Багбаунти в режиме кибериспытаний: что это и зачем нужно бизнесу

Российские компании все чаще становятся мишенью для хакеров, и с этим надо что-то делать «еще вчера». Директор по цифровой трансформации, CDTO ИТ-компании Innostage Руслан Сулейманов делится мнением о ключевых хакерских инструментах и методах, позволяющих им противостоять.

Старый недобрый фишинг

Злоумышленники часто оперируют огромными базами актуальных контактов, которые используют для рассылки фишинговых сообщений. Вряд ли ошибусь, если скажу, что это по-прежнему самый распространенный хакерский инструмент. Обычно именно с фишинга начинается атака, когда конкретным сотрудникам или на всю компанию приходит мошенническое письмо, содержащее вредоносное вложение. Визуально оно неотличимо от обычного рабочего сообщения и, например, содержит логотип логистической компании, информацию о принятии какого-то почтового отправления со ссылкой для подтверждения доставки. Все выглядит настолько естественно, что пользователь успевает кликнуть по ссылке раньше, чем задумается о необходимости ее проверить. Особенно, если подобное письмо поступило офис-менеджеру, ежедневно работающему с корреспонденцией. При переходе по ссылке, на рабочую станцию или ноутбук жертвы загружается вредоносное ПО, в итоге злоумышленник получает полный контроль над устройством сотрудника компании.

Часто хакерами также применяются инструменты, ведущие к отказу обслуживании — речь про DDoS-атаки — когда ресурсы компании нагружаются огромным количеством запросов. При достижении технических ограничений, такой ИТ-ресурс, например, файрволл, который обеспечивал защиту сети компании, «падает», теряя работоспособность и сеть компании становится уязвимой для более прицельных атак на ресурсы компании.

Найти уязвимости раньше хакеров

Хакеры бьют в самые уязвимые места, и важно успеть защитить «брешь» до того, как в нее прилетит удар. И к диагностике скрытых дефектов в ИТ-инфраструктуре лучше привлечь «белых» (этичных) хакеров через специальные багбаунти-платформы.

Там регистрируются независимые исследователи кибербезопасности, принимая условия площадки, подбирают программы, в которых им интересно поучаствовать. А с другой стороны — регистрируются компании, которые хотят проверить свои сервисы или инфраструктуру на определенных условиях. Они выставляют свой объект, описывают правила взаимодействия с ним (в каком периметре разрешен поиск багов, есть ли какие-то ограничения по инструментам и форматам исследования) а также условия выплаты вознаграждения и/или предоставления значимых «плюшек».

Исследователи ищут ошибки, сообщают об этом в виде отчета с определенными техническими критериями. Компания изучает отчет, если все соответствует правилам — перечисляет через платформу вознаграждение. А дальше — закрывает обнаруженную уязвимость.

Есть более сложный формат багбаунти, который Innostage, отвечающая не только за собственную кибербезопасность, но и за своих заказчиков, запустила первым из ИТ-интеграторов. Это открытые кибериспытания. Такая проверка подразумевает минимальное количество ограничений для исследователей. Если мы в обычных программах багбаунти говорим об одном ресурсе и связанных с ним технических ограничениях примерно так: «мы задали траекторию шаг вправо или влево — расстрел», то в кибериспытаниях мы объявляем конечную цель в виде определенного критического инцидента ИБ, а путь к ней органичен фактически только нормами Уголовного кодекса. 

Таким образом, допустимо практически все, в рамках правового поля, то есть нельзя похищать и как-то физически воздействовать на сотрудников компании, нельзя наносить умышленный вред имуществу компании и т.д. А вот использовать фишинг и присылать «письма счастья» в бухгалтерию — можно. Как и проникать в корпоративную финансовую систему любым хакерским способом.

Как директор по цифровой трансформации Innostage, который ведет в компании проект «открытые кибериспытания» обращаюсь к «белым» хакерам прямо сейчас: Регистрируйтесь на платформе Bug Bounty StandOff365, пройдите периметр нашей сети, попробуйте перевевести себе с наших счетов денежные средства в размере до 2000 рублей и приходите за вознаграждением в 5 миллионов.

Кому подходят кибериспытания и почему

Киберустойчивость, или способность бизнеса выстоять против хакерских атак высокой мощности, не появляется в одночасье. Этот результат требует комплексных и регулярных действий со стороны ИТ и ИБ департаментов, а также других служб, отвечающих за оценку бизнес-рисков, обучение сотрудников и т.д.

Мы разработали собственную методологию Innostage CyberYool, где разложили все процессы на пять четких этапов. По сути, мы систематизировали весь наш многолетний опыт по импортозамещению софта и перепроектированию ИТ-архитектуры, а также нашу экспертизу по предотвращению и расследованию кибератак, упаковав это в «руководство к действию». Этот подход прошел проверку на нашей инфраструктуре и уже применяется для первых внешних клиентов. Методология Innostage CyberYool легко адаптируется под нужды и ресурсы каждой компании и создает условия для цифровой стабильности бизнеса вне зависимости от того, строит ли он ИТ и ИБ-инфраструктуру с нуля или модернизирует имеющуюся.

На пятом этапе методологии и предусмотрены такие проверки, как пентест, багбаунти и кибериспытания. И если пентест (заказная проверка на кибербезопасность, выполняемая сертифицированными специалистами) рекомендована для компаний любого размера и уровня защищенности, то багбаунти и тем более кибериспытания — выбор для зрелых заказчиков, давно и тщательно заботящихся об информационной безопасности.

Зачем им это — поясню на примере. Недавно в России произошел целый ряд крупных инцидентов ИБ.

Несколько дней простоя, вызванные заражением вирусом-шифровальщиков по разным оценкам стоили каждой из компаний миллиарды рублей. А проверка на выполнение такого же инцидента (проникновение в файловое хранилище и шифровка данных) могла ограничить выплатой вознаграждения в несколько миллионов. То есть сумму в 1000 раз меньше.