Компания Positive Technologies заплатит "белым" хакерам ₽60 млн, если они смогут добавить вредоносный код в ее продукты или украсть деньги со счетов. Этот вызов – лучший способ проверить киберустойчивость бизнеса

За последние два года госучреждения, промышленные, финансовые, медицинские и IT-компании, а также телеком, ретейлеры и маркетплейсы столкнулись с беспрецедентно высоким числом киберугроз. Речь идет о кражах клиентских баз и остановке внутренних бизнес-процессов.

По данным российского вендора Positive Technologies, в 2023 году число успешных атак на организации по всему миру выросло на 18% по сравнению с 2022 годом.

"Уход зарубежных IT-вендоров серьезно повлиял на процесс выстраивания защиты, – говорит Александр Шилов, начальник отдела информбезопасности АО "Новая перевозочная компания" (входит в группу Globaltrans). – Сегодня часть зарубежного софта еще работает и обновляется, а российский софт еще не позволяет полностью качественно заместить весь функционал зарубежного. Мы вынуждены использовать гибридный формат решений, что усложняет работу. Серьезные инциденты с атаками в транспортной отрасли за последнее время были связаны с шифрованием всех данных, из-за этого нарушалась работа компаний".

Из всех успешных атак на организации в 2023 году 8% пришлось именно на IT-компании наравне с промышленными организациями, что на 2% выше, чем в 2022-м. "IT-компании стали все чаще подвергаться кибератакам, так как, получив доступ к системам вендора, злоумышленники могут проводить атаки типа supply chain на организации, которые пользуются его услугами и продуктами", – говорит Алексей Новиков, управляющий директор Positive Technologies.

Атаки такого типа опасны своей непредсказуемостью и широким охватом. Бизнес может оказаться под ударом случайно, использовав внутри своей инфраструктуры программы сторонних разработчиков и компоненты от разных вендоров, не проверив безопасность поставщиков услуг.

Кибератаки на бизнес в 2022-2023 годах

В начале 2022 года хакеры взломали виджет статистики для отслеживания количества посетителей. Жертвами стали Минэнерго, Росстат, Федеральная служба исполнения наказаний, Федеральная служба судебных приставов, Федеральная антимонопольная служба, Минкультуры.

В ходе другой атаки оказались нарушены процессы работы нескольких предприятий одного из крупнейших в стране мясоперерабатывающих холдингов "Мираторг".

В 2023 году системы безопасности "Ашан Россия", Gloria Jeans и книжного магазина издательской группы Эксмо-АСТ "Book24" были также атакованы злоумышленниками. В открытый доступ попали персональные данные (номера телефонов, адреса электронной почты и доставки) нескольких миллионов клиентов.

Вознаграждение за уязвимости и недопустимые события

Кибератаки достигают целей, потому что информационные активы бизнеса постоянно увеличиваются, а хакеры действуют все изощреннее, и привычные методы уже не справляются с защитой. Поэтому наиболее зрелые в области информационной безопасности организации действуют на опережение. Для проверки защищенности своих продуктов они используют программы багбаунти (англ. "награда за ошибку"). Суть в том, что компания предлагает тысячам независимых исследователей – "белых" хакеров со всего мира за вознаграждение найти ошибки и уязвимости в своих системах и продуктах. Выплата происходит только за реальные отчеты с найденными уязвимостями, а не за время, потраченное на их поиск. Таким образом бизнес обнаруживает свои слабые места до того, как это сделают злоумышленники.

Компания Positive Technologies, одна из лидеров рынка результативной кибербезопасности, пошла еще дальше. В 2022 году она впервые в России предложила багхантерам за выплату ₽10 млн не просто обнаружить уязвимости, а реализовать недопустимое событие – кражу денег со счетов компании на площадке Standoff Bug Bounty. В 2023 году сумму выплат подняли до ₽30 млн, а в 2024-м за выплату ₽60 млн добавилось еще одно недопустимое событие – закладка условно вредоносного кода в продукты компании.

"Такая постановка задачи на порядок усложняет работу исследователя, поскольку ему нужно разобраться, как выстроены бизнес-процессы компании, обойти системы защиты и продемонстрировать факт хищения денег, – говорит Алексей Новиков. – Это единственный способ для CISO и топ-менеджмента на деле убедиться в эффективности выстроенной системы защиты – последовательно определять и верифицировать недопустимые события, чтобы они были гарантированно нереализуемы".

Пока "белым" хакерам так и не удалось получить максимальную выплату. Так кибербезопасность становится по-настоящему результативной.

Что такое "белый" хакинг

Ведущие российские площадки багбаунти – Standoff Bug Bounty и BI.ZONE Bug Bounty.

Сегодня на них зарегистрировано более 11 тыс. "белых" хакеров – независимых исследователей со всего мира: более 8 тыс. на Standoff Bug Bounty и более 4 тыс. на BI.ZONE Bug Bounty. Число участников Standoff Bug Bounty подскочило с 1150 до 8000 человек (включая ОАЭ, Марокко, Непал и другие страны) после того, как к платформе присоединились компания VK и Минцифры.

С момента открытия Standoff Bug Bounty компании-заказчики получили более 1479 отчетов багхантеров, в 152 описаны критически опасные уязвимости, а в 287 – уязвимости с высокой степенью опасности.

За время работы платформы общая сумма выплат – ₽85 млн. За нахождение на Standoff Bug Bounty уязвимостей в сервисах VK можно получить до ₽3,6 млн, RuStore – до ₽1,2 млн, Минцифры – до ₽1 млн, Wildberries – до ₽500 тыс. (при получении полного доступа к личному кабинету тестового продавца), "Тинькофф" – до ₽400 тыс.

Позитивный ответ

Анализируя инциденты и тестирования на проникновение в различных российских компаниях на протяжении 20 лет, Positive Technologies заметила, что в большинстве случаев компании покупают продукты для безопасности, но сами не выстраивают системы кибербезопасности. "Именно тогда родилась наша концепция построения результативной кибербезопасности. И, конечно, мы сначала проверили ее на себе", – говорит Алексей Новиков.

Новое направление в багбаунти, которое запустила компания Positive Technologies в 2022 году, – реализация "белыми" хакерами недопустимых событий – вершина в построении результативной кибербезопасности. Компания последовательно шла к ней несколько лет, от определения недопустимых для себя событий к балансу между мониторингом и усилением инфраструктуры (харденинг) и созданию центра противодействия киберугрозам.

"От обычных центров по обеспечению безопасности (SOC) эти центры отличаются тем, что заточены на обнаружение и, самое главное, на реагирование на недопустимые события. Обычно SOC отслеживают атомарные события безопасности, иногда объединяя их в цепочки событий, а недопустимые события – явления более высокого порядка. Перебросить мостик от первых ко вторым – задача нетривиальная, поэтому многие компании на данном этапе притормаживают", – говорит Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

Параллельно компания разработала и предложила бизнесу продукты для результативной безопасности, доказавшие свою эффективность во время массовых кибератак.

Один из них – автопилот по информационной безопасности MaxPatrol O2, который мониторит и реагирует на киберугрозы, автоматически обнаруживая и останавливая злоумышленников. Метапродукт уже сейчас работает в российских государственных ведомствах и обнаруживает действия хакерских группировок мирового уровня. У клиентов также востребованы система поведенческого анализа трафика (PT Network Attack Discovery), песочница PT Sandbox, позволяющая выявлять сложное и неизвестное вредоносное ПО, и система мониторинга событий ИБ и управления инцидентами (MaxPatrol SIEM).

Эти продукты помогают повышать кибербезопасность госучреждениям и компаниям из ретейла, медицины, энергетики и финансов.

Например, для Wildberries основным стимулом для развития результативной кибербезопасности два года назад стал стремительный и кратный рост бизнеса. Компания системно совершенствует свою программу багбаунти, внутренние и внешние пентесты, внутреннюю Red Team-команду и другие проекты защиты.

"Единственно правильный, на наш взгляд, принцип построения системы защиты – нулевая толерантность к любым уязвимостям и векторам проникновения, – говорит заместитель руководителя отдела информационной безопасности Wildberries Андрей Иванов. – Контроль и даже контроль контроля редко бывает эффективным, поэтому для каждой метрики процесса безопасности мы внедряем контрметрику. Это поможет не только видеть улучшения, но и не упускать ухудшения там, откуда сместился фокус. Если внутри у нас есть команда, обеспечивающая непрерывный поиск уязвимостей, то мы анализируем ее результаты в контексте того, что находят багхантеры на внешнем периметре. Важным считаем и отказ от паролей как статических и ненадежных секретов".

Чем дальше, тем более массовыми будут становиться кибератаки на компании. От топ-менеджмента требуются осознанность и выбор продвинутых решений, если он хочет иметь систему безопасности с гарантированным результатом. Антивирус как универсальная защита явно устарел.

Цифровая гигиена от Positive Technologies

В обеспечении безопасности организации основную роль играют базовые правила цифровой гигиены. Простые, но эффективные меры – установка мультифакторной аутентификации для удаленного доступа и сложные пароли для учетных записей – создают первый барьер на пути злоумышленников.

Не менее важно инвестировать в повышение киберграмотности сотрудников. Они должны уметь самостоятельно распознавать угрозы, например идентифицировать фишинговые письма и сообщать о них в центр обеспечения безопасности (SOC). Такая бдительность предотвращает кибератаки, которые могут привести к недопустимым последствиям.

Важно инвестировать в сетевую сегментацию организации – разделять корпоративную сеть на отдельные адресные пространства. Устанавливайте строгие политики доступа между сегментами и тщательно контролируйте сетевые доступы.