нет».

Подготовка к кибериспытаниям заняла у компании девять месяцев и включала собственную методологию CyberYool, комплексный подход к выстраиванию киберустойчивости.

«Запустив программу на багбаунти-платформе, компания получает доступ к множеству экспертов, — говорит Евгений Волошин. — Инфраструктуру одновременно проверяет большое количество исследователей, которые применяют различные подходы и инструменты. Так багбаунти помогает выстраивать в компании процессы по устранению и отработке уязвимостей».

«Новая перевозочная компания» (входит в группу Globaltrans) вышла на багбаунти в сентябре 2023 года. Программа уже помогла компании оперативно выявить 0-day уязвимости (неустраненные уязвимости, а также вредоносные программы, против которых еще не разработаны защитные механизмы), найти ошибки конфигурирования и устранить ряд проблем.

Уход зарубежных IT-вендоров ощутимо повлиял на процесс выстраивания защиты, говорит начальник отдела информбезопасности компании Александр Шилов: «Сегодня часть зарубежного софта еще работает и обновляется, а российский софт еще не позволяет полностью качественно заместить весь функционал зарубежного». Компании, по его словам, вынуждены использовать гибридный формат решений, что усложняет работу.

Любая выплата для компании по багбаунти-программе — это не провал, а, наоборот, успех, так как ее размер несравнимо ниже, чем стоимость выкупа в случае взлома системы или продукта злоумышленниками, отмечают эксперты по кибербезопасности. Репутационные риски, которые несет компания в случае успешной кибератаки, могут составлять несколько миллионов рублей, а на восстановление доверия со стороны текущих и потенциальных клиентов может уйти не один месяц.

Как развивается «белый» хакинг в России

В 2022 году мировой рынок программ багбаунти оценивался в $1,13 млрд, по данным британской аналитической компании Precisionreports. Лидеры рынка — США и Канада.

В России рынок багбаунти только формируется, при этом 50% программ пока закрытые, а не публичные, по данным исследования TAdviser. Размер вознаграждений в российском сегменте — от нескольких тысяч рублей до нескольких сотен тысяч, реже более 1 млн руб.

Ведущие российские площадки багбаунти — Standoff Bug Bounty (компания Positive Technologies) и BI.ZONE Bug Bounty.

В общей сложности на них зарегистрировано более 11 тыс. «белых» хакеров — независимых исследователей со всего мира: более 8 тыс. и более 4 тыс. соответственно. Число участников Standoff Bug Bounty увеличилось с 1150 до 8 тыс. человек за 2023 год (включая ОАЭ, Марокко, Непал и другие страны), после того как к платформе присоединились компания VK и Минцифры.

За время работы платформы Standoff Bug Bounty общая сумма вознаграждений за обнаружение уязвимостей достигла 100 млн руб. За нахождение уязвимостей в сервисах VK, например, выплачивается до 3,6 млн руб., Минцифры и Т-банк — до 1 млн руб., Wildberries — до 500 тыс. руб., а крупнейший российский онлайн-кинотеатр Оkko готов заплатить до 200 тыс. руб. за уязвимость критического уровня опасности.

Максимальная сумма выплаты на BI.ZONE Bug Bounty составила 2,4 млн руб. за найденную критическую уязвимость.

Цифровая гигиена

Стимулом для развития кибербезопасности выступает развитие компаний, объемов и направлений ее деятельности. Так, в Wildberries два года назад начался стремительный и кратный рост бизнеса. Компания системно совершенствует свою программу багбаунти, внутренние и внешние пентесты (выявление уязвимостей путем имитации действий потенциального нарушителя), внутреннюю Red Team-команду и другие проекты защиты, рассказал заместитель руководителя отдела информационной безопасности Wildberries Андрей Иванов.

Единственно правильный принцип построения системы защиты, считают в компании, нулевая толерантность к любым уязвимостям и векторам проникновения.

В случае с шифровальщиками важно следить за новыми атаками и вирусами, а также иметь резервные копии «чувствительных» данных и систем, а лучше не одну и на разных площадках, говорит Александр Шилов.

Не менее важно инвестировать в повышение киберграмотности сотрудников. Они должны уметь самостоятельно распознавать угрозы, например идентифицировать фишинговые письма, и сообщать о них в SOC. Такая бдительность предотвращает кибератаки, которые могут привести к недопустимым последствиям.