РБК Компании
Главная Innostage 24 июня 2024

Багбаунти в режиме кибериспытаний: что это и зачем нужно бизнесу

Багбаунти в режиме кибериспытаний — экзамен на киберустойчивость. Как подготовиться и успешно его сдать — в материале Innostage, ИТ-интегратора и эксперта ИБ
Багбаунти в режиме кибериспытаний: что это и зачем нужно бизнесу
Руслан Сулейманов
Руслан Сулейманов
Директор по цифровой трансформации / CDTO ИТ-компании Innostage

Более 19 лет опыта управления ИТ и кибербезопасности. Лидировал и довел до успешного завершения более сотни проектов в области ИТ/ИБ и цифровой трансформации. Лидер проекта по выводу Innostage на BB

Подробнее про эксперта

Российские компании все чаще становятся мишенью для хакеров, и с этим надо что-то делать «еще вчера». Директор по цифровой трансформации, CDTO ИТ-компании Innostage Руслан Сулейманов делится мнением о ключевых хакерских инструментах и методах, позволяющих им противостоять.

Старый недобрый фишинг

Злоумышленники часто оперируют огромными базами актуальных контактов, которые используют для рассылки фишинговых сообщений. Вряд ли ошибусь, если скажу, что это по-прежнему самый распространенный хакерский инструмент. Обычно именно с фишинга начинается атака, когда конкретным сотрудникам или на всю компанию приходит мошенническое письмо, содержащее вредоносное вложение. Визуально оно неотличимо от обычного рабочего сообщения и, например, содержит логотип логистической компании, информацию о принятии какого-то почтового отправления со ссылкой для подтверждения доставки. Все выглядит настолько естественно, что пользователь успевает кликнуть по ссылке раньше, чем задумается о необходимости ее проверить. Особенно, если подобное письмо поступило офис-менеджеру, ежедневно работающему с корреспонденцией. При переходе по ссылке, на рабочую станцию или ноутбук жертвы загружается вредоносное ПО, в итоге злоумышленник получает полный контроль над устройством сотрудника компании.

Часто хакерами также применяются инструменты, ведущие к отказу обслуживании — речь про DDoS-атаки — когда ресурсы компании нагружаются огромным количеством запросов. При достижении технических ограничений, такой ИТ-ресурс, например, файрволл, который обеспечивал защиту сети компании, «падает», теряя работоспособность и сеть компании становится уязвимой для более прицельных атак на ресурсы компании.

Найти уязвимости раньше хакеров

Хакеры бьют в самые уязвимые места, и важно успеть защитить «брешь» до того, как в нее прилетит удар. И к диагностике скрытых дефектов в ИТ-инфраструктуре лучше привлечь «белых» (этичных) хакеров через специальные багбаунти-платформы.

Там регистрируются независимые исследователи кибербезопасности, принимая условия площадки, подбирают программы, в которых им интересно поучаствовать. А с другой стороны — регистрируются компании, которые хотят проверить свои сервисы или инфраструктуру на определенных условиях. Они выставляют свой объект, описывают правила взаимодействия с ним (в каком периметре разрешен поиск багов, есть ли какие-то ограничения по инструментам и форматам исследования) а также условия выплаты вознаграждения и/или предоставления значимых «плюшек».

Исследователи ищут ошибки, сообщают об этом в виде отчета с определенными техническими критериями. Компания изучает отчет, если все соответствует правилам — перечисляет через платформу вознаграждение. А дальше — закрывает обнаруженную уязвимость.

Есть более сложный формат багбаунти, который Innostage, отвечающая не только за собственную кибербезопасность, но и за своих заказчиков, запустила первым из ИТ-интеграторов. Это открытые кибериспытания. Такая проверка подразумевает минимальное количество ограничений для исследователей. Если мы в обычных программах багбаунти говорим об одном ресурсе и связанных с ним технических ограничениях примерно так: «мы задали траекторию шаг вправо или влево — расстрел», то в кибериспытаниях мы объявляем конечную цель в виде определенного критического инцидента ИБ, а путь к ней органичен фактически только нормами Уголовного кодекса. 

Таким образом, допустимо практически все, в рамках правового поля, то есть нельзя похищать и как-то физически воздействовать на сотрудников компании, нельзя наносить умышленный вред имуществу компании и т.д. А вот использовать фишинг и присылать «письма счастья» в бухгалтерию — можно. Как и проникать в корпоративную финансовую систему любым хакерским способом.

Как директор по цифровой трансформации Innostage, который ведет в компании проект «открытые кибериспытания» обращаюсь к «белым» хакерам прямо сейчас: Регистрируйтесь на платформе Bug Bounty StandOff365, пройдите периметр нашей сети, попробуйте перевевести себе с наших счетов денежные средства в размере до 2000 рублей и приходите за вознаграждением в 5 миллионов.

Кому подходят кибериспытания и почему

Киберустойчивость, или способность бизнеса выстоять против хакерских атак высокой мощности, не появляется в одночасье. Этот результат требует комплексных и регулярных действий со стороны ИТ и ИБ департаментов, а также других служб, отвечающих за оценку бизнес-рисков, обучение сотрудников и т.д.

Мы разработали собственную методологию Innostage CyberYool, где разложили все процессы на пять четких этапов. По сути, мы систематизировали весь наш многолетний опыт по импортозамещению софта и перепроектированию ИТ-архитектуры, а также нашу экспертизу по предотвращению и расследованию кибератак, упаковав это в «руководство к действию». Этот подход прошел проверку на нашей инфраструктуре и уже применяется для первых внешних клиентов. Методология Innostage CyberYool легко адаптируется под нужды и ресурсы каждой компании и создает условия для цифровой стабильности бизнеса вне зависимости от того, строит ли он ИТ и ИБ-инфраструктуру с нуля или модернизирует имеющуюся.

На пятом этапе методологии и предусмотрены такие проверки, как пентест, багбаунти и кибериспытания. И если пентест (заказная проверка на кибербезопасность, выполняемая сертифицированными специалистами) рекомендована для компаний любого размера и уровня защищенности, то багбаунти и тем более кибериспытания — выбор для зрелых заказчиков, давно и тщательно заботящихся об информационной безопасности.

Зачем им это — поясню на примере. Недавно в России произошел целый ряд крупных инцидентов ИБ.

Несколько дней простоя, вызванные заражением вирусом-шифровальщиков по разным оценкам стоили каждой из компаний миллиарды рублей. А проверка на выполнение такого же инцидента (проникновение в файловое хранилище и шифровка данных) могла ограничить выплатой вознаграждения в несколько миллионов. То есть сумму в 1000 раз меньше.

Интересное:

Новости отрасли:

Все новости:

Достижения

Лидер в сфере кибербезопасностиВходит в топ-30 рейтингов ИТ-компаний и топ-8 рейтингов компаний сферы информационной безопасности
8 место в Рейтинге ИБ-компанийВходит в топ-8 Рейтинга крупнейших ИБ-компаний России (по итогам 2022 г., TAdviser)
В топ-3 ИТ-поставщиков ТЭКInnostage на 3 месте Рейтинга крупнейших ИТ-поставщиков в отрасли ТЭК (по итогам 2022 г., TAdviser)
Эксперт по безопасной разработкеЛидер рейтинга «Крупнейшие поставщики решений в области безопасности приложений 2022» CNews Analytic

Профиль

Дата регистрации05.12.2019
Уставной капитал10 000,00 ₽
Юридический адрес Татарстан (Татарстан) респ, Казань г., ул. Подлужная, оф 101
ОГРН 1191690099028
ИНН / КПП 1655428600 165501001
ГлавноеЭкспертыДобавить
новость
КейсыМероприятия