Bug Bounty: защита корпоративных ИТ-ландшафтов на пути к легализации

По данным аналитического исследования «Гарда» за 2023 год, 42% российских компаний постоянно сталкиваются с угрозами сетевой безопасности.

Согласно отчету «Ключевые уязвимости информационных систем российских компаний» от «Ростелеком-Солар», к наиболее часто встречающимся недоработкам российских компаний в направлении ИБ можно отнести

• использование слабых паролей для учетных записей;
• внедрение SQL-кода в запросы к базе данных;
• недостатки контроля доступа;
• использование программного обеспечения c известными уязвимостями;
• выход за пределы назначенного каталога (Directory traversal).

А по информации ГК InfoWatch, в 2023 году количество скомпрометированных записей персональных данных выросло на 60% по сравнению с 2022 годом. В целом в России за год «утекло» более 1,12 млрд записей персональных данных.

Таким образом, чтобы противостоять угрозам безопасности эффективно, нужно быть уверенным в установленных в инфраструктуре организации системах защиты информации и людях, которые с ними работают.

Как надежно защитить конфиденциальные данные

Обычно для проверки эффективности систем защиты информации используют следующие подходы.

Прежде всего, это экспертная оценка, когда специалисты собирают сведения компании, анализируют процессы обработки конфиденциальной информации, работу корпоративной информационной системы, инфраструктуры, а также оценивают эффективность системы обеспечения безопасности информации. В результате, компания получает список потенциальных источников риска.

Далее происходит статистический анализ рисков, для которого необходим большой объем данных о ранее совершенных атаках — он позволяет определить, в каких местах система наиболее уязвима.

Затем прибегают к факторному анализу, при котором эксперты анализируют ИТ-системы организации и определяют, какие уязвимости необходимо срочно устранить, а какими можно пренебречь.

Также используются тесты на проникновение — пентесты (pentest), которые позволяют оценить безопасность компьютерных сетей или систем путем имитации хакерской атаки, чтобы выявить потенциальные уязвимости. Этот подход считается одним из самых успешных, но у него есть несколько существенных недостатков.

Во-первых, обычно подобные меры применяются не чаще одного раза в год. Лежащая на поверхности причина — компания длительное время работает в условиях повышенной угрозы взлома.

Во-вторых, результативность пентеста зависит от того, насколько квалифицированная команда им занимается: знаний пентестеров может попросту не хватить для полноценного анализа защищенности.

В-третьих, пентест и ред тим — это сервисы, которые оплачиваются за время, выделенное на них: при непрерывном анализе защищенности на проекте должна быть организована ротация атакующих, что потребует очень большого количества человек в команде и многократно увеличит стоимость услуги. Небольшие команды пентестеров на практике не могут эффективно обеспечивать анализ защищенности инфраструктуры — в процесс вмешивается человеческий фактор: специалисты устают, зацикливаются на уже найденных уязвимостях, у них может закончится арсенал атак.

Встает вопрос, можно ли поставить поиск ошибок и уязвимостей на поток?

Наступает время «белых хакеров»

Ответом на оба эти вопроса является программа Bug Bounty, которая подразумевает привлечение независимых исследователей безопасности, которых еще называют багхантерами или «белыми хакерами», — для поиска уязвимостей за определенное вознаграждение.

В отличие от пентестов, подход Bug Bounty не имеет четких сроков и ограничений на количество исполнителей: сотни экспертов по информационной безопасности, мотивированные денежным вознаграждением и участием в рейтинге, будут анализировать область задач, предложенную организацией, в поисках ошибок.

Искать уязвимости разного уровня опасности будут специалисты абсолютно разного уровня и использующие различный инструментарий. Однако новички с удовольствием «набьют руку» при выявлении менее критичных ошибок и заработают первые награды. Бреши в защите могут найти одновременно несколько «багхантеров», но деньги достанутся только первому. Такой принцип гарантирует пользу от вложенных в вознаграждение денег: его получают за результат, а не за время.

Что это означает для компании? — Постоянный процесс устранения уязвимостей, бесконечная «закалка» инфраструктуры, которая поднимет на порядок как уровень ее защищенности, так и компетенции сотрудников, которые будут заниматься устранением ошибок.

Стоит отметить, что обнаружение уязвимостей на этапе разработки или тестирования позволяет существенно сократить затраты на устранение инцидентов. Исправление уязвимостей на более ранних стадиях, как правило, обходится дешевле, чем реагирование на уже произошедшую утечку данных или атаку. В Bug Bounty для того, чтобы протестировать систему на самых ранних этапах, можно использовать закрытую программу. В этом случае исследовать уязвимости в сервисах компании будет ограниченное число людей, что может быть удобно, если необходимо анализировать уязвимости еще на стадии разработки или тестирования.

Есть два основных параметра оценки результатов деятельности багхантера: актуальность и критичность. Актуальность уязвимости — заинтересованность заказчика в конкретной уязвимости. Как правило, все типы актуальных уязвимостей перечисляются компаниями в их программе. А критичность — тот уровень ущерба, к которому такая уязвимость может привести.

Если злоумышленник получает возможность управлять приложением или сервером, то речь идет о максимально критичной уязвимости, она относится к наиболее дорогим. Если уязвимость позволяет киберпреступнику получить ценную, но не конфиденциальную информацию для дальнейшей эксплуатации, то такая уязвимость менее критична и вознаграждение за нее будет скромнее.

По данным TAdviser на июль 2024 года, в России рынок программ Bug Bounty только формируется. Размер вознаграждений в российском сегменте — от нескольких тысяч рублей до нескольких сотен тысяч, но бывают выплаты и более 1 млн руб.

Легитимность BugBounty

С точки зрения законодательства, «белые хакеры» сейчас остаются в «серой» зоне. Заниматься взломом систем защиты информации и получением вознаграждения, не оформив ИП или самозанятость, нельзя, поскольку для налоговых органов это будет незарегистрированный доход.

По данным BI.Zone, размер налогов за найденные баги зависит от выбранного налогового статуса — физлицо, самозанятый или ИП:

• Для физлиц, при заключении договора ГПХ, из суммы вознаграждения bughunter удерживаются 13% налога для резидентов
• Для самозанятых налоговая ставка более выгодная, чем для физлиц — 6%
•  Для ИП размер налога такой же, как и для самозанятых — 6%, — но, в отличие от них, здесь нет лимита на сумму вознаграждений.

К сожалению, насколько мне известно, на сегодняшний день никаких налоговых льгот для таких экспертов не существует, поэтому большинство багхантеров — либо профессионалы с основной занятостью в какой-либо компании, либо студенты, которые в Bug Bounty «играют».

Конечно, если Bug Bounty сможет стать основной работой для специалистов в этой сфере, это серьезно упростит «белым хакерам» жизнь и придаст мощный импульс развитию этого сообщества. Первые шаги в этом направлении уже сделаны — 16 октября 2024 года Госдума приняла в первом чтении законопроект, направленный на легализацию Bug Bounty в РФ.

Документ предусматривает внесение поправок в статью Гражданского кодекса РФ, согласно которому выявленная «белым хакером» информация о недостатках не может быть передана третьим лицам, за исключением правообладателя.

Еще один важный аспект — законопроект предусматривает ответственность для субъектов критической информационной инфраструктуры, которые не занимаются выявлением и устранением уязвимостей. Это серьезный шаг, который призван выстроить культуру защиты данных в российских организациях.

Последовательность и риски сотрудничества с багхантерами

Эксперты выделяют следующие этапы работы с «белыми хакерами»:

1. Подготовка — перед запуском программы необходимо отыскать все возможные уязвимости самостоятельно.
2. Формирование вводных данных и описания запроса для багхантеров — в скоупе указывают, за какие баги предусмотрена награда, какие уязвимости уже известны и др.
3. Определение уровня вознаграждения — в случае отсутствия опыта, можно обратиться к менеджерам Bug Bounty-платформ, которые помогут решить этот вопрос.
4. Выработка регламента работы с репортами — определить, какой отдел проверяет репорт на валидность и релевантность.
5. Проверка исправленной уязвимости — всегда имеет смысл попросить багхантера перепроверить брешь после ее устранения собственной командой.

Важно учесть и риски, с которыми связано сотрудничество с «белыми хакерами». Например, эксперты подчеркивают опасность утечки обнаруженных багов — здесь можно говорить и о репутационных рисках, и о прямом нарушении законодательства. Впрочем, при своевременной оплате труда «охотников», этот риск минимизируется. 

Также, при плохо спланированной программе, вероятны риски перегрузки разработчиков, вынужденных разрываться между устранением багов и написанием новых функций, а также неверной трактовки действий «белых хакеров» службой безопасности. Правильно выстроенные коммуникации помогут предотвратить и эту проблему.

Заказчики и исполнители в Bug Bounty

В первую очередь, в Bug Bounty заинтересован крупный бизнес — финтех, ритейл, промышленность и ИТ-гиганты уже не первый год рады оплатить багхантерам их труды, чтобы не нести репутационные потери и не выплачивать штрафы за утечки пользовательских данных.

К слову, государство уже ужесточило наказание за нарушение закона о персональных данных, и новые штрафы составляют до 15 млн рублей. Сектор СМБ куда менее активен, однако, тоже начал проявлять интерес к возможностям Bug Bounty. Как правило, это касается ИТ-компаний, для которых информационная безопасность является частью имени и репутации, и потому представляет собой один из высших приоритетов.

Среди наиболее громких имен в российской сфере Bug Bounty стоит назвать Standoff Bug Bounty от Positive Technologies и BI.ZONE Bug Bounty. Обе платформы подразумевают возможность открытых и закрытых скоупов и созданы компаниями с многолетним опытом как в ИБ в целом — от предоставления услуг по расследованию и устранению последствий инцидентов ИБ до создания собственных средств защиты информации, — так и в организации кибериспытаний.