Анатолий Иванов: «Багбаунти программы в формате кибериспытаний позволяют продемонстрировать, например, кражу денег со счетов»

Традиционные методы защиты от киберугроз не всегда обеспечивают необходимый уровень безопасности для онлайн-ритейла. Усложнение техник атак злоумышленников способствует тому, что компании выбирают комплексный подход к защите. Его важный аспект — обнаружение и устранение уязвимостей на ранней стадии, что позволяет значительно снижать риски для бизнеса и его клиентов.

Онлайн-ритейл ー привлекательная мишень для хакеров

На сферу мировой онлайн-торговли приходится более 21% всех объявлений на теневых форумах, на которых продаются утекшие данные компаний — что подтверждает растущий интерес киберпреступников к сектору электронной коммерции. Из них 14% предложений — это базы данных российских онлайн-ритейлеров.

Сектор онлайн-ритейла привлекателен для киберпреступников по ряду причин. 

Во-первых, деятельность торговых организаций подразумевает огромный финансовый оборот и постоянный поток онлайн-транзакций, к которым злоумышленники могут получить доступ в случае успешной атаки.

Во-вторых, ритейлеры управляют большим объемом данных клиентов и сотрудников, которые также представляют ценность для атакующих.

В-третьих, доступность онлайн-платформ позволяет киберпреступникам осуществлять непрерывный поиск уязвимостей, которые они могут эксплуатировать в будущем.

С учетом этих факторов ритейлерам необходимо выстраивать эффективную защиту своего периметра от кибератак.

Традиционные методы оценки защищенности

Среди традиционных методов оценки уровня защищенности ритейлеры могут использовать пентесты (ручное тестирование на проникновение) и аудит кибербезопасности. Пентесты направлены на проверку эффективности существующей системы безопасности компании, охватывая либо всю инфраструктуру, либо ее отдельные компоненты или программное обеспечение. Регулярный аудит позволяет привлекать внешних исследователей для тщательной проверки и анализа инфраструктуры и выстроить приоритетность задач по укреплению периметра защиты.

Однако подобные проверки часто ограничены временем и ресурсами, которыми располагает компания, что не позволяет вовремя выявить все слабые места. В случае пентестов или аудита оплата, как правило, осуществляется за сам процесс работы, а не за конкретные результаты (независимо от того, были ли обнаружены уязвимости). Кроме того, использование стандартных методологий тестирования, привлечение небольшой группы специалистов и выполнение проверки в ручном режиме могут привести к предсказуемым результатам анализа. При этом хакеры, действуют, как показывает практика, нетипично, поэтому с привычными методами оценки защищенности некоторые уязвимости могут так и остаться незамеченными.

Багбаунти — эффективное решение в условиях реальных угроз

Все чаще для поиска уязвимостей в программном обеспечении, веб-приложениях и инфраструктуре компании используют багбаунти программы. Багбаунти позволяет собрать большое количество независимых исследователей безопасности, которые получают выплаты за конкретный результат — за обнаруженные уязвимости, а не за время, потраченное на их поиск. Это повышает мотивацию участников программ и оптимизирует расходы компаний на информационную безопасность.

Изначально багбаунти получили развитие на Западе — в 2012 г. появились одни из самых известных международных платформ: Hackerone и Bugcrowd. В России первые шаги были сделаны в 2021—2022 гг. Среди основных площадок, которые были запущены, можно выделить Bug Bounty ru, Standoff Bug Bounty и BI.Zone Bug Bounty.

При создании нашей платформы Standoff Bug Bounty мы ставили цель разработать площадку, которая привлекла бы исследователей безопасности со всего мира и объединила бы их в комьюнити специалистов, способных в режиме 24/7 вести поиск уязвимостей.

Одно из главных преимуществ подобных платформ — непрерывный процесс поиска слабых мест в инфраструктуре, что особенно важно в динамичной сфере электронной коммерции. В программах может участвовать неограниченное число «белых хакеров» с различным опытом и инструментарием. Так вероятность обнаружения уязвимостей становится более высокой по сравнению с работой одной небольшой команды в рамках пентеста. При этом информация об обнаруженных проблемах поступает постепенно, помогая внутренней команде по информационной безопасности эффективно устранять выявленные уязвимости в комфортном режиме.

Запустить собственную программу багбаунти компании могут в открытом или приватном формате. Принять участие в публичной программе по поиску уязвимостей могут все зарегистрированные на платформе белые хакеры. В закрытом варианте организация может самостоятельно отобрать участников и пригласить только тех багхантеров, которые соответствуют ее требованиям.

Для выхода на более продвинутый уровень защищенности у компаний есть возможность запустить багбаунти программы в формате кибериспытаний. В таком варианте исследователи могут реализовать недопустимое для компании событие (например, продемонстрировать кражу денег со счетов) и получить вознаграждение за реализацию полноценного сценария атаки. 

При этом в любом варианте все отчеты о найденных уязвимостях конфиденциальны. Информация о них может быть раскрыта исследователем только с разрешения компании — организатора программы.

Иногда российские компании предлагают значительные вознаграждения за обнаружение уязвимостей в рамках своих программ багбаунти: от нескольких тысяч до 10 млн руб. А за реализацию недопустимого события можно заработать 60 млн руб.

Опыт лидеров российского рынка электронной коммерции

Программы багбаунти предлагают более высокую эффективность при устранении уязвимостей и позволяют существенно экономить ресурсы внутренней команды безопасности. Ведь именно внешние специалисты будут заниматься поиском слабых мест в инфраструктуре.

Собственные багбаунти-программы на платформе Standoff Bug Bounty запустили лидеры российского рынка онлайн-ритейла — Ozon и Wildberries. Обе компании отмечали, что выход на багбаунти помог выстроить единый процесс управления уязвимостями (vulnerability management), при котором обнаруженные недостатки обрабатываются продуктивнее и быстрее. Такой механизм одинаково хорошо работает как с багбаунти, так и с любого рода сканированиями, помогая оперативно устранять большой объем найденных недостатков. 

Почему багбаунти ー это выгодно

Открытые платформы для поиска уязвимостей с вознаграждением за обнаруженные ошибки позволяют:

• Кратно увеличить вероятность нахождения слабых мест благодаря большему количеству опытных и независимых исследователей.

• Гибко управлять программами, задавая правила тестирования и регулируя публичность.

• Экономить деньги, так как компания платит только за подтвержденные находки, а не за сам процесс поиска ошибок.

• Обеспечить безопасность данных за счет строгих принципов ответственного разглашения информации.

К тому же на некоторых платформах, в том числе и на Standoff Bug Bounty, есть рейтинговые системы для хакеров, что мотивирует специалистов. Именно активное участие белых хакеров делает программы багбаунти эффективным инструментом.

Для защиты от кибератак мы советуем придерживаться общих рекомендаций по личной и корпоративной кибербезопасности. В первую очередь рекомендуем обучать сотрудников основам информационной безопасности и регулярно обновлять ПО.

Ритейлерам также необходимо развивать процессы управления уязвимостями и стоит участвовать в программах багбаунти. Своевременное обнаружение и устранение слабых мест позволяет компаниям сильно снизить вероятность успешных атак и уменьшить потенциальные убытки.