Константин Корсун: Що значить Bug Bounty у еволюції кібербезпеки організації. У т.ч. державної-бюджетної

Константин Корсун: Що значить Bug Bounty у еволюції кібербезпеки організації. У т.ч. державної-бюджетної

З позитивними кейсами наприкінці

Спочатку поясню на пальцях що таке Bug Bounty.

Це коли організація вже побудувала систему кібербезпеки, є система управління нею, є політики та процедури, розуміння моделі загроз, цілком професійна команда фахівців, найновіші загрози відслідковуються, усе вчасно оновлюється, патчиться, юзери навчані, пентести проведені та зроблено відповідні висновки.
Коли усе наче добре.

Але чогось не вистачає.
Точніше, є усвідомлення, що усього цього все одно недостатньо.
І то є свята правда.

Коли усе нібито працює як слід, завжди знайдуться "некритичні" баги, нестиковки між сферами відповідальності різних команд (типу CIO vs CISO vs Audit), "ой забув пофіксити" і таке інше. Плюс недоліки та вразливості, які більше видимі зовнішнім користувачам, ніж розробникам.

І ось на цьому етапі у просунутих організаціях і виникає геніальна у своїй простоті та безапеляційній хоробрості думка "А чи не ефективніше та дешевше було б оголосити публічне відкрите полювання на власні вразливості?"
Але щоб це полювання відбувалося за суворими правилами і під чітким контролем.
І з виплатою реальної винагороди спритним мисливцям. Як варіант - нагорода може бути нематеріальна, наприклад - Hall of Fame, "зал слави", де найспритніших учасників прославляють, називають найкрутішими та тішать їхнє Его різними іншими способами.
Останній варіант більш притаманний відомим, але небагатим (варіант: жадібним) організаціям. Бо знайдені вразливості на невідомому ресурсі навіть слави не принесуть.

Але, дивлячись правді в очі, далеко не кожна комерційна компанія може дорости до рівня Bug Bounty, а тим більше виплачувати те саме "баунті" (дослівно з англійської: Bounty - "щедрість") на міжнародно прийнятному рівні.

Ліричний відступ про гроші.
Оскільки Bug Bounty проводиться у Світі вже гей-ген скільки років, то й так само давно сформувалася загальноприйнята практика щодо сум виплат. 
Усі ж знають про професійних геймерів, які непогано так заробляють на тому, що грають у ігри?
Так само існують професійні "баг-баунтери" та цілі команди, які регулярно беруть участь у баг-баунті програмах по всьому Світу і кожен день мають нормальний такий кусень хліба з маслом, а дехто і з ікрою.
Кінець ліричного відступу про гроші.

Як казав класик: "…а сегодня в завтрашний день не все могут смотреть. Вернее, смотреть могут не только лишь все. Мало, кто может это делать." (С)

Якщо далеко не кожна комерційна компанія зможе дорости до Bug Bounty, то годі вже й казати про українські державні організації, особливо з фінансуванням з державного бюджету.
Які там SIEM, SOC чи керування вразливостями.
У більшості держустанов (особливо далеко від столиці чи обласного центру) мова йде просто про наявність одного системного адміністратора на кілька зліплених на колінці, з лайна та гілочок, мереж. Хоча б якогось.

Тому Bug Bounty у подібних організаціях відбудеться одразу після прокладання у райцентрі HyperLoop та перед літньою відпусткою співробітників контори на Марсі.

Якщо ж казати про центральні органи влади - міністерства, КМУ, ВРУ, АПУ та подібні установи - то тут перспектива трохи ближча і ось чому.

Виявилося, що наразі в Україні в офісі ефективного регулювання BRDO (неурядова незалежна організація, фінансується ЄС) працює команда розробників, яка опікуються переважно проектами https://regulation.gov.ua та https://ias.brdo.com.ua. 
Проекти цікаві та важливі, але їх суть безпосередньо до кібербезпеки не має прямого стосунку.
Але у розробників є бажання захистити розроблювані ними сервіси за допомогою таких публічних інструментів як Responsible Disclosure та Bug Bounty. 
Але проводити такі програми на .gov.ua, зі слів ліда розробників Олексія Дороганя, "трошки стрьомно". 
У відео можна подивитися повний виступ Олексія з цього питання на OWASP Kyiv Spring 2018 Meetup, Mar 3, 2018: https://www.youtube.com/watch?v=pzanY97lcwY

Але ж я знаю, що більшість не буде дивитися відео, тому перекажу дуже коротко.
Основних консернів два:
1) Існують прямі ризики для адмінів держустанов, оскільки проведення чогось подібного ніде регуляторними документами не передбачено, а держслужбовці мають щось робити лише "в межах, на підставі та у спосіб, прямо передбаченими законами України". Тому ризикувати своєю роботою (а то і свободою) немає ніякого сенсу. А бути "криголамом" за державну зарплату і з ризиком бути звинуваченим по кримінальним статтям - бажаючих дуже мало. Чомусь))
З власного досвіду криголамства та першопрохідства: то усе відмазки, небажання багато працювати та невміння робити правильні речі правильним способом. 
Усе можна зробити якщо дійсно бажати досягти мети.
"Роби що повинен - і будь що буде".

2) Ризики для існуючої системи забезпечення захисту інформації.
Тобто у разі ефективного коректного запуску програм Responsible Disclosure та Bug Bounty усі оті КСЗІ, атестати відповідності, сертифікація та ліцензування - стануть просто непотрібні і величезна купа чиновників залишиться без засобів існування та втратять "важелі впливу".
Дисклаймер: Олексій про це розказав дуже дипломатично та обережно, це моя власна інтерпретація слів Олексія.

Але вихід з ситуації можливий.
Що ж придумала команда Олексія?

Державний ресурс "як є" розміщується на дзеркалах десь у нейтральній хмарі, з ресурсу прибирається будь-яка "інформація, що є власністю держави" та замінюється на тестову.
Потім якась громадська організація чи доброчинна організація розміщує публічну оферту на проведення ResponsibleDisclosure та Bug Bounty на зазначених дзеркалах, де прописані стандартні міжнародні умови участі білих кулхацкерів у цих програмах.

Схема не бездоганна, але найбільш реалістична. Її запуск планується у "найближчі дні або тижні".

Але ж люди добрі.
Давайте не забувати, що оті два державні ресурси розробляються "з нуля" професійною командою за кошти ЄС та відповідною мотивацією. Без обмежень та дурості української бюрократичної системи. 
Тобто продукт вже зі старту буде на порядок кращий за абсолютну більшість існуючих державних інформаційних ресурсів.
І застосувати досвід проведення RD&BB на двох новеньких якісно зроблених ресурсах для, скажімо, якогось умовного Білоцерківського райвідділу Нацполіції буде просто неможливо. Як неможливо пояснити запорєбріку чому людей у владі необхідно регулярно змінювати.

Але я погоджуюсь з деякими друзями та колегами, що спроби змінити хоча б щось у державному секторі кібербезпеки країни мають вітатися та заохочуватися. 
Вітаю та заохочую.

І на додачу маю ще два з половиною позитивних приклади.

Ось-ось стартуватиме Bug Bounty у одному великому державному банку.

Вже запущена програма Bug Bounty у компанії Київстар.

Одна поважна державна організація активно розробляє нормативну базу, яка дозволить проводити Responsible Disclosure та Bug Bounty для усіх державних структур України.

Що ж у підсумку?

Дива найближчим часом не очікується.
Стан загальнонаціональної кібербезпеки "у середньому по лікарні" мікроскопічно вищий за нуль, з окремими виключеннями, де він може бути оцінений як більш-менш пристойний. 
У комерційному секторі він, звісно, набагато вищий за рівень бюджетних установ, але теж дуже неоднорідно.

Bug Bounty - це майже вершина еволюції організації, далеко не кожна велика західна комерційна компанія проводить у себе таке.

Але до вершини треба завжди прагнути.
Перспективи досягти таких вершин в українському бізнесі та держсекторі за існуючого жахливого рівня кібербезпеки чи повної його відсутності - наразі сумнівні.
Але паростки вже є, що трохи підіймає настрій. Десь на півгодини.

Святкувати перемогу дуже зарано, хоча замовчувати певні досягнення теж було б не чесно.

Йдучи тільки шлях подолаєш (Ріґведа).

Бережімося.

 

 

 

Константин Корсун

Поделиться​​ новостью:


- Гениальный финансист министр-замполит Рева возбудился на ЕВРО и призвал обложить налогом деньги заробитчан, пересылаемые ими в Украину
- Гладко было на бумаге... да забылы про овраги ) СМИ сообщают о переносе объединительного Собора по Томосу на декабрь. У Филарета в этом сомневаются
- Радикальная гопота перешла в ту же категорию, что и те, чьим маршам они пытаются помешать! ВИДЕО
- Кто и где заплатит на 72% больше: в Украине взлетят до небес тарифы на отопление
- Александр Гончаров: Интересно, чего хочет Гройсман? Конституционной монархии?
- В Киеве на Михайловской площади прошло вече "Белой Балаклавы" за смену власти в стране. ВИДЕО
- Срывайте пломбы! Тимошенко "уделала" Порошенко
- Стосується правоохоронних органів і беркутні
- СРОЧНО! ОН ВСЕ-ТАКИ СТАЛ ОВОЩЕМ (ДЕ-ФАКТО)! Парализованного Януковича госпитализировали
- ЗДОБУЛЫ! Партия регионов никуда не уходила, реванш давно состоялся — «Радио Свобода»
18:12Март, 15 2018 560

► РЕЗОНАНС
сегодня
за неделю