Журнал "Information Security/ Информационная безопасность" #2, 2024

Один из наиболее значимых показателей результативности Standoff Bug Bounty – количе- ство полученных валидных отчетов о найденных уязвимо- стях. За полтора года с момен- та запуска платформы из 1479 принятых компаниями отчетов более 10% (152) каса- лись критически опасных уязвимостей, еще 19% (287) – уязвимостей с высокой степе- нью опасности. На сегодняш- ний день от багхантеров полу- чено уже около более 4,5 тыс. отчетов, а общая сумма выпла- ченных им вознаграждений превысила 72 млн руб. Багбаунти для транспорта Цифровизация и трансфор- мация транспортного сектора продолжается. Однако внедре- ние новых информационных технологий делает отрасль и более уязвимой для различ- ных киберугроз. При этом атаки злоумышленников на транс- порт, учитывая его связующую роль, могут не только нарушить работу отдельной компании, но и повлиять на экономику страны в целом. По данным Positive Technolo- gies, в 2023 г. количество успешных атак на транспортную отрасль в мире увеличилось на 36% по сравнению с 2022 г. Такой рост объясняется с общим увеличением числа кибератак, а также продолже- нием деятельности хактивистов, атакующих объекты значимой инфраструктуры. Почти в каждой пятой атаке (18%) на транспортную отрасль эксплуатировались незакрытые вовремя уязвимости. Часто даже низкоквалифицированные злоумышленники могут вос- пользоваться готовым эксплой- том, приобретенным на теневых форумах. В такой ситуации запуск программы багбаунти – один из важнейших шагов по подтверждению высокого уров- ня киберустойчивости сектора транспорта и логистики. Эксперты ожидают, что в ско- ром будущем все больше транс- портных компаний будут запус- кать программы поиска уязви- мостей. За рубежом некоторые представители отрасли (напри- мер, LATAM Airlines, inDrive, Via Transportation) уже выходят на багбаунти. Исследователи, со своей стороны, также про- являют интерес к этому сектору: в 2023 г. 19% участников плат- формы HackerOne обращали внимание на программы в сфере наземного транспорта, 15% – в области авиации. Российские первопроходцы В России также есть примеры компаний из транспорта и логи- стики, запустивших свои про- граммы багбаунти. "Новая пере- возочная компания" (группа Glo- baltrans), один из лидеров железнодорожных перевозок грузов, разместила программу на Standoff Bug Bounty в сен- тябре 2023 г., чтобы проверить на уязвимости свой основной домен и его субдомены. За это время компания приняла от исследователей 56 отчетов и выплатила за найденные уязвимости более 100 тыс. руб. Заключение Транспортные компании находятся на разных уровнях зрелости процессов в области информационных технологий и кибербезопасности. Боль- шинство из них еще не осозна- ли эффективность багбаунти как средства против растущих киберугроз. Учитывая крити- ческую важность транспорта и потенциально катастрофиче- ские последствия кибератак на этот сектор, выход его пред- ставителей на багбаунти дол- жен ускориться. Успешный опыт первопроходцев может вдохновить и другие организа- ции отрасли. l • 35 Защита аСУ тП www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Александр Шилов, начальник отдела информационной безопасности АО “Новая перевозочная компания” В нашей компании есть доступные через Интернет информационные сервисы, которые позволяют сотрудникам успешно выстраивать свои бизнес-процессы. В то же время эти сервисы являются целью для хакеров и точкой входа в случае взлома. Компания неодно- кратно проводила и будет далее проводить пентесты для проверки своей защищенности. Багбаунти же позволяет провести более точную оценку текущей защиты периметра, так как исследователи ищут уязвимости в сервисах в режиме 24/7. Благодаря площадкам для поиска уязвимостей заказчик получает возможность быть на шаг впереди злоумыш- ленников. Детальное описание механизма реализации атак в отчетах исследователей дает полное понимание проблемы и способов ее устранения. НПК незамедлительно реагирует на все найденные уязвимости в сервисах и оперативно принимает решение об их исправлении. После недавнего обнаружения уязвимости нулевого дня, которую компания не могла устра- нить самостоятельно, сервис был закрыт до решения проблемы вендором ПО. Для нас это был новый опыт, поэтому при выходе на багбаунти мы прошли все стадии от составления программы до момента публикации. На каждом этапе мы получали реко- мендации команды Standoff, поэтому полученный опыт считаем положительным и резуль- тативным. Экспертиза Positive Technologies незаменима при принятии отчетов и дальнейшем закрытии найденных уязвимостей, а опытная команда компании готова поддерживать новичков в багбаунти и помогает принять взвешенное решение о размере вознаграждения исследователей. l Комментарий заказчика Изображение: ГРОТЕК