О чем материал
Чем кибериспытания отличаются от багбаунти и как в медиахолдинге Rambler&Co сочетают оба этих подхода.
Чем кибериспытания отличаются от классического багбаунти?
Ольга: Главное отличие — в масштабе анализа. Багбаунти фокусируется на отдельных уязвимостях: XSS, SQL-инъекциях, RCE и т. д. Зафиксировали — подтвердили — оплатили. Кибериспытания же направлены на выявление комплексных сценариев атак, ведущих к недопустимым для бизнеса последствиям — от шифрования данных до остановки критичных процессов. Это инструмент для оценки не только технической устойчивости, но и способности компании справляться с реальными угрозами.
Если багбаунти помогает понять, какие уязвимости у вас есть, то кибериспытания отвечают на вопрос «К каким последствиям это может привести и каким образом?». Они наглядно демонстрируют, могут ли злоумышленники в принципе реализовать критичный сценарий и что им для этого потребуется. Это возможность оценить реальный уровень защищенности компании и понять, в прокачку каких направлений стоит инвестировать.
Почему Rambler&Co решили выйти на кибериспытания?
Константин: Переход к кибериспытаниям — логичное продолжение выхода на багбаунти. В прошлом году мы внесли несколько изменений в наши программы, в том числе повысили награды до 500 000 руб. Это позволило увеличить число и улучшить качество предоставляемых отчетов.
После обработки большинства интересных тикетов мы планомерно пришли к новому этапу — кибериспытаниям. Когда белые хакеры уже нашли значительную часть интересных мест в рамках стандартных багбаунти-программ, мы подогреваем их интерес новым форматом поиска уязвимостей и еще большими выплатами.
Как подготовиться к выходу на кибериспытания?
Константин: Прежде чем запускать кибериспытания, важно ответить на несколько вопросов:
- Какие типы недопустимых событий вы хотите выявлять? Например, обходы платежных систем, злоупотребление бонусами, нарушения политики платформы и т. д.
- Какие системы и сервисы будут в зоне тестирования? Например, веб- или мобильные приложения, API, внутренние системы.
- Какие сценарии допустимы, а какие нет? Например, эксплуатация обычных XSS или атаки на пользователей зачастую не набирают нужной критичности, чтобы считать их недопустимыми событиями.
Если у вас хорошо выстроен процесс управления уязвимостями и запущена обычная багбаунти-программа, то других серьезных организационных и технологических инициатив не потребуется. У вас уже должно быть готово описание чистовой политики, определен скоуп и ограничения по тестированию. Эти материалы можно использовать и в кибериспытаниях.
Процесс работы с полученными результатами мало чем отличается от обработки отчетов, предоставленных в рамках обычного багбаунти. Но в случае кибериспытаний может потребоваться серьезная экспертиза для анализа сложных кейсов, которые могут к вам «прилететь», в багбаунти же обычно бывают более простые отчеты.
Ольга: У каждой компании свой путь к кибериспытаниям — универсального подхода здесь нет. Сначала в Rambler&Co запустили классическую программу багбаунти — это помогло выстроить процессы, выявить и устранить уязвимости на внешнем периметре. Затем компания пошла дальше — к кибериспытаниям, запустив их в приватном режиме, с конкретным недопустимым событием, возможность реализации которого и проверяет.
Сейчас коллеги сочетают оба подхода: продолжают выявлять отдельные уязвимости в рамках багбаунти и параллельно тестируют целостность всей инфраструктуры компании через кибериспытания.
Как вы определяли границы программы кибериспытаний?
Константин: Для программы мы выбрали несколько достаточно критичных внутренних систем, безопасность которых хотелось бы проверить в рамках новых подходов. Обычно специалисты не доходят до них в привычных багбаунти: там процесс сводится к тому, кто оперативнее найдет и сдаст уязвимость, чтобы получить награду.
Каким компаниям подходит формат кибериспытаний?
Ольга: Еще недавно считалось, что даже багбаунти подходит только зрелым компаниям с выстроенными ИБ-процессами и опытом работы с уязвимостями. Теперь рынок убедился в том, что безопасностью нужно заниматься как можно раньше, поэтому стартапы тоже запускают свои багбаунти-программы и могут успешно сотрудничать с исследователями — на Standoff Bug Bounty уже есть подобные кейсы.
С кибериспытаниями похожая ситуация. Да, в них активно участвуют крупные компании, такие как Rambler&Co, которые начинали с классического багбаунти. Но есть и примеры, когда бизнес стартует с кибериспытаний. Этот формат подходит всем компаниям, у которых есть внешние инфраструктура и бизнес-процессы.
Что посоветуете компаниям, которые задумываются о выходе на кибериспытания?
Константин: Используйте классическую багбаунти-программу как трамплин к кибериспытаниям. Определите цели и приоритеты, а также границы тестирования — их расширение до всей инфраструктуры не означает, что тестировать нужно сразу всё. На старте важно четко обозначить, какие системы входят в скоуп, а какие нет.
Что стоит исключить:
- DDoS, физическое проникновение, атаки на персонал;
- системы, сбой которых может привести к реальным убыткам (например, боевые базы данных);
- внешних поставщиков (если с ними нет согласованных условий тестирования).
Также потребуется уже налаженный рабочий процесс по устранению найденных уязвимостей.
Готовьтесь к неожиданным находкам: в ходе кибериспытаний могут всплыть неприятные сюрпризы — например, утечки персональных данных и другие крайне серьезные уязвимости. Важно быть готовыми не игнорировать их и быстро реагировать.
Ольга: Главное — не бояться. Распространенные опасения по поводу того, что «вас сразу взломают незнакомцы» или «все утечет», уходят после первого месяца проведения программы. Что касается бюджета, многие запускают багбаунти-программы с наградами до 1 млн руб. — этого вполне хватит и для выхода на кибериспытания. С конца прошлого года на Standoff Bug Bounty появилось около 70 таких программ. Это разумная сумма, с которой можно начать, даже если речь идет о небольшой компании.
Отмечу, что кибериспытания требуют системного подхода. Если во время исследования реализуется недопустимое событие, считайте это сигналом: с этой болевой точки нужно начинать работу. По сути, обнаруженные угрозы становятся ориентирами, вокруг которых строится защита компании. Важно быть готовым не только узнавать об уязвимостях, но и встраивать их устранение в стратегию развития ИБ.
