Журнал "Information Security/ Информационная безопасность" #2, 2024

Багбаунти – это подход, ориентированный на резуль- тат. Организации выплачи- вают награду исследовате- лям только за обнаружен- ные и подтвержденные уязвимости, а не за потра- ченное на их поиск время. Эксперты ожидают, что в скором будущем все больше транспортных ком- паний будут запускать про- граммы по поиску уязвимо- стей. Результативный поиск уязвимостей По данным Positive Techno- logies, в течение последних трех лет эксплуатация уязви- мостей применялась примерно в каждой третьей успешной кибератаке на организации. При этом число обнаруженных в мире уязвимостей ПО за этот период постоянно растет: в 2023 г. их количество (28 902) превысило показатели 2021 г. и 2022 г. соответственно на 42% и 14%. По-настоящему оце- нить уровень своей защищен- ности компании и организации могут с помощью регулярного внешнего аудита, тестирования на проникновение и запуска багбаунти-программ. Багбаунти – это программа для поиска уязвимостей в про- граммном обеспечении, веб- приложениях и инфраструктуре компаний с привлечением боль- шого числа внештатных неза- висимых исследователей информационной безопасности (белых хакеров). За выявлен- ные уязвимости организации выплачивают им вознагражде- ния в соответствии с условиями программы. Багбаунти дает бизнесу воз- можность всесторонне проте- стировать свои информацион- ные активы: исследователи могут использовать разные под- ходы и инструменты для поиска уязвимостей. Компании сами определяют границы работ и полностью контролируют бюд- жет, проверку отчетов о най- денных уязвимостях и размер вознаграждения. Такой крауд- сорсинг позволяет более эффективно выявлять слабые места и разгрузить собственных ИТ-специалистов, чтобы они могли сосредоточиться на укреплении слабых мест и даль- нейшем развитии продуктов и сервисов. Багбаунти – это подход, ори- ентированный на результат. Организации выплачивают награду исследователям только за обнаруженные и подтвер- жденные уязвимости, а не за потраченное на их поиск время. Размер награды зависит от уровня опасности найденных уязвимостей. Такой подход и конкуренция в сообществе мотивируют исследователей мыслить нестандартно, чтобы выявлять наиболее опасные для бизнеса бреши. Платформы багбаунти Не все компании обладают достаточными возможностями, чтобы самостоятельно запу- стить программы поиска уязви- мостей. На помощь бизнесу в такой ситуации приходят плат- формы багбаунти – агрегаторы, которые собирают программы различных организаций и поз- воляют исследователям без- опасности выбрать интересный проект. Такие платформы пре- доставляют организациям всю необходимую инфраструктуру для эффективного проведения багбаунти, экспертную поддерж- ку в верификации уязвимостей и помощь во взаимодействии с исследователями. На российской платформе Standoff Bug Bounty, запущенной в мае 2022 г., сегодня зареги- стрированы более 8,5 тыс. ИБ- исследователей. Специалисты компании Positive Technologies, создавшей эту площадку, сами оформляют перевод денег при выплате вознаграждений, упро- щая этот процесс для клиентов, и оказывают компаниям другую необходимую помощь. На плат- форме есть и новая категория багбаунти-программ, ориентиро- ванных на исследование и закрытие целых цепочек ошибок, приводящих к недопустимым для бизнеса последствиям. На Standoff Bug Bounty в настоящий момент размещено более 60 программ. Основная их часть предоставлена орга- низациями из сектора ИТ (38%), госсектора (17%) и образова- тельными платформами (11%). Здесь также были размещены программы компаний из сфер рекламы (7%), финансовых тех- нологий (6%), киберспорта (6%), торговли и СМИ (по 2%). 34 • СПЕЦПРОЕКТ Как белые хакеры помогают защитить транспорт от аварий и коллапса иберпреступники все чаще атакуют организации транспорта и наносят им серьезный ущерб. Например, в ноябре 2023 г. в Австралии из-за кибератаки приостановил работу один из крупнейших в мире портовых операторов DP World. Сбой затронул 40% всех контейнерных перевозок страны, привел к задержкам и переполнению складов. Как считают эксперты, для проникновения в сеть компании злоумышленники использовали неустраненную уязвимость в программе NetScaler. Судя по всему, DP World вовремя не установила необходимые обновления. А ведь атаки на транспорт могут привести не только к материальным потерям, но и к человеческим жертвам. К Анатолий Иванов, руководитель направления Standoff Bug Bounty Фото: пресс-служба Positive Technologies