По всей видимости, хакеры готовятся устроить российскому бизнесу жаркое лето. В последнюю майскую неделю факт поражения шифровальщиками публично признали как минимум две компании.
В случае с крупным логистическим оператором трёхдневный «паралич» деятельности, по оценкам экспертов, обернулся для компании убытком близким к миллиарду рублей. Ущерб для второй атакованной компании — интегратора ПО — не менее высок: под угрозой многие организации, для которых она выступает подрядчиком и технологическим партнёром. Как противостоять «красному трафику»? Мнение технического директора Innostage Антона Кузьмина.
Чтобы победить хакера, надо думать как хакер
Современная реальность такова, что бизнесу надо быть круглосуточно готовым к кибератакам, причём это такое сражение, где у врага есть преимущество: он видит мишень для атаки, а сам остаётся при этом в тени. Чтобы уравнять шансы, надо думать как хакер и по возможности опережать его минимум на шаг. Сфера кибербеза активно работает в этом направлении.
Инструментов становится всё больше: пентест, баг-баунти (читайте материал Anti-Malware.ru — «Bug Bounty: как белым хакерам заработать в России на поиске уязвимостей»), верификация недопустимых событий, Red Teaming и Purple Teaming... Все они так или иначе нацелены на проверку и усиление кибербезопасности. Но для руководителя и собственника бизнеса всё перечисленное — зачастую просто набор непонятных терминов. Из отчёта по пентесту он делает одни выводы, результаты баг-баунти могут показать что-то ещё... Выглядит примерно как в притче, где представление о слоне складывалось после ощупывания его ушей, хвоста и хобота.
Всё, что на самом деле хочет знать CEO, — как реально проверить, что компания защищена. Именно эту тему мы недавно вынесли на большую дискуссию в рамках PHDays 2.
Не стоит ожидать, что руководитель компании погрузится в детали обеспечения кибербезопасности. Его заботят главным образом стоимость цифровых бизнес-рисков и ценообразование услуг, которые позволяют объективно оценить и минимизировать эти самые риски.
Есть слона... целиком
По моему убеждению, учесть преимущества большинства видов проверок на цифровую устойчивость и изучить (а может, и съесть — кому какая метафора ближе) слона целиком позволяет такой комбинированный инструмент, как открытые кибериспытания (КИ). Это относительно новый формат, находящийся в процессе становления, который помогает оценить уровень защищённости компании в деньгах.
Это общая отраслевая инициатива, поддержанная «Фондом Сайберус», ИТ-компаниями и экспертами. Среди главных «двигателей прогресса» — лидеры в сфере результативной кибербезопасности: Positive Technologies и Innostage.
Авторитетные представители профессионального ИТ-сообщества составили первую версию методики с базовыми правилами проведения кибериспытания, которые будут дорабатываться и улучшаться по мере появления новых кейсов по оценке защищённости компаний. Методика поддержана экспертным советом, в который вошли представители Positive Technologies, «Лаборатории Касперского», Wildberries, «Тинькофф», 3Side и т. д. Innostage в нём тоже представлен автором этих строк. Члены экспертного совета будут следить за ходом проведения кибериспытаний, оценивать эффективность и полноту работы хакеров, выносить итоговое заключение по результатам исследования, а также поддерживать развитие методики. Орган работает как саморегулирующаяся организация: эксперты сами определяют, кто достоин находиться в совете. И самое главное — это группа единомышленников, которые не делают вид, что всё защищено, а открыто признают отраслевые проблемы и необходимость изменений.
По мнению генерального директора проекта «Кибериспытание» Вячеслава Левина, баг-баунти и пентест — скорее внутренние инструменты, позволяющие ИБ-специалистам проверить наличие уязвимостей для того, чтобы сделать свою защиту лучше. Соответственно, все требования к таким программам выставляются этими службами.
Я согласен с его выводом, что при наличии определённой насмотренности и при аналитическом подходе это позволяет сделать общие и зачастую субъективные выводы об уровне защищённости бизнеса. Для объективной оценки нужны понятные критерии и правила.
«Нужен некий стандарт, определяющий, что и как вы проверяете, какие есть требования к процессу и результату. С этим стандартом должны согласиться те, кто проверяет, те, кого проверяют, а также другие заинтересованные стороны — например, заказчики, бизнес-партнёры, страховые компании, регуляторы», — озвучил запросы на PHDays 2 Вячеслав Левин и добавил: «Кибериспытания как раз основываются на совместно принятом стандарте. Это история, которая помогает решить вопрос независимой оценки и ответить, насколько компания защищена и безопасна в качестве поставщика услуг».
Вы что тут, велосипед изобретаете?
Кибериспытания организовываются на такой же платформе, что и классическое баг-баунти, что может вызывать путаницу в определениях. Более того, у CEO может возникнуть ощущение, что комбо из пентеста и баг-баунти — некая маркетинговая уловка со сменой упаковки, но прежним содержимым.
На деле пентест и классическое баг-баунти — два разных подхода к поиску уязвимостей в информационной безопасности. Совместив их преимущества, можно создать третий — «супероружие» для защиты ИБ-периметра, или открытые кибериспытания.
Первый элемент — пентест (penetration testing, тестирование на проникновение) — технически организованный процесс, в рамках которого авторизованный специалист-пентестер проводит проверку целевой системы или инфраструктуры на наличие уязвимостей. Цель таких испытаний — найти и проанализировать «слабые места», которые могут быть использованы злоумышленниками для несанкционированного доступа к данным или системам. Оплачивается сам факт диагностики, вне зависимости от того, обнаружились уязвимости или нет. Образно выражаясь, это аналог УЗИ с расшифровкой результата.
Во втором компоненте — баг-баунти (bug bounty, BB) — присутствует сдельная форма оплаты труда. Это программа с выплатой вознаграждения только за найденные уязвимости в софте, веб-сайтах или других цифровых продуктах. Компании объявляют о проведении баг-баунти, чтобы привлечь независимых исследователей безопасности к поиску и предоставлению отчётов о существующих уязвимостях. Исследователи-багхантеры могут получить денежное поощрение или другие бонусы за обнаружение проблем и уведомление о них. Размер вознаграждения (он может меняться в зависимости от категории уязвимости), сроки проведения исследований и другие условия участия в BB-программе заранее анонсируются.
Теперь рассмотрим отличие баг-баунти от кибериспытаний. Оно заключается в нескольких ключевых элементах.
Во-первых, багбаунти подразумевает выплату вознаграждений за найденные уязвимости в конкретном списке систем, приложений или ИТ-ресурсов компании, которые она выставила на BB-программу, а в кибериспытаниях вознаграждение положено при реализации конкретного недопустимого события. При этом подходы к реализации НС часто не предполагают строгих ограничений рамками отдельных ресурсов, то есть точку входа можно искать в любом фрагменте ИТ-инфраструктуры. Запрещены обычно только деструктивные физические и уголовно наказуемые действия, такие как вымогательство, похищения, угрозы сотрудникам и т. д. Для сравнения: если в классическом баг-баунти участники указывают, где находится дыра в киберзаборе, то в открытых кибериспытаниях они должны ещё пролезть в эту дыру и унести либо поломать что-то ценное. Да хоть тот же велосипед.
Во-вторых, кибериспытания остаются независимыми и объективными. Компания не разрабатывает ТЗ для хакеров «под себя»: ей помогают в этом независимые представители экспертного совета, которые оценивают условия проведения исследования и уровень вознаграждения. Так можно гарантировать, что хакеры достаточного уровня квалификации вовлекутся в тестирование. Все этапы кибериспытания документируются и проверяются экспертным советом, что позволяет убедиться в точности и честности проведённой работы. Итоговая оценка защищённости выражается в деньгах, что позволяет сравнивать результаты для разных организаций.
Кибериспытать себя
Оба инструмента — и пентест, и баг-баунти — действительно помогают оперативно доработать продукт или ИТ-архитектуру, закрыв найденные баги. Но Innostage как системному интегратору нужна более передовая версия проверки, т. е. надстройка над классическим баг-баунти.
По большому счёту, мы планируем сделать себе «киберпрививку», укрепляющую иммунитет ИТ-инфраструктуры к хакерам.
Кибериспытания позволят компании начать действовать на опережение, то есть непрерывно совершенствовать свою защищённость, не дожидаясь реальных атак, а стимулируя этичных хакеров к реализации внешних угроз в рамках BB-программы.
Примерно так же, как прочность цепи определяется всё возрастающим «усилием на разрыв», кибериспытания начинаются с некоторой стартовой суммы вознаграждения, которая будет периодически расти и привлекать всё более серьёзных взломщиков вплоть до высокопрофессиональных хакерских группировок.
Сумма, которую компания выставляет в качестве награды хакерам, — важный параметр испытаний. Фактически, это уровень оценки защищённости. Если недопустимое событие не было реализовано в установленные сроки и куш не сорван, компания получает возможность объявить, что её уровень защищённости от атак соответствует такой-то сумме. Например, «наша инфраструктура защищена от атак стоимостью 1 млн рублей» или «мы защищены от атак стоимостью 150 млн рублей».
Таким образом, вознаграждение — условный индикатор типов и уровня сложности угроз, а также глубины экспертизы хакеров, от которых компания планирует защищаться.
Механика открытых кибериспытаний
Innostage — первый ИТ-интегратор, начавший открытые кибериспытания. На том же PHDays мы нажали символическую стартовую кнопку и допустили «белых» хакеров ко взлому нашей ИТ-инфраструктуры.
Мероприятие рискованное: при реализации НС мы расстаёмся с пятью миллионами рублей, да ещё и узнаем, что нас чуть-чуть не пробили реальные хакеры. 26 мая мы разместили целевую систему на платформе для исследователей безопасности Standoff365 от Positive Technologies и пригласили участников выполнить комплекс условий: найти слабые звенья цепи, воспользоваться ими для того, чтобы вывести со счетов компании сумму до 2000 рублей, затем выдать отчёт о реализации НС и получить заслуженное вознаграждение.
Периодически будет проводиться анализ промежуточных результатов. Если хакеры выполнили условия, им выплачивается вознаграждение, а техническая служба проводит разбор полётов, оперативно заделывает обнаруженные бреши и запускает проверки на наличие других уязвимостей.
Параллельно наша команда будет совершенствовать процессы влияющие на обеспечение киберустойчивости. Анализ векторов, техник и инструментов атак помогут нам посмотреть на бизнес глазами хакеров и спрогнозировать их дальнейшие действия. Собственно, всё это мы начали делать чуть раньше, выставив цифровой двойник инфраструктуры в финале кибербитвы Standoff 13. Всего за шесть часов участники нас основательно «прощупали», и это — полезный опыт.
В разы больше боевого опыта мы планируем набрать в ходе открытых кибериспытаний, которые не ограничены ни количеством участников, ни временем. Всю аналитику, полученную в ходе противодействия атакам и расследования инцидентов, мы упакуем в отраслевую экспертизу. Рассчитываю, что техническая команда Innostage, находящаяся «на передовой» открытых кибериспытаний, в дальнейшем будет оказывать услуги консалтинга и системной интеграции по построению киберустойчивой инфраструктуры для государственных и коммерческих заказчиков.
Сколько платить «белым хакерам»?
Пять миллионов, которые мы предлагаем участникам КИ, — не просто красивая цифра, эта сумма имеет финансовое обоснование. Рынок баг-баунти формируется не первый год, уже сложилась некоторая аналитика по цифрам. Так, средняя стоимость уязвимости уровня прямого входа в ДИТ (а без этого шага наше НС неосуществимо) оценивается в 2,5–3 миллиона рублей. Но это только тот этап, когда «белые» хакеры обнаруживают или создают «дыру в заборе». Всё, что сверху, — вознаграждение за умение проникнуть внутрь, обойти охрану и умыкнуть деньги.
Мы девять месяцев усиливали свою защиту и готовы заплатить семизначную сумму тем, кто объяснит, как сделать её ещё прочнее. Благодаря публикации инфраструктуры на платформе баг-баунти у нас открывается доступ к лучшим ресурсам рынка — опытным и азартным исследователям кибербеза.
Сумма в несколько миллионов — это много или нет? Думаю, те публичные компании, чьи данные были зашифрованы, с радостью откатили бы время на пару недель назад и заплатили такие деньги (и даже в разы больше) за проверку в режиме кибериспытаний. Мы понимаем, что ни одна компания не застрахована от атак, и готовы поднимать ставки, если это потребуется.
Кстати, в нашей инфраструктуре использованы ИБ-решения целого ряда российских вендоров. В их числе — Xello, «ИТ-Экспертиза», UserGate, «Нетхаб», NETAMS, «РЕД СОФТ», CyberPeak, IT Expert. Можно сказать, что хакеры попутно устраивают кибериспытания в том числе и их продуктам. Думаю, это достойное предложение за большую и глубоко экспертную исследовательскую работу. И, конечно же, главный результат таких исследований — утвердительно ответить CEO на вопрос: «а действительно ли мой бизнес защищён?».
