29 августа 2023 г.

Современные ИТ стремительно становятся триедиными: сегмент «инфобеза» активно движется в сторону превращения в отдельное направление ИТ, столь же своеобразное, как «хард» или «софт». Границы между этими составляющими в ряде случаев оказываются условны: например, внутри «харда» есть свой «софт» (например, микропрограммное обеспечение), а инфобез пронизывает все компоненты ИТ, так как уязвимости могут оказаться и в программном обеспечении, и в электронных компонентах, например, в процессорах. В качестве одного из сценариев развития событий аналитики предполагали такой вариант примерно год-полтора назад, теперь это становится реальностью.

Соответственно, происходящее в инфобезе, ставшем самодостаточным, нужно рассматривать отдельно. Начнем с изменений в инициативах государства, связанных с ИБ.

Инфобез — часть «цифровой трансформации»

Минцифры вводит в рейтинг «цифровой трансформации» госорганов новый дополнительный параметр: информбезопасность. Это означает, как сообщает «КоммерсантЪ», что теперь ведомства — как федеральные, так и региональные — должны будут регулярно предоставлять информацию о мерах по защите своих ИТ-систем.

Среди параметров, которые будут учтены в этой «оценке внутри оценки», будет наличие структурных подразделений, ответственных за обеспечение информационной безопасности, импортозамещение в сфере кибербезопасности, проведение мероприятий для оценки уровня защищенности систем и т. д. Интересно, что к мероприятиям для оценки уровня защищенности уже отнесен, например, Bug Bounty — тестирование систем на проникновение «белыми хакерами» — несмотря на наличие определенных разногласий, касающихся этого инструмента, между Минцифры и силовыми структурами.

Новый модный инструмент

В настоящий момент Bug Bounty является модным форматом тестирования уровня защиты инфраструктур, упорядочивающий взаимодействие в этом вопросе корпоративных заказчиков и коммьюнити «белых хакеров». По сути, это «Uber для пролонгированных пентестов», в рамках которого на специализированных площадках компании-заказчики выставляют предложения на поиск уязвимостей, стать исполнителями могут зарегистрированные на той же платформе частные лица, выступающие «белыми хакерами». Платформа формализирует ряд процедур, в частности, легализирует деятельность «белых хакеров», упрощает получение вознаграждений за найденные уязвимости и т. д.

«Bug bounty позволяет на практике убедиться в реальной защищённости любой информационной системы благодаря участию большого количества этичных хакеров с разным опытом и навыками», — уверен Ярослав Бабин, директор продукта Standoff 365.

Глобальные платформы для Bug Bounty возникли чуть раньше, российские — чуть позже, работы по созданию последних были начаты чуть более двух лет назад. Актуальность российских платформ была вызвана особенностью локального рынка — государственные и бюджетные организации, составляющие значительную долю потенциальных заказчиков услуг «белых хакеров», по понятным причинам не могли размещать заказы на глобальных платформах. Сейчас глобальные платформы ушли с российского рынка, благодаря чему все 3 ключевые российские публичные платформы Bug Bounty — созданные VK, Positive Technologies и BI.ZONE — получили определенный бустер.

Bug Bounty как показатель зрелости рынка

Год назад на трех российских платформах были представлены всего 5 компаний-заказчиков, а сейчас только на BI.ZONE Bug Bounty 17 организаций разместили 51 публичную программу для «белых хакеров».

«Если два года назад к Bug Bounty относились как к экспериментальному инструменту, то сейчас такие платформы завоевали доверие со стороны не только бизнеса, но и государства», — говорит Евгений Волошин, директор по стратегии BI.ZONE.

В российских условиях наиболее активный интерес к Bug Bounty проявляют компании из финансового сектора: на них приходится 37% спроса на услуги багхантеров, по данным BI.ZONE. Тренд на особую востребованность Bug Bounty со стороны финансовых организаций совпадает с общемировым.

Заметим, что российские банки создавали частные платформы для «белых хакеров», но с появлением платформ публичных стали пользоваться их возможностями.

«Мы уже много лет развиваем собственную программу Bug Bounty, а выход на публичные платформы позволил расширить аудиторию багхантеров и обеспечить более тесное и эффективное сотрудничество», — Дмитрий Гадарь, вице-президент, директор департамента информационной безопасности в банке «Тинькофф».

Однако на исследование защищенности в таком формате растет спрос и со стороны других игроков рынка: ритейла, сервисов электронной коммерции и т. д. Подключаются платформенные решения, а использование инструмента становится элементом имиджа крупных структур.

«Bug Bounty для нас — это прежде всего открытость, внимание к защите данных и забота о будущем компании», — говорит Кирилл Ильин, директор департамента безопасности в «СберАвто», также сотрудничающего с BI.ZONE Bug Bounty.

Новый формат поиска уязвимости используют даже вендоры операционных систем. В ГК «Астра» уверены, что Bug Bounty может принести более весомые результаты, чем классический анализ защищенности, при этом креативно подходя к использованию инструмента: «Мы готовы платить не просто за найденные ошибки, а именно за реализацию недопустимых событий, — говорит Илья Сивцев, генеральный директор ГК „Астра“. — Это подход, который в России еще почти никто не практиковал».

Форматы бывают разными

Подчеркнем, что формат Bug Bounty не отрицает применения классического пентеста — обращение к коммьюнити через платформы и привлечение для тестирования команд профессиональных пентестеров органично дополняют друг друга. Как отметили выступающие на OFFZONE, международной конференции по практической кибербезопасности, стоимость найденной уязвимости пентестерами оказывается в 4-6 раз выше, чем обнаруженной багхантерами. Однако в ряде случаев это оказываются разные уязвимости, так что не стоит эти два инструмента противопоставлять друг другу.

Заметим, что сейчас набирает тренд использования и других форматов поиска уязвимости. Например, для этого привлекают команды киберкриминалистов. Обычно специалисты по «Цифровой криминалистике и реагированию на инциденты» (Digital Forensics and Incident Response, DFIR) вступают в действие, когда инцидент уже произошел, то есть безопасники и специалисты SOC в очередном раунде проиграли хакерам, а теперь надо выяснить, как именно развивались события, куда хакерам удалось проникнуть и какой ущерб нанести. Но есть и другие варианты, например, киберкриминалистов привлекают для выявления следов компрометации ИТ-инфраструктуры (Compromise Assessment) компании.

Этот формат работы можно назвать «пентестом наоборот» — в ходе этих действий киберкриминалисты ищут в системе уязвимости, но опосредованно: разыскивая в ИТ-инфраструктуре следы от ранее выполненных проникновений. В ряде случаев эти следы приводят к незакрытым уязвимостям или слабым местам в ИБ-структуре, что и нужно заказчику в данном случае. Заметим, что работы в формате Compromise Assessment также не противоречат другим формам анализа защищенности, ни Bug Bounty, ни традиционным пентестам.

Вместо заключения

Российский сегмент инфобезопасности развивается в условиях санкций наиболее активно и предсказуемо. Экспертиза российских компаний из сегмента кибербеза существенно ближе к мировому уровню, чем вендоров софта и аппаратных решений. Например, среди разработчиков или создателей компьютеров нет компаний с известностью, сравнимой с «Касперским» или InfoWatch. Тут, конечно, тоже не все гладко, но присутствуют возможности для доведения санкционно-устойчивого спектра профильных товаров и услуг до охвата всех направлений кибербеза. Правила для локального рынка, определяемые внешними особенностями момента, действиями законодателей и регуляторов, тоже вполне понятны.

Однако и здесь для развития сегмента до глобального уровня требуется ресурсы: время, действия игроков рынка и активное сотрудничество с госорганами. Например, с упомянутым Bug Bounty еще решены не все вопросы: Минцифры предложило внести это понятие в российское законодательство еще в 2022 году, но инициатива вызвала опасения силовых структур, связанные с возможным несанкционированным доступом к важным данным, в результате соответствующий законопроект пока еще не был принят. Заметим, что работа над ним идет, поэтому в обозримом будущем принятие состоится, что расширит возможности нового формата тестирования на российском рынке.

Источник: Александр Маляревский, внештатный обозреватель IT Channel News