Термин «триаж» (от франц. triage — сортировка) пришел в ИБ из медицины. Когда количество пациентов превышает возможности лечебного учреждения, процедура триажа помогает определить больных, которым нужно помочь в первую очередь.
В кибербезопасности команды триажа отвечают за верификацию уязвимостей и выступают в роли связующего звена между компаниями и исследователями на платформах багбаунти.
Работа команды триажа начинается задолго до того, как компания получит первый отчет о найденной уязвимости. Представим, что крупный производитель велосипедов «Молния» решит выйти на багбаунти. Перед «Молнией» встанет ряд важных вопросов: как правильно сформировать программу, описать скоуп и правила для исследователей. На помощь придет команда триажа: мы поможем определить, информация о каких уязвимостях интересна компании и какие участки инфраструктуры нужно открыть для исследования в первую очередь. К примеру, предложим «Молнии» исключить из скоупа старые лендинги с акциями интернет-магазина. Кроме того, при формировании программы нужно сразу зафиксировать несколько важных нюансов:
- Вилки выплат за уязвимости разного уровня критичности
- Разрешение или запрет на публичное раскрытие отчетов
- Принципы определения импакта в спорных ситуациях
- И далее по списку...
Затем команда триажа будет следить за соблюдением установленных правил и поддерживать контроль качества приходящих отчетов.
Услугами триажа пользуются разные компании, в том числе с опытными ИБ-подразделениями и выстроенными процессами управления уязвимостями. Например, в случае Standoff Bug Bounty это Минцифры — им удобнее передать задачу проверенным специалистам, чтобы снизить нагрузку на своих сотрудников
Еще один глобальный вопрос, который встанет перед «Молнией», — это выбор типа программы: открытая или закрытая. Первая доступны всем исследователям, зарегистрированным на платформе багбаунти. Компания сразу обеспечит себе доступ к экспертизе тысяч багхантеров, но шанс получить нерелевантные отчеты и дубликаты, само собой, возрастет. В закрытой программе участвуют только заранее отобранные компанией исследователи. Если «Молния» выберет второй вариант, команда триажа поможет ей подобрать подходящих багхантеров. Ведь мы хорошо знаем комьюнити и понимаем, у кого из экспертов есть нужные навыки и опыт.
Работа с отчетами
Переходим к главной задаче триажа: сделать так, чтобы «Молния» получала только релевантные отчеты об актуальных уязвимостях. Мы тщательно проверяем уровень критичности каждого бага, корректность их описания, варианты импакта, сценарии потенциальных атак и меры митигации. Тем самым триаж обеспечивает компании четкое понимание уровня опасности найденных уязвимостей и помогает эффективно распределять ресурсы для закрытия критичных задач. Скорость реагирования на угрозы заметно возрастает, при этом «Молнии» не придется расширять штат или нагружать своих ИБ-специалистов дополнительной работой: задачи по устранению уязвимостей легко встроятся в текущие процессы ИБ-подразделения.
Помимо отчетов об отдельных уязвимостях мы предоставляем компаниям сводную аналитику по багбаунти. С ее помощью «Молния» сможет оценить общую эффективность своей программы и наметить вектор дальнейшего развития ИБ
Оценка импакта
Итак, уязвимости классифицированы и проанализированы, процесс их обработки стал более структурированным и прозрачным. Это хорошо, но CISO компании также волнует другой вопрос: сможет ли команда триажа корректно определять уровень опасности уязвимостей и оценивать возможный импакт? Ведь далеко не всегда XSS приводит к захвату аккаунтов, а SQL-инъекции не обязательно воздействуют на чувствительные данные...
Техническая оценка
В первую очередь триаж определяет, как уязвимость может повлиять на показатели CIA (confidentiality, integrity, availability). К примеру, для оценки воздействия на конфиденциальность нужно представить сценарий, в котором украденные данные окажутся в открытом доступе. Предположим, из-за SQL-инъекции в БД интернет-магазина «Молнии» утекут имена, фамилии и адреса покупателей. Это не только нанесет компании репутационный урон, но и станет причиной нарушения законодательства об обработке персональных данных.
Далее триаж оценивает сложность эксплуатации уязвимости. Иногда для ее воспроизведения требуются уникальные условия (определенный браузер, особая учетная запись и т.д.): от их наличия или отсутствия зависит итоговый уровень критичности бага. Даже уязвимость, эксплуатация которой ведет к захвату пользовательского аккаунта, может получить низкий уровень критичности, если для этого злоумышленнику потребуется Internet Explorer :) Кроме того, существует показатель Х-click, где Х — количество действий, которые нужно совершить жертве, чтобы атака прошла успешно. Чем Х больше, тем ниже уровень опасности уязвимости.
Наконец, нужно убедиться, что описанная исследователем уязвимость конечна и ее нельзя использовать для дальнейшего развития атаки. Иногда речь идет о полноценном киллчейне, для закрытия которого потребуется сразу несколько исправлений. Предположим, багхантер обнаружил уязвимость типа SQL Injection и предоставил PoC в соответствии с правилами программы (запрос, показывающий версию БД). «Молния» использует postgreSQL, а в качестве админской учетной записи — дефолтную Postgres. Такие учетные записи легко взломать и получить доступ к функционалу, доступному администраторам. Повысив себе права, злоумышленник может развить уязвимость до RCE — подобные баги нужно исправлять как можно скорее.
Бизнес-оценка
При оценке импакта на бизнес мы рассматриваем обнаруженные уязвимости в контексте конкретной компании. Так, в скоуп «Молнии» входят два сервиса — основной сайт и интернет-магазин велосипедов. Предположим, исследователь нашел на основном сайте уязвимость, которая позволяет подменять содержимое целевой страницы при переходе по ссылке. Скорее всего, отчет будет закрыт с низким уровнем критичности, но если подобная уязвимость всплывет в интернет-магазине, уровень ее опасности будет выше. В этом случае злоумышленник сможет подменить чувствительные транзакционные данные и украсть деньги клиентов.
Законодательство и регуляторы
Отдельно остановимся на оценке уязвимостей с точки зрения законодательства и требований регуляторов. В России персональные данные делятся на общедоступные, биометрические, специальные и иные. В зависимости от того, какую информацию обрабатывает система, к ней выставляются определенные требования в части ИБ. Соответственно, если эксплуатация уязвимости ведет к утечке общедоступных данных, уровень ее опасности будет ниже, чем в случае специальной или биометрической информации.
Коммуникация
Обеспечение прозрачной коммуникации между компанией и исследователями — еще одна важная задача команды триажа. Эффективное взаимодействие с багхантерами повышает их интерес к программе, что увеличивает вероятность обнаружения серьезных уязвимостей.
Мы следуем нескольким простым правилам, например:
- Общаемся доброжелательно. Придерживаемся выбранного tone of voice, подробно и оперативно отвечаем на любые вопросы исследователей.
- Дотошно проверяем всю информацию и глубоко погружаемся в детали скоупа. Багхантеры априори воспринимают менеджеров программы как людей, которые должны быть осведомлены обо всех нюансах продуктов, входящих в скоуп исследования.
- Соблюдаем SLA на каждом этапе обработки отчета. Исследователи воспринимают долгие ответы как показатель незаинтересованности в их работе. Мы заранее предупреждаем багхантеров, сколько времени уйдет на обработку отчета, и оперативно сообщаем о любых задержках.
Качество программы багбаунти напрямую влияет на репутацию компании в экспертном сообществе
***
В первую очередь триаж необходим компаниям, в которых только формируются процессы управления уязвимостями. Также услуга будет полезна организациям, в которых небольшие команды безопасников занимаются всем и сразу: им банально не хватит времени на оперативную верификацию уязвимостей.
Компаниям, которые впервые выходят на багбаунти, мы тоже рекомендуем воспользоваться услугой триажа. На старте это поможет избежать конфликтов с исследователями, связанных с оценкой уровня критичности уязвимостей, скоростью рассмотрения отчетов и качеством их верификации. Внутренняя ИБ-команда, не имеющая практики разрешения подобных спорных ситуаций, может создать компании негативную репутацию в глазах комьюнити.
