0

Киберпространство является эфемерным понятием – его нельзя измерить, пощупать и рассмотреть. Государству тяжело понять, насколько защищено киберпространство страны, так как оно не имеет четких физических границ. При этом в настоящее время всё больше проблем возникает именно в этом измерении. Многие отрасли уже прошли процесс цифровизации: документооборот, денежные операции и обработка информации происходят в цифровом виде. Во всех развитых странах для решения таких проблем используются специализированные площадки для выявления уязвимостей, которые именуются BugBounty.

Площадки BugBounty официально называют Программами вознаграждений за выявленные уязвимости (Vulnerability Reward Program) и на рынке информационной безопасности они существуют с прошлого века. В мире существует множество аналогов вроде HackerOne (США) и YesWeHack (Европа), но на территории Казахстана работает первая национальная площадка BugBounty, запущенная «ЦАРКА», чья задача обеспечить защищенность информационных систем страны.

Цель статьи – на примере казахстанской площадки BugBounty показать, что настоящие платформы решают сразу несколько проблем, связанные с уязвимостями в информационных системах государственного и частного сектора, во взаимоотношениях между правительством и этичными хакерами и в обеспечении государственной безопасности в киберпространстве. Основываясь на этом, платформа BugBounty является экономически эффективным решением, которое способствует улучшению и укреплению взаимовыгодных отношений между этичными хакерами и государственными органами.

Экономическая эффективность

Международный опыт проведения программ вознаграждений за выявленные уязвимости показывает, что они намного экономически эффективнее относительно найма собственного отдела безопасности. Это заявление обосновали профессор университета Беркли Matthew Finifter и его коллеги, проводившие сравнительный анализ между найденными Исследователями BugBounty платформ уязвимостями в Google Chrome и Mozilla и собственными штатными специалистами безопасности, а также сравнив среднюю заработную плату этих специалистов. Независимые исследователи нашли 371 уязвимость, а собственные специалисты Google выявили 263 уязвимости. В случае с Mozilla хакеры обнаружили 148 уязвимостей, а собственные специалисты лишь 48. При этом выплаты Исследователям сопоставимы с заработными платами штатных специалистов Google и Mozilla – за время проведения исследования багхантерам было выплачено $186 839 (Google) и $126 000 (Mozilla), а зарплата штатных специалистов, в среднем, составляет $100 000.

Экономическая эффективность площадки заключается в широком охвате – исследователи не ограничены рамками созданной архитектуры и могут использовать более широкий спектр инструментов для выявления уязвимостей относительно штатных специалистов.

Для проверки исследования Finifter и его коллег, Thomas Walshe и Andrew Simpson повторно провели исследование. Ими было доказано, что годовое проведение BugBounty дешевле, чем найм двух разработчиков программного обеспечения. Благодаря этим заключениям можно сделать вывод, что багбаунти площадки имеют потенциал влиять на отношения между представителями государственных органов и этичными хакерами.

Правительство и хакеры

Площадка BugBounty является необходимым инструментом для улучшения потенциала защиты информационных систем и улучшения отношений между хакерами с представителями государственных органов. Кибербезопасность и киберпространство – абстрактные понятия, и когда речь заходит об обеспечении сохранности информации в цифровом виде, стандартные меры безопасности и сохранности данных перестают работать. Государственный орган не может подойти к защите данных, так как он обычно подходит к защите стратегически важных объектов – построить забор, выставить охрану по всему периметру объекта и поставить датчики, которые сообщают о взломе. Однако, все эти меры могут предпринять программисты или этичные хакеры: вместо физических стен поставить файрволлы, а физические датчики обнаружения заменить на запрограммированный круглосуточный мониторинг, который будет оповещать о взломах и ошибках в системе. В нынешнее время правительственные организации все больше прибегают к помощи хакеров через BugBounty платформы, а деятельность этих площадок легализуется и включается в государственную политику стран, тем самым укрепляя открытый диалог между правительством и этичными хакерами.

Когда дело касается улучшения потенциала защищенности информационных систем, то не раз поднимался вопрос о взаимодействии государства и частного сектора.

Правительство США и индустрия должны прийти к новому социальному контракту совместной ответственности для защиты нации в киберпространстве. Эта «коллективная защита» в киберпространстве требует полной синхронности государственного и частного сектора, где каждый использует своё сравнительное преимущество для общей защиты.

Этот тезис прозвучал в отчете Cyberspace Solarium Commission за 2020 год, который создает новый стратегический подход к кибербезопасности. Например, платформа HackerOne взаимодействует не только с правительством США, но и с правительством Сингапура и Европейским Союзом. HackerOne в рамках сотрудничества с правительственными органами США регулярно организовывает BugBounty соревнования нацеленные на выявление уязвимостей в информационных системах Пентагона, Департамента Обороны, Армии, ВВС и транспортных систем. Настоящая практика позволила создать успешный диалог между правительственными органами и хакерами, о чем говорят нижеприведенные цитаты.

Правительство США приняло программы BugBounty. [Оно] не только видит ценность подключения этичных хакеров, но также активно пользуется их инструментами.

Бетси Купер, директор Технологического политического хаба при Аспенском Институте.

 

Государственные управления, которые управляют BugBounty программами, помогли построить доверие между правительством и сообществом безопасности после того, как это доверие распалось из-за открытий Сноудена.

Крис Висопал, главный технический офицер компании в области кибербезопасности Veracode.

 

BugBounty соревнования не только дали возможность этичным хакерам работать с правительством, но также помогли правительству заполучить доверие сообщества кибербезопасности.

Кэйти Муссурис, основатель и президент Luta Security, которая помогла организовать первый правительственный BugBounty под названием «Hack the Pentagon» в 2016 году.

Давайте рассмотрим пример казахстанской площадки по вознаграждению за выявленные уязвимости, которая стала первопроходцем BugBounty площадок на рынке СНГ. Стоит детально оценить работу площадки за последние 6 месяцев и то, как данная площадка вписывается в концепт Киберщита Казахстана и добавлена в национальный проект «DigitEL».

BugBounty.kz

Казахстанская BugBounty платформа за короткое время показала впечатляющие результаты. За полгода существования платформа успела поспособствовать улучшению надежности государственных, информационных систем, и, предложить внести изменения в закон об информатизации, а именно официально признать эту платформу. BugBounty смогла добиться таких результатов благодаря эффективному выявлению уязвимостей в различных системах (например, банковский сектор) и привлечению большого количества хакеров на свою платформу для выявления уязвимостей в размещенных на платформе информационных системах. На данный момент на платформе зарегистрировалось 292 участника и было получено 509 отчетов об уязвимостях. Из присланных отчетов 326 отчетов были подтверждены аналитиками безопасности, 130 отчетов из которых были приняты владельцами информационных систем, 69 отчетов отклонены. Самые распространенные уязвимости связаны с IDOR, default credentials (учетные данные по умолчанию) и sensitive data exposure (раскрытие конфиденциальных данных). Среди настоящих отчетов были выявлены и своевременно устранены уязвимости в критически важных объектах информационно-коммуникационной инфраструктуры, занимающиеся обработкой и хранением данных о пользователях. Выявленные на государственных сайтах уязвимости отрабатываются совместно с Министерством Цифрового Развития, Инноваций и Аэрокосмической Промышленности РК (МЦРИАП), а уязвимости банковского сектора отрабатываются совместно с Национальным Банком Казахстана. Также на площадке есть открытые и закрытые программы.

Открытые программы – это информационные системы, доступные для выявления уязвимостей для всех участников.

Закрытые программы – это информационные системы, доступные только определенным пользователям. В нашем случае это лидирующим в рейтинге участникам BugBounty.

Примеры как этот, показывают, что BugBounty платформа является незаменимым инструментом для обеспечения защиты информационных систем, также выполняющая поставленные государственной концепцией “Киберщит” целей по обеспечению информационной безопасности.

Одной из целей концепции является “выработка механизмов предупреждения и оперативного реагирования на инциденты информационной безопасности”. В нашем случае платформа выявления уязвимостей справляется с поставленной задачей через оперативное выявление и профилактику уязвимостей, тем самым эффективно предупреждая инциденты. Также одной из важнейших задач концепции является:

Формирование необходимых условий для повышения осведомленности об угрозах, развития человеческого капитала и потенциала отечественной отрасли ИКТ по созданию программных продуктов и систем кибербезопасности, направленных на блокирование и подавление вредоносного программно-технического воздействия и защищенного телекоммуникационного оборудования.

BugBounty является отечественным продуктом ИКТ (информационно коммуникационные технологии), который не только повышает осведомленность об угрозах, но также развивает кадры в ИКТ через привлечение внешних экспертов – этичных хакеров. Платформа, привлекая внешних экспертов обеспечивает более эффективные выявление, предупреждение и профилактику уязвимостей в системе.

Независимый казахстанский исследователь под ником k1r (Кирилл Мурзин) сдал порядка 10 уязвимостей Электронного правительства egov.kz. Исследователь под ником shell (Павел) сдал критическую уязвимость, влияющую на практически любой домен в национальной зоне .kz . Исследователь под ником zig (Виталий) нашел критические уязвимости в системах КВОИК (критически важные обьекты ИК-инфраструктуры), включая возможность получения доступа к системе управления жизнеобеспечения целого города.

Развивая человеческий капитал в отрасли ИКТ казахстанская площадка не только выполняет задачу концепции, но также делает государственные органы, напрямую ответственные за обеспечение защиты всех информационных систем, более открытым и слышащим для экспертного мнения хакеров. До введения этой площадки обеспечение информационной и кибербезопасности было централизованным, то есть обеспечением защиты занимался один или два государственных органа. Введение BugBounty диверсифицирует подход к обеспечению безопасности посредством децентрализации методов выявления, предупреждения и профилактики уязвимостей. Децентрализация безопасности стала возможной благодаря привлечению внешних экспертов, которые смогли выявить уязвимости, скрытые от штатных программистов и архитекторов уязвимых информационных систем. Стоит детально рассмотреть один случай выявления уязвимости.

Выявление уязвимости на платформе zerde.gov.kz показывает, что BugBounty эффективно выполняет поставленную задачу и является примером успешного кооперирования между государственным и частным сектором. Этот случай является первым публичным отчетом, где была обнаружена критичная уязвимость на информационной системе zerde.gov.kz, которая называется Bypass Authorization in Admin panel и своевременно была устранена. Уязвимость позволяла получать полный доступ к административной панели веб-ресурса и проводить любые действия с кодом сайта, то есть злоумышленник мог как угодно по своему желанию изменить сайт или же разместить вредоносное программное обеспечение, которое могло загружаться на компьютер пользователя. Выявивший уязвимость исследователь также подтвердил эффективность BugBounty площадки, так как децентрализация обеспечения защиты увеличивает возможность выявления и профилактику уязвимостей в государственных информационных системах, тем самым показывая успешное кооперирование между правительственным и частным секторами. Сейчас топ-10 участников площадки выглядит следующим образом:

Основываясь на текущем результате, был предпринят совместный проект между МЦРИАП РК и ЦАРКА по внесению изменений в законодательство РК об информатизации для узаконивания существования и функционирования площадки по выявлению уязвимостей, а также для узаконивания кооперации между государственными органами и частными организациями, которые обеспечивают безопасность информационных систем. Следовательно, судя по началу данного законотворческого проекта и успешного функционирования площадки BugBounty, площадки по выявлению уязвимостей являются необходимым инструментом для успешного построения информационной безопасности и необходимым мостом, который связывает этичных хакеров и государство для построения успешного диалога во благо обеспечения сохранности и надежности.

Заключение

В заключении мировой опыт проведения BugBounty программ, как и опыт пилотной площадки в Казахстане, показывает необходимость во включении мнения частного сектора в разговоры и практики по улучшению информационной и кибербезопасности страны. Также данные программы показали свою экономическую эффективность через сравнительный анализ найденных уязвимостей в информационных системах Google и Mozilla. Соответственно, организация таких площадок является более эффективной практикой по выявлению уязвимостей в системе и их своевременным устранением.

В рамках функционирования планируется интегрировать площадку с WebTotem, что позволит владельцу информационной системы размещенной на BugBounty в режиме настоящего времени получать информацию о выявленных уязвимостях на своем дэшборде, позволяя более эффективно устранять выявленные уязвимости. Также BugBounty даст возможность молодым командам специализирующимся в области информационной безопасности без регистрации юридического лица искать уязвимости и выстраивать свою репутацию на площадке.

Алайдар Амирсейит
Аналитик ЦАРКА

ЦАРКА Академия объявила о старте регистрации на курс «Система управления информационной безопасностью: ISO/IEC 27001»

Previous article

Проект «Sandbox» Казахстана

Next article

You may also like

More in BugBounty