Для кого актуальны APT Bug Bounty — Как выглядит процесс со стороны заказчика — Цели и результаты APT Bug Bounty
APT Bug Bounty — это подход к проверке защищенности от киберугроз, при котором независимые исследователи выявляют способы реализации недопустимых для компании событий в условиях постоянно изменяющейся инфраструктуры на платформе Standoff Bug Bounty.
Чем APT Bug Bounty отличаются от пентестов, red team и других способов проверки защищенности?
Принципиальное различие в том, что на APT Bug Bounty мы не ограничены экспертизой одной команды ИБ-специалистов. Пентесты, верификация и red team — это всегда история про конкретных людей, реальную квалификацию которых сложно оценить на старте проекта. Сегодня на рынке сложился избыточный спрос на ИБ-услуги, который породил множество недобросовестных поставщиков. Представьте: вы нанимаете команду для проведения пентеста, по итогам исполнители говорят, что вы надежно защищены, но что, если им просто не хватило компетенций, чтобы вас взломать? Или еще хуже: возможно, они даже не старались! Из-за этого многие заказчики прямо сейчас живут с ложным ощущением защищенности.
В свою очередь, APT Bug Bounty — куда более честный и прозрачный инструмент. Вы платите не за время исследователей, а за результат: реализацию недопустимых событий, которые актуальны именно для вашей компании. Обычно мы стартуем в приватном режиме — подключаем к проекту несколько десятков исследователей. Затем, если это необходимо, переходим в публичный. В этом случае защищенность компании могут проверять все, кто зарегистрирован на Standoff Bug Bounty, то есть более 14 тыс. специалистов! Для сравнения: в классических проектах red team редко участвуют больше 10–20 человек (а иногда и вовсе 2–3 исследователя).
Для компаний с каким уровнем зрелости актуальны APT Bug Bounty?
Выходить на APT Bug Bounty в приватном режиме можно с любым уровнем зрелости. Это поможет вам понять, с какими проблемами в части ИБ нужно разбираться в первую очередь. К примеру, по итогам качественного пентеста вы получите отчет на несколько сотен страниц. Какие из описанных в нем уязвимостей действительно критичны? Куда бежать прямо сейчас? Ответы придется искать самостоятельно... На APT Bug Bounty исследователи сначала снимают низко висящие фрукты — реализуют самые очевидные векторы, которые могут использовать злоумышленники. Соответственно, в первую очередь вы будете узнавать о наиболее критичных векторах и сможете грамотно расставлять приоритеты.
Все, кто хоть раз проходил через пентесты, гарантированно находятся на нужном уровне зрелости для выхода на APT Bug Bounty.
Компании из каких секторов рынка активнее всего участвуют в APT Bug Bounty?
В первую очередь это ритейлеры и финансовые организации — они всегда быстро реагируют на изменения. В целом коммерческие компании хорошо приняли нашу идею. И как ни странно, в APT Bug Bounty активно идет госсектор! Несколько крупных организаций уже разместили у нас приватные программы.
«APT Bug Bounty — это логичное развитие нашей стратегии по защите инфраструктуры медиахолдинга. Мы формируем понимание ее наиболее важных областей и фокусируемся на них. Экспертиза Positive Technologies и платформа Standoff Bug Bounty позволяют расширить "партнерство" с багхантерами для оценки защищенности наиболее ценных активов от целевых атак».
Евгений Руденко
Директор по кибербезопасности Rambler&Co
Измеримый кибербез
Как выглядит процесс APT Bug Bounty для заказчика?
Сначала нужно провести инвентаризацию внешнего периметра компании (важно понимать реальную картину здесь и сейчас). Затем необходимо сформировать список недопустимых событий, определиться с бюджетом и согласовать программу — прописать скоуп и суммы вознаграждений.
Со стороны заказчика в процессе обычно участвует CISO или специально выделенный эксперт. Со стороны Positive Technologies консультации оказывают разные команды. Если заказчику требуется помощь с формированием перечня недопустимых событий, мы привлекаем специалистов по процессному консалтингу. Если возникают трудности с расценками и скоупом, задействуем экспертов по APT Bug Bounty.
После запуска программы заказчик живет обычной жизнью: не делает послаблений или изменений в защите, реагирует на все, что происходит на периметре. Когда исследователи сдают успешный вектор, компания самостоятельно принимает решение о митигации рисков. Если же успешных кейсов не происходит, мы советуем заказчику увеличить вознаграждение, но решение всегда остается за ним.
У APT Bug Bounty есть важное ограничение: компании не могут заказывать исследования ресурсов, правами на которые обладает кто-то другой (для этого нужно отдельное разрешение). Все остальное возможно.
В чем главная цель APT Bug Bounty?
Не дать злоумышленникам реализовать недопустимые события в конкретной компании. Сразу оговорюсь: у нас нет задачи сделать так, чтобы заказчика в принципе нельзя было взломать, — это невозможно. Взломать можно кого угодно, вопрос в том, сколько ресурсов для этого потребуется. Начиная с "низковисящих фруктов" и постепенно закрывая все более сложные векторы, наши заказчики повышают уровень своей защищенности, увеличивая стоимость реализации недопустимого события на платформе Standoff Bug Bounty до точки, на которой ломать их будет попросту невыгодно (либо злоумышленникам не хватит на это компетенций). Для того чтобы достичь этого состояния, эффективно использовать APT Bug Bounty как составную часть результативной кибербезопасности (РКБ).
Каким сотрудникам компании-заказчика будут полезны результаты APT Bug Bounty?
Полученные данные будут полезны разным подразделениям и специалистам. К примеру, CISO с их помощью сможет оценить общую эффективность ИБ-команды и увидеть белые пятна в выстроенной защите. Аналитики SOC посмотрят, как именно можно взломать их компанию, и смогут продумать эффективные контрмеры. В свою очередь, топы поймут, сколько ресурсов потребуется хакерам для реализации недопустимых событий.
Что особенно важно, с помощью APT Bug Bounty топ-менеджмент может оценивать эффективность вложений в кибербезопасность здесь и сейчас. Результат работы ИБ-подразделения наконец становится измеримым! Раньше диалог между топами и CISO выглядел примерно так:
— Нас можно взломать?
— Можно!
— А если выделим еще 100 миллионов на ИБ, можно будет?
— Можно, но уже посложнее.
Проблема в том, что «посложнее» нельзя было измерить. А регулярное участие в APT Bug Bounty дает четкое понимание, действительно ли вашу компанию становится все сложнее взломать.
У APT Bug Bounty может быть хэппи-энд?
Нет, это непрерывный процесс. Во-первых, злоумышленники каждый день совершенствуют техники и методы атак. Во-вторых, инфраструктура современных компаний постоянно меняется, а значит, в ней появляются новые уязвимости. При этом собирать собственную команду пентестеров или red team — слишком сложно и дорого. Лучше выйти на APT Bug Bounty и передать эту задачу тысячам исследователей.
На PHDays Fest 2 один из спикеров сказал: «Если ты не играешь в багбаунти, багбаунти играет в тебя». Если вы участвуете в APT Bug Bounty и по ошибке выкатите наружу необновленный тестовый сервер, исследователи сразу вам об этом расскажут. В противном случае первыми, кто об этом узнает, могут быть злоумышленники, которые продадут ваши данные в даркнете.
APT Bug Bounty — это игра вдолгую. После устранения пары-тройки уязвимостей вы не достигнете абсолютной защищенности. Наши заказчики это понимают: даже те, кто пришел просто попробовать, начинают постепенно втягиваться в процесс.
***
Вытеснят ли APT Bug Bounty другие способы проверки защищенности?
Думаю, к этому все и идет. Все больше дорогих, квалифицированных экспертов, которые работают в inhouse-командах российских компаний, приходят на платформу Standoff Bug Bounty в качестве исследователей-багхантеров. Для них это способ развиваться и наращивать компетенции, а для заказчиков — возможность воспользоваться услугами людей, которых невозможно просто нанять на подряд. Все на рынке понимают ценность подобных упражнений, поэтому APT Bug Bounty — это следующий шаг развития багбаунти-платформ, сочетающий в себе эволюцию пентеста, red team и верификации.
Если у вас есть бюджет на пентест, лучше потратить его на APT Bug Bounty.
