3314
Зачем банкам «белые хакеры»
Согласно мировой статистике, финансовые организации входят в число самых активных пользователей услуг багхантеров. Этих независимых экспертов также называют «белыми хакерами», потому что они ищут уязвимости в программах и системах компаний — но не с целью взлома.
«Белые хакеры»: на светлой стороне Силы
Как известно, в любой программе или системе могут быть уязвимости — потенциальные лазейки для злоумышленников. Такие уязвимости и недочеты называются баги. Багхантеры — дословно «охотники за багами» — это независимые исследователи, которые ищут баги и сообщают о них разработчикам или владельцам систем.
В этом и заключается разница между «светлой» и «темной» сторонами. Большинство хакеров ищут уязвимости, чтобы незаконно обогатиться, например, украсть данные и продать их в даркнете или зашифровать систему и потребовать выкуп за расшифровку. «Белые хакеры», багхантеры, поступают наоборот: ищут уязвимости, чтобы компании могли вовремя устранить их. Зрелые организации ценят такие услуги и готовы за них платить.
Когда появилась идея багбаунти
В середине 1990-х годов родилась идея багбаунти — программы, которая позволяет привлекать независимых исследователей для поиска уязвимостей за вознаграждение. Она приобрела популярность около 10 лет назад. В числе первых, кто реализовал у себя такие программы, были Microsoft, Apple, Google. Следующим шагом стало создание платформ багбаунти. Компании регистрируются на них и выставляют на проверку сервисы или цифровые продукты, а багхантеры узнают о программе и начинают свои исследования.
Как работают платформы багбаунти
«Белые хакеры» не ломают инфраструктуру по-настоящему и не выводят системы из строя, а исследуют их и отправляют отчеты о найденных уязвимостях. Весь процесс происходит в едином пространстве багбаунти-платформы. Такие платформы значительно облегчают жизнь как клиентам, так и багхантерам, в том числе:
· Берут на себя все организационные задачи, включая проведение выплат за найденные баги.
· Помогают компаниям привлечь багхантеров и дают советы, как выстроить с ними эффективную коммуникацию.
· Выступают в роли арбитра, если между независимым экспертом и компанией возникает спор. Чтобы избежать противоречий, платформы обязывают организации тщательно прописывать правила программы и четко указывать: на каких ресурсах, какие именно уязвимости нужно искать и какие сообщения компания не примет, например, отчеты о проблемах, которые не входят в заявленную зону поиска.
Организации могут запускать на платформах багбаунти два вида программ. Преимущества есть у обоих подходов.
· Публичные программы. В этом случае к поиску уязвимостей подключаются все багхантеры, зарегистрированные на платформе. Такие программы позволяют найти ошибки, неочевидные для специалистов по кибербезопасности и самих разработчиков.
· Приватные программы. Здесь компания сама отбирает исследователей, которым предоставляет эксклюзивный доступ для поиска багов. В рамках приватных программ можно привлечь самых квалифицированных и известных багхантеров для более глубокого анализа. А еще это отличная возможность для новичков оценить свои возможности и улучшить процессы перед выходом в публичную программу: например, научиться работать с отчетами, их анализом и бюджетами на выплаты исследователям.
В 2020 году мировой рынок багбаунти оценивался в 223 млн долл. США, а к 2027 году эта цифра перешагнет отметку в 5 млрд долл. Почти 50% этого объема приходится на США и Канаду. В России и СНГ рынок багбаунти начал развиваться позже, поэтому потенциал его роста в ближайшие годы велик.
Как финансовый сектор стал драйвером багбаунти
Финансовый сектор — один из самых активных потребителей услуг багхантеров. Его опережают только e-commerce и крупные онлайн-платформы. Инициативы по раскрытию уязвимостей поддерживают 18% банков из списка Forbes Global. В некоторых странах (преимущественно в Европе и США) этот показатель значительно выше: программы багбаунти в том или ином виде реализуют до 70% крупных банков.
Финансовые организации оказались в числе драйверов багбаунти по ряду причин.
· Цифровизация. Финансовая отрасль всегда была в числе самых развивающихся. Именно банки стали первыми создавать цифровые экосистемы — сложные архитектуры, куда входит множество различных приложений и сервисов.Чтобы обеспечить комплексную безопасность такой экосистемы, нужен большой штат опытных специалистов, которых бывает непросто собрать. Поэтому банки часто обращаются к внешним экспертам.
· Риск кибератак. Компании финансовой сферы — мишень для киберпреступников. В 2022 году банки и страховые организации заняли 2 место в мировом списке самых атакуемых отраслей, уступив первенство только промышленным предприятиям.
· В России также растет количество кибератак на финансовые организации. Например, в марте 2022-го этот показатель вырос в 20 раз по сравнению с аналогичным периодом 2021 года. А с января по март 2023 года российские банки отразили 2,7 млн атак кибермошенников, предотвратив хищения на сумму 712 млрд рублей.
· Дефицит специалистов по кибербезопасности. Потребность в защите растет, а дефицит специалистов по кибербезопасности по-прежнему сохраняется: в России, по данным Сбера, он составляет больше 20 тыс. человек. Внутренние подразделения кибербезопасности зачастую физически не в состоянии выполнить весь объем задач компании и делегируют поиск багов независимым исследователям.
Сотрудничество с платформами багбаунти позволяет ускорить поиск уязвимостей. Это происходит не только за счет передачи вовне большинства рутинных процессов, но и благодаря опыту независимых исследователей в обнаружении багов. Для современной финансовой сферы это особенно важно, ведь любая ошибка в кибербезопасности будет стоить клиентам потерянных средств, а организации — огромных финансовых и репутационных издержек.
Как развивается российский рынок багбаунти
Российский рынок багбаунти пока молод, но динамично развивается. На трех действующих российских багбаунти-платформах еще год назад было представлено только пять компаний. А сегодня уже 15 организаций запустили публичные программы.
Как и в мировой практике, драйверами здесь выступают компании из сферы e-commerce (такие, например, как Ozon и «Авито») и финансового сектора. По данными BI.ZONE, на ритейл и финтех приходится 54% спроса на услуги багхантеров. Только на платформе BI.ZONE Bug Bounty уже представлены «Тинькофф» и несколько организаций из экосистемы Сбера.
Причина такого спроса не только в росте атак, но и в том, что бизнес продолжает переходить на российское ПО. Компании создают множество новых решений, каждое из которых нужно проверить на уязвимости.
На этом фоне мы наблюдаем важный тренд: отношение бизнеса к багхантингу меняется от недоверия к интересу. Немалую роль здесь сыграла открытая поддержка багбаунти-платформ со стороны государства. Яркий тому пример — всплеск спроса на багбаунти после запуска публичной программы поиска уязвимостей на госуслугах. В проекте приняли участие больше 8,4 тыс. независимых экспертов, которые обнаружили 34 уязвимости.
Что ждет багбаунти в будущем
В ближайшие несколько лет рынок багбаунти продолжит расти. Этому будет способствовать дальнейшая активная разработка российского ПО, сохраняющийся высокий уровень атак на компании и усложнение техник, тактик и процедур, которые используют злоумышленники. Поэтому потребность в защите систем и выявлении уязвимостей будет расти.
Заметную роль сыграют лидеры отраслей — например, крупнейшие банки, на позицию которых ориентируется большинство компаний. Успешные кейсы такого уровня продвигают выгоды багбаунти и снижают недоверие со стороны более консервативной части бизнеса.
Конечно же, независимые эксперты не заменят собственные службы безопасности. Тем более, что цель багхантинга не заменить, а усилить корпоративные подразделения безопасности, а также снять с них часть нагрузки, связанной с поиском и выявлением уязвимостей. Это помогает не только создавать более защищенные цифровые продукты и быстрее выводить их на рынок, но и сосредоточить силы внутренней команды на других, не менее важных задачах, например на процессах безопасной разработки или security awareness.
