Кибериспытание: как белые хакеры помогают обезопасить бизнес

Привет, я Вячеслав Левин, сооснователь проекта «Кибериспытание». Хочу поговорить о двуличии цифровизации — как она повышает эффективность бизнеса, но и создаёт угрозы, с которыми многие компании ранее не сталкивались.

В прошлый раз я рассказал, почему CEO важно включаться в вопрос кибербезопасности компании, и кратко обозначил, что такое Кибериспытание.

В этой статье я остановлюсь подробнее на самих испытаниях — как и кем они проводятся, кто отвечает за безопасность. Материал будет интересен CISO и гендиректорам, которые задумывается о кибербезопасности своей компании.

Не оцениваем работу CISO, а помогаем

Этапы Кибериспытания

Методика

Экспертный совет и белые хакеры

Стоимость

Хакерское мышление — УТП Кибериспытания

Запуск испытаний отпугивает злоумышленников

Проект «Кибериспытание» работает на рост кибербезопасности и объединение российской ИБ-индустрии

Текущие условия требуют пересмотра традиционной роли директора по информационной безопасности (CISO), как охранителя. Задача нового CISO — обеспечить развитие бизнеса, но с соответствующим уровнем безопасности.

Это позиция полноценного бизнес-партнёра, голос которого важен и должен быть услышан. Чтобы CISO мог донести важность вопроса кибербезопасности, нужны инструменты, которые убедят и вовлекут топ-менеджмент в сотрудничество. Именно это даёт Кибериспытание.

Любой опытный CISO знает, что существует гораздо больше одного способа нанести критический ущерб компании. Некоторые из таких методов могут быть неизвестны внутренней команде. Поэтому Кибериспытание не оценивает работу CISO и его команды, а даёт дополнительную возможность стать полноценным бизнес-партнёром, который играет на опережение.

Кибериспытание не оценивает работу CISO и его команды, а даёт возможность играть на опережение киберпреступников.

Если быть максимально честным, операционно мы создаем для CISO дополнительную нагрузку. Но зато решаем фундаментальные вопросы и открываем для новые возможности.

Мы развиваем Кибериспытание, как универсальный язык, который поможет всем заинтересованным в безопасности оказаться на одной стороне. Кибериспытание — система координат, которая понятна и бизнесу, и индустрии ИБ, и государству.

Этапы Кибериспытания:

Помогаем компании определить события, которые могут привести к критическим потерям в случае кибератак. Далее вместе рассчитываем первоначальную сумму вознаграждения исследователям, чтобы она была достаточной для привлечения участников с нужной компетенцией, но не завышенной, чтобы не платить лишнее.
На следующем этапе вместе с компанией-клиентом разрабатываем условия проведения кибериспытания, чтобы обеспечить максимальную реалистичность и объективность оценки. Условия проходят обязательное согласование в независимом экспертном совете.
После этого программа кибериспытания размещается на главных российских платформах по привлечению «белых» хакеров BI.ZONE Bug Bounty или Standoff 365 Bug Bounty.
Если исследователь в процессе испытания находит подтвержденный способ реализации заявленной цели, он получает объявленное вознаграждение, а компания — всю информацию для устранения уязвимости. Если исследователи цели не достигают, компания вознаграждение не выплачивает.
Каждые 6 месяцев проводится промежуточное подведение результатов, оценивается активность исследователей, проведенных ими действий и киберустойчивости компании.

Методика и участники Кибериспытания. В основе Кибериспытания лежат разработки профессионалов ИБ-сообщества, что позволяет получить однозначный ответ об уровне защищённости компании на универсальном языке — понятном людям без специальной подготовки.

В Кибериспытании участвуют:

Организация-заказчик — обращается за проведением Кибериспытания и определяет события, которые приведут к критическим последствиям. Обычно нужно участие CISO, CFO и CEO.
Площадка — предоставляет платформу, привлекает исследователей и следит за техническим ходом Кибериспытания.
Исследователи — пытаются найти способы реализовать недопустимые или нежелательные события. Это группа из белых хакеров и ИБ-специалистов.
Экспертный совет — контролирует ход Кибериспытания, утверждает техзадание организации, составляет отчёт по итогам и решает спорные ситуации.

👉 Подготовка к испытаниям. Чтобы оценить реальную степень защиты, нужно:

Собрать команду топ-менеджеров и определить, что критично для бизнеса.
Заполнить анкету о текущем уровне кибербезопасности.
Написать техзадание на Кибериспытание.
Проверить организацию на устойчивость к кибератакам с помощью Pentest или Red Team.

Pentest (пентест) — внешняя проверка на отдельные уязвимости, которая не может подтвердить или опровергнуть возможность реализовать критическое для компании событие.

Red Team или Red Teaming — это когда команда специалистов имитирует действия реальных киберпреступников, чтобы проверить систему компании на прочность.

👉 Запуск и проведение. Кибериспытание длится от полугода и проходит в три фазы:

Привлечение. Главная задача фазы — позвать не меньше 50 исследователей. Если не выйдет, условия КИ будут пересмотрены.
Первые результаты. Здесь оцениваем активность исследователей, насколько быстро они продвигаются, чтобы найти способы реализации возможного критического ущерба компании.
Активная фаза. Исследователи продолжают искать способы нанести критический ущерб. Они регистрируют все события, которые могут повлиять на защиту, а не только критические уязвимости. Например, зафиксируют и доступ ко всему внутреннему хранилищу файлов, и доступ к учётной записи рядового сотрудника.

Кибериспытание может проходить в постоянном режиме — без ограничения по времени.

👉 Итоги и оценка. Экспертный совет готовит заключение о состоятельности Кибериспытания и отчёт по итогам. На основе заключения и отчёта организация получает балл от 0 до 100. Чем ниже балл, тем дешевле взломать организацию.

0 — организация уязвима для атак любителей
100 — взломать почти невозможно

Это универсальная оценка, с которой будут согласны все — компании, которые находятся на Кибериспытании, исследователи, которые участвуют в нём, или любая заинтересованная третья сторона, например, страховые компании. С таким инструментом можно решать разные вопросы:

Для акционера Кибериспытание даст ответ на вопрос, не потеряю ли я свои инвестиции из-за хакерской атаки?
Генеральный директор сможет оценить, насколько эффективны инвестиции в ИБ.
CISO оценит, насколько слаженно работает команда и существующие процессы.

Универсальный язык позволяет настроить качественно иной уровень взаимодействия с поставщиками услуг ИБ. Компания может определить успешное прохождение Кибериспытания с вознаграждением для исследователей в качестве критерия приёмки работ в ТЗ. Это может выглядеть радикально, зато позволит получить реальный результат.

Думаю, что не все подрядчики будут готовы работать по такому принципу, когда нужно отвечать за свои обещания, но со временем это станет нормой.

Схема, по которой мы проводим Кибериспытания

Экспертный совет и белые хакеры. Доверие к Кибериспытанию основано на объективной и независимой оценке. Это гарантируются двумя сторонами — белыми хакерами и экспертным советом. Про белых хакеров я уже упоминал, теперь расскажу про экспертный совет и объясню, зачем он нужен.

Экспертный совет — коллегиальный орган, который состоит из людей с авторитетом в ИБ-индустрии, который они заслужили, работая в компаниях–технологических лидерах. Эти люди участвуют на всех этапах Кибериспытания — от согласования условий до подведения итогов.

Экспертный совет является саморегулируемой организацией: он сам определяет состав членов в соответствии с определёнными требованиями.

При подведении итогов каждый член экспертного совета, который участвовал в конкретном Кибериспытании, «ставит на кон» свою репутацию. Таким образом, компания фактически получает оценку не от юридического лица АО «Кибериспытание» (владелец Кибериспытания), а от индустрии ИБ.

Компания на Кибериспытании получает оценку своей защищённости не от проекта «Кибериспытание», а от индустрии информационной безопасности.

В состав экспертного совета на момент декабря 2024 года входят ведущие специалисты Яндекса, Лаборатории Касперского, Positive Technologies, BI.ZONE, 3 Side, Т-Банка, Wildberries и других технологических компаний.

Актуальный состав экспертного совета на декабрь 2024

Стоимость. В 2024-м это в среднем 2-3 миллиона рублей в год, существенно ниже доступных на рынке механизмов оценки.

Первая компонента стоимости связана с операционными расходами на проведение. Она покрывает подготовку к запуску, размещение на площадках, работу экспертного совета, а также необходимые процедуры по регулярной проверке промежуточных результатов.

Вторая компонента — вознаграждение исследователям. Она выплачивается только в случае успешно найденного способа нанесения критического ущерба.

Как я уже упоминал, размер вознаграждения позволяет управлять уровнем и количеством исследователей, необходимых для проверки, через рыночные механизмы. Чем выше вознаграждение, тем более опытные исследователи придут, тем более сложные методы проверки они будут применять.

Даже в случае выплаты исследователю существенной суммы, компания приобретает знание, что нужно сделать, чтобы катастрофа не произошла на самом деле. И цена этого знания несоизмеримо мала относительно цены возможных последствий.

Даже в случае выплаты крупной суммы белому хакеру, компания приобретает более ценное знание — что нужно сделать, чтобы в реальности не случилась катастрофа.

Тестирование на проникновение, Red Teaming и Bug Bounty — отличные инструменты, которые позволяют найти уязвимости и сделать защиту лучше. Но в отличие от Кибериспытания, они не дают ответ на вопрос, возможно ли нанести критический ущерб компании или нет. А именно так звучит вопрос от СЕО.

Bug Bounty — белые хакеры на независимых площадках ищут отдельные технологические уязвимости. Делают они это постоянно, пока обозначенная уязвимость актуальна.

Кибериспытание — единственная непрерывная проверка киберзащиты компании от критических последствий для бизнеса

В тестировании на проникновение, как правило, участвует одна команда, а в кибериспытании могут быть десятки и сотни проверенных белых хакеров. У каждого будет своя уникальная экспертиза, что сделает проверку более разносторонней.

Нам привычен негативный образ хакера — человека в капюшоне, который ворует деньги. Если отбросить стереотипы и посмотреть глубже, хакер — это не преступник, это образ мышления, способность по-своему смотреть на задачу, видеть нестандартные пути решения. Именно эти характеристики всегда были присущи русской инженерной школе. Эта уникальная сила должна быть правильно использована для общества и развития нашей страны.

Лично мне белые хакеры нравятся тем, что они мало говорят и много работают на результат, потому что в Кибериспытании исследователь получает вознаграждение только в случае достижения цели.

В классическом Bug Bounty обычно выносят только публичную часть продукта, на Кибериспытании исследователи оценивают безопасность всей инфраструктуры компании.

Мы даём исследователям максимальную свободу при выборе инструментов. Единственное ограничение — уголовный кодекс Российской Федерации. Они могут использовать любые методы — от фишинга до социальной инженерии — точно так же, как действовали бы злоумышленники.

Хакерское мышление — наше конкурентное преимущество.

Хакерское мышление доказало свою состоятельность в индустрии кибербезопасности — у нас есть успешные компании и продукты, способные конкурировать на международном рынке. Необходимо развивать этот успех.

Поэтому одна из главных задач Кибериспытания — появление большого числа высокопрофессиональных исследователей. Это приведёт к повышению общей безопасности страны и к появлению новых интересных компаний и инновационных продуктов.

Безопасность — это самый частый вопрос наших клиентов. И отвечая на него, нужно понимать, что существуют фундаментальная и техническая сторона вопроса.

Фундаментальная сторона состоит в том, что запуск Кибериспытания не создаёт дополнительных рисков для компании. Исследователь не получает информации, которая помогла бы ему достичь цели. Всё, что у него есть, доступно из открытых источников.

Это так же снимает часто задаваемый вопрос: а если белый хакер не белый? Ещё одним заблуждением является размышление о том, что Кибериспытание — это реклама для злоумышленников. Эти ребята точно работают не по объявлениям, они не будут ждать Кибериспытания, чтобы попытаться вас взломать.

Наоборот: само нахождение на Кибериспытании может оттолкнуть злоумышленников, так как оно свидетельствует об определённой зрелости безопасности в компании.

Нахождение компании на Кибериспытании может оттолкнуть киберпреступников.

С технической стороны вопроса, Кибериспытание проводится в режиме полного противодействия со стороны службы информационной безопасности компании. Они не сидят и смотрят, что делают исследователи, они реагируют, как на злоумышленника. Поэтому Кибериспытание позволяет выявить не только недостатки в технологиях, но и в процессах.

Кибериспытание открывает возможность для страхования
Наша команда совместно с ключевыми игроками российского рынка страхования — Согаз, Ингосстрах, Альфастрахование и ПСБ Страхование — разработали совместный продукт, который позволяет на основе успешно пройденных Кибериспытаний застраховать критические риски.
Чем выше размер вознаграждения исследователям, при котором успешно пройдено Кибериспытание, тем выше лимит страхового покрытия и лучше условия для компании.
Уже сейчас мы готовы предлагать лимит более миллиарда рублей и продолжаем работать над его увеличением.

Про Киберстрахование рассказали в другой статье.

Как представитель ИБ-индустрии, проект «Кибериспытание» ставит перед собой и более глобальные цели — мы хотим, чтобы российский кибербез объединился.

Мы хотим, чтобы все осознали, что продолжать бороться за существующий рынок существующими методами бессмысленно. Кибериспытание предлагает безопасность, которая работает. Такой результат востребован в мире, и у нас есть возможность вырваться вперёд — изменить роль России на глобальном рынке кибербезопасности. Главное — успеть воспользоваться окном возможностей, которое точно не будет открытым долго.

Если российский кибербез объединится, мы сможем перевернуть мировой рынок безопасности.

Если мы хотим воспользоваться моментом и совершить квантовый скачок — занять существенную долю мирового рынка кибербезопасности — нам нужно объединятся. Объединение поможет создать новый рынок и новый спрос, где каждая компания, разделяющая общие цели, найдёт возможность реализовать свои амбиции.

У нас уже есть примеры, когда разработчики ИБ-решений выходят на Кибериспытание, чтобы быть уверенными, что через их продукты и сервисы злоумышленники не смогут нанести критический ущерб компаниям-клиентам. Но таких примеров должны быть сотни и тысячи.

Важно объединение не только компаний из кибербезопасности — нужны разные силы, чтобы решить такую большую задачу. Кто-то создает классные продукты, кто-то умеет их правильно применять, кто-то обеспечивает независимую оценку, кто-то готовит кадры, кто-то хорошо продаёт. Главное всем вместе обеспечить результат.

Такое объединение уже происходит на базе фонда развития результативной кибербезопасности Сайберус, частью которого является проект «Кибериспытание». И чем больше будет участников, которые разделяют наши ценности, тем быстрее мы добьёмся поставленных задач.

Профессионалов ИБ мы приглашаем стать соавторами индустриальной методики оценки кибербезопасности, а также членами экспертного совета. А всех остальных приглашаем пройти Кибериспытания, чтобы стать защищённым элементом российской экономики.

Запустить Кибериспытание