Александр КравченкоПодготовка к запуску программы кибериспытаний
Ядро методологииАлександр КравченкоАлександр КравченкоАлександр КравченкоПрограмма кибериспытаний во многом похожа на классический подход. В обоих вариантах речь идет об информационных активах, исследователях кибербезопасности, отчетах и вознаграждении.
Кибериспытания — это привлечение независимых исследователей кибербезопасности и специалистов по анализу защищенности и тестированию на проникновение к проверке всей ИТ-инфраструктуры организации с условием выплаты вознаграждения (или другого поощрения) за реализацию критерия реализации недопустимого события.
Как видно из определения, краеугольным камнем такой программы является тестирование ИТ-инфраструктуры организации на возможность реализации недопустимого события.
В рамках подготовки к запуску bug bounty существует ряд контрольных точек, прохождение которых существенно упростит создание и использование программы.
Формат кибериспытаний в качестве цели предполагает реализацию одного или нескольких недопустимых событий, определенных в организации. Информационным активом в данном случае является вся ИТ-инфраструктура заказчика, так как злоумышленник может проводить атаки на все доступные ресурсы, а именно:
Кроме того, злоумышленники (и, соответственно, потенциальные исследователи) могут использовать методы социальной инженерии (например, фишинг) — такие атаки могут быть направлены на всех сотрудников организации.
Важный шаг в процессе формирования программы — это определение границ исследования, которые потенциальный исследователь обязан будет соблюдать, и критериев реализации недопустимых событий для достоверной проверки.
Необходимо определить бюджет на проведение программы, а также определиться, в каком формате будут совершаться выплаты: будут ли это прямые выплаты исследователю за каждое реализованное недопустимое событие или выплаты из фонда, который резервируется под соответствующие цели.
Следует помнить, что за реализацию недопустимого события исследователям следует выплачивать повышенное вознаграждение (1–5% от возможного ущерба при реализации недопустимого события) в сравнении с вознаграждением за нахождение критически опасных уязвимостей, так как проверенная на практике возможность его реализации однозначно подтверждает угрозу для выполнения операционных и стратегических целей организации.
На следующем этапе необходимо выбрать формат публикации программы — опубликовать ее самостоятельно или воспользоваться услугами специализированной платформы.
Самостоятельная публикация используется не так часто и обладает своими преимуществами и недостатками:
Размещение программ bug bounty на специализированных площадках активно набирает популярность. Существуют различные зарубежные и российские платформы bug bounty (BI.ZONE Bug Bounty, HackerOne, Standoff365).
Платформы bug bounty — это электронные площадки, созданные для организации поиска уязвимостей и анализа защищенности сообществом исследователей безопасности. Специалисты платформ предоставляют необходимую инфраструктуру, оказывают поддержку и дают экспертные рекомендации
При выборе этого формата следует учесть:
Внутри любой организации должен быть сформирован перечень подразделений или ответственных лиц, которые будут отвечать:
Как правило, подобные роли и задачи должны быть зафиксированы во внутренней нормативной документации.