Охота на жуков

2 июля 2023 года хакеры атаковали инфраструктуру американского ИТ-провайдера Kaseya, заразив вирусом-шифровальщиком более 1500 клиентов и потребовав с них $70 млн за разблокировку. Инцидент уже назвали одним из самых масштабных в истории. Как вскоре выяснил Bloomberg, руководству компании неоднократно сообщали об уязвимостях как сотрудники компании, так и внешние эксперты по безопасности, однако менеджмент эти сообщения проигнорировал. Kaseya не первая компания в истории, отреагировавшая подобным образом на сообщения о проблемах с информационной безопасностью. Часто компании вместо того, чтобы решать проблему, пытаются ее скрыть. К примеру, как писала FT, в сентябре 2021 года один из сотрудников Volkswagen предупредил руководство, что в системе безопасности платежного подразделения компании есть уязвимости, которые могут привести к краже $2,6 млн со счетов концерна и к потенциальным претензиям со стороны регуляторов. А уже в октябре он был уволен якобы за «непонимание корпоративных процедур и ценностей компании». К счастью, описанная уязвимость действительно не привела ни к каким последствиям.

От замков к алгоритмам

В начале 2000-х отношения между хакерами, экспертами по безопасности и бизнесом развивались сложно. Первое время компании считали подозрительными всех людей, интересующихся тематикой информационной безопасности и не работающих при этом в бизнесе или правоохранительных органах. Затем некоторые организации начали нанимать исследователей безопасности, чтобы те защищали их от хакеров. Такие люди получили название «белых» или этичных хакеров. Но решение тоже не стало панацеей: практика показывает, что тысячи злоумышленников по всему миру все равно находят бреши в системах безопасности, какого бы уровня профессионалы их ни защищали. В ответ на эту проблему родилась идея обещания вознаграждения любому, кто найдет уязвимость в защите компании и сообщит о ней. Достоверно неизвестно, кто в ИТ-индустрии запустил первую программу bug bounty (bug – жаргонное обозначение программной ошибки или уязвимости, возникшее, согласно легенде, после эпизода с одним из первых компьютеров, в который забралось настоящее насекомое, bounty – награда). Сама идея была придумана намного раньше производителями физических замков, которые таким образом привлекали внимание к своим изделиям (первый, кто взломает дверь, получит тысячу долларов и т. д.).

Однако уже в 90-е практика багбаунти активно использовалась в ИТ-секторе за рубежом, а в настоящий момент она стала важным элементом ИТ-стратегии для крупных корпораций и правительственных организаций практически по всему миру. В 2022 году Google заплатила за найденные в своих решениях уязвимости рекордные $12 млн. Microsoft побила этот рекорд, заплатив независимым экспертам по безопасности $13,7 млн, — правда, сумма включает выплаты за 2021 и 2022 годы.

Есть своя программа и у главного ньюсмейкера последнего года OpenAI (разработчик генеративной нейросети, использующейся в сервисе ChatGPT), компания обещает до $20 тыс. за найденные бреши в ее защите. Свои программы багбаунти имеет большинство крупных корпораций в мире, включая Apple, Twitter, Uber, Tesla, Tencent, Meta (признана в России экстремистской и запрещена) и др. По подсчетам британской компании Precisionreports, мировой рынок программ багбаунти составил $1,13 млрд в 2022 г., а к 2028 г. увеличится до $2,732 млрд со среднегодовым показателем роста 15,84 %.

В России программы багбаунти есть у VK, «Азбуки вкуса», «Тинькофф», Wildberries, Positive Technologies и т. д., а одним из основных факторов, определяющих рост рынка багбаунти, является интерес государственного сектора. Не так давно Минцифры РФ запустило свою программу багбаунти. Ведомство объявило о запуске проекта по поиску уязвимостей на электронных ресурсах правительства. На первом этапе интернет-пользователям, зарегистрировавшимся в программе, предлагалось исследовать безопасность сайта «Госуслуги» и Единую систему идентификации и аутентификации. За три месяца проекта было найдено 34 уязвимости, большинство из них — со средним и низким уровнем критичности. Всего по программе Минцифры на платформе Standoff 365 было выплачено 780 000 рублей.

Цена вопроса

Один из доводов, который останавливает бизнес от использования такого инструмента как багбаунти, — его высокая стоимость. Понятно, что для Google $12 млн — ничтожная сумма в масштабе глобальных затрат корпорации. Но многие компании опасаются, что к ним за вознаграждением придет слишком много исследователей и с ними нечем будет расплатиться. Кроме того, необходимо проверять достоверность найденных ошибок, обеспечивать выплату победителям и пр. Это все также будет отвлекать ресурсы от основного бизнеса. Здесь на помощь приходят специализированные платформы, которые организуют весь процесс, от постановки задач для исследователей до проверки результатов и выплаты вознаграждения. Они действуют по тому же принципу, что и, к примеру, сервисы вроде YouDo, которые сводят заказчиков услуг и исполнителей.

Компания размещает на платформе скоуп, то есть границы исследования в своей ИТ-инфраструктуре, и зарегистрированные на платформе исследователи безопасности с разнообразными навыками и инструментарием начинают искать в нем уязвимости, а в случае успеха получают награду. То есть компания платит только за найденные ошибки и при этом не любые, а в строго оговоренной области. Кроме того, нужно учитывать и тот факт, что в случае, если уязвимость найдет и использует злоумышленник, потери могут быть не просто большими, а критичными для бизнеса, например оборотные штрафы и уголовное преследование за утечку персональных данных или потеря доверия аудитории и отток подписчиков.  

В мире существует несколько десятков подобных платформ. К примеру, запущенная в 2012 году HackerOne объединяет более 160 тыс. этичных хакеров, а услугами платформы пользуются WordPress, Twitter и Uber. В 2016 году на платформе стартовала программа Hack the Pentagon, в ходе которой исследователям предлагалось найти уязвимости в системе защиты американского военного ведомства.

В России схожую платформу Standoff 365 запустила компания Positive Technologies. Сервисом уже пользуются крупные российские компании, включая VK, «Азбука вкуса», «Тинькофф» и Wildberries. Standoff 365 публикует на своем сайте результаты поисков «багов» — согласно этим данным, «Азбука Вкуса», например, заплатила «белым хакерам» 418 тыс. руб., а «Тинькофф» — свыше 8 млн рублей. Больше всех заплатил VK ‒ свыше 30 млн рублей.

Согласно данным Positive Technologies, средняя стоимость подписки на услуги багбаунти составляет 1,4 млн рублей в год, а средняя комиссия платформы ‒ около 15 % от каждой выплаты.

Более продвинутым вариантом багбаунти являются программы поиска недопустимых событий. В этом случае багхантеры будут искать не отдельную уязвимость, а целую цепочку ошибок, приводящих к негативному сценарию. Для разных компаний эти события могут быть разными, а могут и совпадать: репутационные потери, что может оказаться следствием нарушения конфиденциальности данных; финансовые потери; остановка производства и другое. В России впервые такую программу запустила компания Positive Technologies. Компания-клиент, название которой может узнать только зарегистрированный участник программы,  определила для себя недопустимым событием кражу денежных средств со счетов. За реализацию этого сценария полагается награда в 30 млн рублей.

«Хакер» — это звучит гордо

Исторически в обществе сложилось негативное отношение к хакерам и хакингу. Однако стоит различать киберпреступников и этичных хакеров. Последние работают в рамках законодательства своей страны и за честное вознаграждение, часто совмещая поиск уязвимостей с обычной работой в ИТ. «Я могу исследовать какое-то приложение, которым пользуюсь по работе, и меня драйвит от возможности найти интересный вектор атаки. Я ищу баги в очень узком скоупе. Спустя какое-то время после сообщения о проблеме я могу еще сходить проверить, закрыта ли уязвимость», — рассказывает Всеволод Кокорин, сотрудник компании SolidLab и по совместительству багхантер.

Нередко компании опасаются, что найденные во время багбаунти уязвимости могут быть использованы против них. На практике это не так. «Компании, запускающие багбаунти, в 99 % случаев выходят на платформу с теми же приложениями, которые уже размещены в интернете. А если вы размещаете ресурс в интернете, вас уже сканирует весь мир, а кто-то даже пытается поломать. Багбаунти в этом плане не дает никакого преимущества злоумышленнику, который решил зарегистрироваться на платформе», — говорит Анатолий Иванов, руководитель направления развития багбаунти Standoff 365 компании Positive Technologies. Каждой компании важно понимать, что существуют трендовые уязвимости, то есть те, которые сейчас популярны у киберпреступников или могут начать массово использоваться ими в ближайшее время. Хакерам в среднем требуется 45 минут на взлом, если на периметре найдена трендовая уязвимость. При этом недавнее исследование показывает, что проблемы есть на каждом из этапов построения системы управления уязвимостями в компаниях.

Одна из распространенных причин того, что компания игнорирует предупреждения от внешних экспертов, как та же Kaseya например, — нежелание признавать свои ошибки. Среди других распространенных заблуждений — уверенность, что багбаунти — это, по сути, выкуп хакерам, а значит, признание своей слабости. Но это совсем не так: багбаунти — это, скорее, приглашение независимого исследователя протестировать безопасность системы, при этом его работа оплачивается только в случае найденных уязвимостей, то есть после реальной выполненной задачи. Отказ же видеть проблему можно считать безответственным поведением по отношению к партнерам и клиентам организации. «Компаниям однозначно нужно участвовать в багбаунти:  создавать свои программы или приносить свои системы на стороннюю платформу. Вынося свой скоуп на платформу Standoff 365, мы понимали, что уязвимости могут быть и их нужно исправлять. Мы сами проводим аудиты своих продуктов и тоже находим баги. Но любой аудит, внутренний или внешний, ограничен по времени, а багбаунти — это история постоянная. У VK, как ответственной перед своими пользователями компании, не было страха перед багбаунти, был, скорее, интерес», — заявил Илья Сафронов, директор департамента защиты инфраструктуры ИБ компании VK.

«Каждому кибербезопаснику нужно осознавать ответственность перед коллегами по рынку и перед пользователями. И начинать надо с признания проблемы. Если организация не освещает проблему с информационной безопасностью, — это плохая история. Признание ошибок должно обернуться для компании в плюс, а не в минус», — сказал Владимир Бенгин, директор департамента кибербезопасности Минцифры.