Оглавление
Киберпреступники все чаще атакуют организации транспорта и наносят им серьезный ущерб. Например, в ноябре 2023 г. в Австралии из-за кибератаки приостановил работу один из крупнейших в мире портовых операторов DP World. Сбой затронул 40% всех контейнерных перевозок страны, привел к задержкам и переполнению складов. Как считают эксперты, для проникновения в сеть компании злоумышленники использовали неустраненную уязвимость в программе NetScaler. Судя по всему, DP World вовремя не установила необходимые обновления. А ведь атаки на транспорт могут привести не только к материальным потерям, но и к человеческим жертвам.
Автор: Анатолий Иванов, руководитель направления Standoff Bug Bounty
Результативный поиск уязвимостей
По данным Positive Technologies, в течение последних трех лет эксплуатация уязвимостей применялась примерно в каждой третьей успешной кибератаке на организации. При этом число обнаруженных в мире уязвимостей ПО за этот период постоянно растет: в 2023 г. их количество (28 902) превысило показатели 2021 г. и 2022 г. соответственно на 42% и 14%. По-настоящему оценить уровень своей защищенности компании и организации могут с помощью регулярного внешнего аудита, тестирования на проникновение и запуска багбаунти-программ.
Багбаунти – это программа для поиска уязвимостей в программном обеспечении, веб-приложениях и инфраструктуре компаний с привлечением большого числа внештатных независимых исследователей информационной безопасности (белых хакеров). За выявленные уязвимости организации выплачивают им вознаграждения в соответствии с условиями программы.
Багбаунти дает бизнесу возможность всесторонне протестировать свои информационные активы: исследователи могут использовать разные подходы и инструменты для поиска уязвимостей. Компании сами определяют границы работ и полностью контролируют бюджет, проверку отчетов о найденных уязвимостях и размер вознаграждения. Такой краудсорсинг позволяет более эффективно выявлять слабые места и разгрузить собственных ИТ-специалистов, чтобы они могли сосредоточиться на укреплении слабых мест и дальнейшем развитии продуктов и сервисов.
Багбаунти – это подход, ориентированный на результат. Организации выплачивают награду исследователям только за обнаруженные и подтвержденные уязвимости, а не за потраченное на их поиск время. Размер награды зависит от уровня опасности найденных уязвимостей. Такой подход и конкуренция в сообществе мотивируют исследователей мыслить нестандартно, чтобы выявлять наиболее опасные для бизнеса бреши.
Платформы багбаунти
Не все компании обладают достаточными возможностями, чтобы самостоятельно запустить программы поиска уязвимостей. На помощь бизнесу в такой ситуации приходят платформы багбаунти – агрегаторы, которые собирают программы различных организаций и позволяют исследователям безопасности выбрать интересный проект. Такие платформы предоставляют организациям всю необходимую инфраструктуру для эффективного проведения багбаунти, экспертную поддержку в верификации уязвимостей и помощь во взаимодействии с исследователями.
На российской платформе Standoff Bug Bounty, запущенной в мае 2022 г., сегодня зарегистрированы более 8,5 тыс. ИБ-исследователей. Специалисты компании Positive Technologies, создавшей эту площадку, сами оформляют перевод денег при выплате вознаграждений, упрощая этот процесс для клиентов, и оказывают компаниям другую необходимую помощь. На платформе есть и новая категория багбаунти-программ, ориентированных на исследование и закрытие целых цепочек ошибок, приводящих к недопустимым для бизнеса последствиям.
На Standoff Bug Bounty в настоящий момент размещено более 60 программ. Основная их часть предоставлена организациями из сектора ИТ (38%), госсектора (17%) и образовательными платформами (11%). Здесь также были размещены программы компаний из сфер рекламы (7%), финансовых технологий (6%), киберспорта (6%), торговли и СМИ (по 2%).
Один из наиболее значимых показателей результативности Standoff Bug Bounty – количество полученных валидных отчетов о найденных уязвимостях. За полтора года с момента запуска платформы из 1479 принятых компаниями отчетов более 10% (152) касались критически опасных уязвимостей, еще 19% (287) – уязвимостей с высокой степенью опасности. На сегодняшний день от багхантеров получено уже около более 4,5 тыс. отчетов, а общая сумма выплаченных им вознаграждений превысила 72 млн руб.
Багбаунти для транспорта
Цифровизация и трансформация транспортного сектора продолжается. Однако внедрение новых информационных технологий делает отрасль и более уязвимой для различных киберугроз. При этом атаки злоумышленников на транспорт, учитывая его связующую роль, могут не только нарушить работу отдельной компании, но и повлиять на экономику страны в целом.
По данным Positive Technologies, в 2023 г. количество успешных атак на транспортную отрасль в мире увеличилось на 36% по сравнению с 2022 г. Такой рост объясняется с общим увеличением числа кибератак, а также продолжением деятельности хактивистов, атакующих объекты значимой инфраструктуры.
Почти в каждой пятой атаке (18%) на транспортную отрасль эксплуатировались незакрытые вовремя уязвимости. Часто даже низкоквалифицированные злоумышленники могут воспользоваться готовым эксплойтом, приобретенным на теневых форумах. В такой ситуации запуск программы багбаунти – один из важнейших шагов по подтверждению высокого уровня киберустойчивости сектора транспорта и логистики.
Эксперты ожидают, что в скором будущем все больше транспортных компаний будут запускать программы поиска уязвимостей. За рубежом некоторые представители отрасли (например, LATAM Airlines, inDrive, Via Transportation) уже выходят на багбаунти. Исследователи, со своей стороны, также проявляют интерес к этому сектору: в 2023 г. 19% участников платформы HackerOne обращали внимание на программы в сфере наземного транспорта, 15% – в области авиации.
Российские первопроходцы
В России также есть примеры компаний из транспорта и логистики, запустивших свои программы багбаунти. «Новая перевозочная компания» (группа Globaltrans), один из лидеров железнодорожных перевозок грузов, разместила программу на Standoff Bug Bounty в сентябре 2023 г., чтобы проверить на уязвимости свой основной домен и его субдомены. За это время компания приняла от исследователей 56 отчетов и выплатила за найденные уязвимости более 100 тыс. руб.
Комментарий заказчика
Александр Шилов, начальник отдела информационной безопасности АО “Новая перевозочная компания”
В нашей компании есть доступные через Интернет информационные сервисы, которые позволяют сотрудникам успешно выстраивать свои бизнес-процессы. В то же время эти сервисы являются целью для хакеров и точкой входа в случае взлома. Компания неоднократно проводила и будет далее проводить пентесты для проверки своей защищенности. Багбаунти же позволяет провести более точную оценку текущей защиты периметра, так как исследователи ищут уязвимости в сервисах в режиме 24/7. Благодаря площадкам для поиска уязвимостей заказчик получает возможность быть на шаг впереди злоумышленников.
Детальное описание механизма реализации атак в отчетах исследователей дает полное понимание проблемы и способов ее устранения. НПК незамедлительно реагирует на все найденные уязвимости в сервисах и оперативно принимает решение об их исправлении. После недавнего обнаружения уязвимости нулевого дня, которую компания не могла устранить самостоятельно, сервис был закрыт до решения проблемы вендором ПО.
Для нас это был новый опыт, поэтому при выходе на багбаунти мы прошли все стадии от составления программы до момента публикации. На каждом этапе мы получали рекомендации команды Standoff, поэтому полученный опыт считаем положительным и результативным.
Экспертиза Positive Technologies незаменима при принятии отчетов и дальнейшем закрытии найденных уязвимостей, а опытная команда компании готова поддерживать новичков в багбаунти и помогает принять взвешенное решение о размере вознаграждения исследователей.
Заключение
Транспортные компании находятся на разных уровнях зрелости процессов в области информационных технологий и кибербезопасности. Большинство из них еще не осознали эффективность багбаунти как средства против растущих киберугроз. Учитывая критическую важность транспорта и потенциально катастрофические последствия кибератак на этот сектор, выход его представителей на багбаунти должен ускориться. Успешный опыт первопроходцев может вдохновить и другие организации отрасли.
ITSec_articles