Разведка боем. Как российский бизнес идет к информационной неуязвимости
Кибербезопасность бизнеса подразумевает как реактивную, так и проактивную защиту от цифровых угроз. Второй подход или комбинация обоих характерны для компаний с определенным уровнем зрелости ИБ-систем и процессов. Поиск уязвимостей средств защиты информационных активов в таком случае – одна из мер повышения их эффективности. Два способа усиления киберзащиты обсудили на дискуссии «Киберполигоны vs bug bounty», которая прошла 3 апреля в рамках выставки передовых технологий обеспечения безопасности личности, общества и государства «ЭКСПОТЕХНОСТРАЖ-2024» в КВЦ «Экспофорум».
Киберполигон представляет собой некую инфраструктуру для проведения киберучений по обнаружению угроз и отработки оперативного реагирования на них. В таких средах имитация атак помогает выявлять слабые места в ИТ-инфраструктуре без ущерба реальным ресурсам. «Хакеры внутри комьюнити и в открытых источниках легко находят информацию об уязвимостях в интересующих компаниях, а у безопасников источников данных о готовящихся атаках значительно меньше, поэтому киберполигоны становятся своего рода тренажером. В таких условиях специалисты учатся понимать методы хакерских группировок и учатся им противостоять на практике», – рассказал технический директор компании Weblock Лука Сафонов. Киберполигоны – хороший способ проверки навыков в сфере информационной безопасности, добавил эксперт департамента защиты инфраструктуры VK Дмитрий Тарадай. – «За счет тренировок на киберполигоне повышается качество и эффективность реагирования на типовые события».
«При этом создание собственного киберполигона требует существенных средств, поэтому часть компаний предпочитает их аренду. Для реализации такого проекта требуется не менее 50 млн рублей без учета затрат на создание веб-панелей, учебных пособий, зарплат разработчиков и лицензий на софт», – перечислил Лука Сафонов.
Запустить собственный киберполигон, создав новое комьюнити, могут только крупные компании. Еще один подход усиления киберзащиты – программы bug bounty – выплата вознаграждений за обнаружение уязвимостей. Компания VK начала использовать этот инструмент в 2014 году, сообщил Дмитрий Тарадай. «Просто сообщить об уязвимости недостаточно. Требуется колоссальная работа, чтобы проанализировать эту информацию и устранить слабые места. Для нас это значимый источник повышения безопасности», — подчеркнул Дмитрий Тарадай.
Таким образом, киберполигоны и программы bug bounty по сути – разные подходы для решения разных задач. В первом случае цель – в усилении навыков безопасников, во втором – средств защиты.
Эксперты обсудили и вопрос недобросовестности привлекаемых к программам поиска уязвимостей активистов. Модератор встречи, заместитель генерального директора группы компаний «Гарда» Рустэм Хайретдинов уточнил, случалось ли спикерам сталкиваться с хакерами, которые продавали информацию об обнаруженных незащищенных участках инфраструктуры. «Мы знаем таких вымогателей и блокируем их на всех доступных площадках», – ответил Лука Сафонов.
По мнению Дмитрия Тарадая, каждый специалист сам решает, по какому пути ему идти. «Bug bounty – это не только про деньги. Это и репутация, и комьюнити. Никто не запретит «черношляпить», но надо понимать, что за этим последует потеря доверия внутри комьюнити», – сказал он.
Дискуссия прошла в рамках конференции «Цифровая безопасность». Организаторами выступили Комитет по информатизации и связи Санкт-Петербурга, а также экспертный клуб «ИТ-Диалог».