Rambler & Co принял превентивные меры по борьбе с хакерскими атаками: медиахолдинг запустил публичную программу по поиску уязвимостей на своих ресурсах на платформе, разработанной компанией Positive Technologies. Белые хакеры будут тестировать 10 проектов холдинга с наибольшей аудиторией, в том числе «Лента.ру», «Газета.ru», а также «Рамблер», «Рамблер/почту», «Афишу» и др. Об этом «Ведомостям» рассказал представитель Positive Technologies и подтвердил представитель Rambler & Co.
Цель программы Bug Bounty в том, чтобы с помощью внешних экспертов выявить и устранить уязвимости до того, как их обнаружат злоумышленники. В зависимости от уровня найденной угрозы белые хакеры получат от 2000 до 100 000 руб.
Rambler & Co лидирует среди российских медиахолдингов по размеру ежемесячной аудитории, каждый третий посетитель рунета читает издания Rambler & Co, приводит данные его представитель. Ранее Rambler & Co работал с американской платформой HackerOne, но «это была приватная программа» с закрытым доступом, говорит собеседник. HackerOne остановила выплаты багхантерам из России и Белоруссии еще в марте.
По мнению директора по кибербезопасности Rambler & Co Евгения Руденко, платформа Positive Technologies The Standoff 365 Bug Bounty выглядит наиболее зрелым решением на отечественном рынке. От нее компания ожидает «вовлечения большого числа специалистов, сильной экспертизы и дополнительного повышения уровня защищенности проектов и сервисов», объяснил Руденко.
У Rambler & Co есть рекламная сеть и сайты СМИ, взлом может вызвать общественный резонанс, объясняет гендиректор компании «Киберполигон» Лука Сафонов. У проектов Rambler & Co много собственной разработки с большим количеством легаси-кода, полученного от предыдущих разработчиков, добавляет основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
По данным Positive Technologies, доля атак на российские веб-ресурсы выросла до 22% в I квартале 2022 г. по сравнению с 13% в IV квартале 2021 г. СМИ впервые вошли в пятерку самых атакуемых: доля атак на них – 5%. «Наши исследования демонстрируют растущий интерес киберпреступников к медиаотрасли», – говорит CPO The Standoff 365 Ярослав Бабин.
Весной был взломан Rutube, через рекламную сеть взламывали «Лента.ру» и сайты других СМИ, напоминает Сафонов. Представитель Rutube сообщил, что компания проводит периодические киберучения для выявления уязвимостей и планомерные работы по их предотвращению. Статьи бюджетов, связанные с обеспечением кибербезопасности, «были пересмотрены в большую сторону». С начала года спрос медиа на ИБ-решения вырос, но «не колоссально», говорит Сафонов. «Это вопрос бюджетов, – считает он. – Все начали как минимум использовать web application firewall, средства защиты от DDoS-атак».
В основном вырос спрос на защиту от DDoS-атак, тем более что мировой лидер Cloudflare прекратил обслуживать большинство корпоративных клиентов из России, соглашается Оганесян. По данным DLBI, большая часть атак приходится на ресурсы, аффилированные с государством. Основными видами атак были DDoS, дефейсы через уязвимости в CDN и попытки подбора паролей. «Против основной проблемы российских интернет-СМИ DDoS-атак Bug Bounty, конечно, не поможет, а вероятность утечек, дефейсов и прочих взломов может снизить», – считает Оганесян.
Для успешного использования Bug Bounty, по его словам, компания и ее продукты должны быть интересны пользователям, выплаты достаточно высоки, а сервисы должны дорабатываться и расширяться. «То есть Bug Bounty Google будет привлекать интерес, а Bug Bounty Rambler – вряд ли», – считает он. «C таким уровнем оплаты они [Rambler & Co] привлекут мизерное количество хакеров, – считает Сафонов. – Средняя уязвимость должна стоить $1000–10 000, мелкие – около $500».
Руководитель департамента аудита и консалтинга Group-IB Андрей Брызгин считает программы Bug Bounty «достаточно эффективными», но в первую очередь для тех компаний, которые уже находятся на высоком уровне зрелости в ИБ-сфере и готовы платить большие деньги за критичные находки.
Платформа The Standoff 365 от Positive Technologies была представлена в мае 2022 г. По данным компании, на ней зарегистрировано более 2000 белых хакеров. Свои программы Bug Bounty разместили там VK и «Азбука Вкуса». По словам Бабина, на данный момент VK и «Азбука Вкуса» приняли более 35 отчетов об уязвимостях. Общая сумма выплат багхантерам превысила 500 000 руб.
Кроме Positive Technologies, Bug Bounty платформы есть у «Киберполигона» и BI.ZONE. «Киберполигон» открыл публичные программы Bug Bounty 1 апреля, сейчас на платформе около 10 программ, в том числе «Тинькофф» и «Сбермаркет», говорит Сафонов. Число багхантеров, по его словам, сейчас составляет 2500, но активных из них около 800. Средний размер вознаграждения по России составляет от 30 000 до 50 000 руб., отметил Сафонов.
Релиз Bug Bounty платформы BI.ZONE состоялся 25 августа, первым заказчиком стала «Авито». Сервис будет выплачивать до 300 000 руб. в зависимости от критичности и вероятности использования уязвимости. В BI.ZONE от комментариев «Ведомостям» отказались.