С библейских времён человек работал над своими ошибками. Этот процесс даже лег в основу несколько религий, важным элементом которых стало исправление человеческих грехов — ошибок с серьезными последствиями. В то же время появилось несколько методик избавления от этих человеческих ошибок. Например, в Римско-Католической церкви в средние века возникла традиция искупать свои грехи деньгами, покупая так называемую индульгенцию. В наш компьютерный век, где ошибки в программном обеспечении могут нанести серьезный вред, также сложилась определенная традиция выкупа информации об ошибках, которая получила наименование bug bounty, что можно перевести как «вознаграждение за уязвимости».
Работа над ошибками
Конечно, сейчас индустрия разработки программного обеспечения максимально нацелена на создание безопасных программ: внедряются циклы безопасной разработки с обнаружением ошибок, проводятся бета-тестирование перед запуском продукта, собирается телеметрия о работе приложений для обнаружения ошибок, но всё-равно в продуктах остаются никем не замеченные ошибки, которые обнаруживают уже в работающих продуктах — они как раз и являются наиболее опасными, поскольку злоумышленники могут использовать их для нанесения вреда и получения прибыли. Чтобы исследователи, которые обнаружат уязвимость, не подавали информацию о них на черном рынке, возникла идея покупать эту информацию самими производителями ПО, чтобы максимально быстро исправить свои ошибки.
Собственно, индустрия bug bounty на западе возникла уже достаточно давно — программы покупки сведений об уязвимостях есть как у наиболее крупных производителей ПО, таких как Microsoft, Google, Facebook и других, но и у крупных организаций. Например, министерство обороны США имеет собственную программу bug bounty, в рамках которой покупает информацию об уязвимостях в своих ресурсах. Есть даже платформы, такие как HackerOne, которые организуют программу выплаты вознаграждений за обнаруженные ошибки для не очень крупных производителей ПО. Российские разработчики с мировым именем, такие как «Яндекс», VK и Ozon, также имеют собственные программы выкупа обнаруженных ошибок, что и позволяет им держать достаточно высокий уровень безопасности своих ресурсов.
Однако по мере усиления импортозамещению возникла потребность создания отечественной платформы для организации программ поиска ошибок и выплаты вознаграждения за них, чтобы иностранные организаторы не получили сведениям об уязвимостях в российском ПО. В этом году сразу две российские компании — Positive Technologies и «Ростелеком-Солар» объявили о создании платформ для организации программ выкупа информации об уязвимостях. В обоих случаях основой для этих сервисов является инфраструктура киберполигонов, в котором разворачивается изучаемое ПО и организуется доступ к нему для исследователей безопасности. Программное обеспечение киберполигона фиксирует все попытки эксплуатации уязвимостей и в случае обнаружения новой уязвимости ее автору выплачивается вознаграждение.
У Positive Technologies базой для программы выплат будет киберполигон The Standoff, который планируется запустить в мае следующего года. Правда, компания уже более пяти лет использует эту платформу для организации конкурса среди хакеров, который изначально проводился в рамках конференции PHDays, а потом был преобразован в отдельное мероприятие по соревнованию «красных бригад» (Red Team), которые занимаются тестированием на проникновения, и «синих бригад» (Blue Team), обеспечивающих мониторинг и безопасность информационных ресурсов. Вокруг The Standoff сложилось целое сообщество тестировщиков, которому и будет предложено проводить тестирование программного обеспечения на уязвимости. Правда, компания предложила необычный формат проведения открытого тестирования: ее специалисты предполагают сформировать реестр недопустимых событий и выплачивать вознаграждение за цепочку атак, которая точно приведет к «неприемлемому ущербу». В частности, во время проведения The Standoff 2021 сама компания Positive Technologies открыла свою инфраструктуру для проведения тестирования и обнародовала четыре недопустимых события, которые должны были реализовать нападающие. Впрочем, за время проведения мероприятия ни кому из нападающих не удалось реализовать всю цепочку атаки для указанных недопустимых событий.
Немного ранее о своей программе по поиску уязвимостей в программном и аппаратном обеспечении рассказала и компания «Ростелеком-Солар», у которой также есть свой Национальный киберполигон, разработанный в рамках реализации Федерального проекта «Информационная безопасность» Национальной программы «Цифровая экономика РФ». Тестирование решений в рамках этого проекта предполагается по классической схеме: специалисты безопасности тестируют предлагаемые программные или аппаратные решения для обнаружения в них уязвимостей, сообщают о найденных проблемах владельцу полигона и, если уязвимость подтвердиться, получают вознаграждение. Причем первое исследование уже началось — его объектом стал программно-аппаратный комплекс «Континент АП», разработанный компанией «Код Безопасности». Это средство криптографической защиты информации, которое обеспечивает защищенный доступ в корпоративную сеть с удаленных персональных компьютеров и смартфонов сотрудников. Этот ПАК можно использовать в том числе и в составе объектов критической информационной инфраструктуры.
Будет больше тестов
Собственно, свой киберполигон имеет и компания BI.Zone, которая входит в экосистему «Сберба» — вполне возможно, что и она также будет заниматься организацией программ поиска уязвимостей за вознаграждение. Как уже было сказано выше — потребность в таком открытом тестировании отечественного программного обеспечения есть, и лучше его проводить на базе отечественных платформ. Вполне возможно, что у каждого из этих проектов будет своя ниша. Так в киберполигоне The Standoff очень хорошо отработана часть промышленной инфраструктуры и работы с АСУ ТП. Проект «Ростелеком-Солар», как часть государственной программы, скорее всего будет ориентирован на государственные информационные ресурсы и решения, которые в них используются. Полигон BI.Zone, возможно, больше понравиться банковскому сообществу или в целом коммерческим компаниям. Сейчас российский рынок этих услуг только формируется, и пока не совсем понятно кто и чем будет на нем заниматься.
