Журнал "Information Security/ Информационная безопасность" #1, 2024

Я считаю, что BugBounty – наиболее эффективный метод сторонней ИБ-экспер- тизы. Для выхода на BugBounty мы выбрали сценарий с реа- лизацией недопустимых событий, за достижение которых готовы платить. Перечень таких событий мы сформировали заранее и корректируем его по мере поступления отчетов. – Как вы оцени- ваете программу BugBounty для поиска уязвимостей в дистрибутиве опе- рационной систе- мы? – Хотелось бы начать с того, что мы как разработчик средств защиты информации обязаны выполнять норматив- ные требования регулятора – ФСТЭК России в части работы с уязвимостями. К моменту пуб- ликации программы BugBounty в нашей компании уже был выстроен соответствующий про- цесс, а дополнительно на дого- ворной основе привлекались сторонние организации, кото- рые проводили аудит кода опе- рационной системы, так назы- ваемый заказной пентест. Это достаточно затратная инициа- тива, которая обходилась в серьезную сумму за каждый контракт. При этом результаты мы получали не самые впечат- ляющие, а выявленные недо- статки не относились к интере- сующей нас области – сред- ствам защиты информации в составе ОС. Выход на BugBounty позволил привлечь большой пул незави- симых исследователей различ- ного уровня компетенций, кото- рые осуществляют поиск уязви- мостей в соответствии с наши- ми запросами, оформленными в виде оферты. Программа была запущена в августе 2023 г., и за это время мы полу- чили уже 27 отчетов, 12 из которых признали полностью валидными, то есть отвечаю- щими нашим требованиям. Проще говоря, мы получили в разы лучший результат, обна- ружив для себя критически важ- ные вещи. Так что это очень результативная программа. Более того, я считаю, что Bug- Bounty – наиболее эффектив- ный метод сторонней ИБ-экс- пертизы. – Какие типы уязвимо- стей чаще всего обнару- живаются с помощью Bug- Bounty в вашем дистрибу- тиве операционной систе- мы? – Astra Linux Special Edition является деривативом (дистри- бутивом на основе) операцион- ной системы с открытым исход- ным кодом Debian и содержит в своем составе заимствованные компоненты с открытым исход- ным кодом, в связи с чем объ- являть программу поиска уязви- мостей (CVE) было бы непро- дуктивно. Для выхода на BugBounty мы выбрали сценарий с реализа- цией недопустимых событий, за достижение которых готовы платить. Перечень таких собы- тий мы сформировали заранее и корректируем его по мере поступления отчетов. Считаем данный подход наиболее эффективным, так как иссле- дователь в своей работе может достигать того или иного собы- тия разными способами. И так мы устраняем не только выявленные ошибки, но и про- делываем определенную работу по самому сценарию реализа- ции. Таким образом, закрытие одного отчета позволяет устра- нить несколько потенциальных уязвимостей в системе. – Каков процесс управ- ления и анализа получен- ных отчетов о найденных уязвимостях? – Как я уже говорила, до Bug- Bounty в компании был выстроен процесс управления уязвимостями. Перед выходом в публичную плоскость мы по совету представителей площад- ки, компании BI.ZONE, опубли- ковали приватную программу, к участию в которой пригласили ограниченное количество иссле- дователей. И хотя это не при- несло какого-либо значимого результата, мы успели подго- товиться и интегрировать про- цессы отработки отчетов, посту- пающих в рамках BugBounty, в корпоративные регламенты управления уязвимостями. Работает все это следующим образом: площадка проводит первичную проверку отчета (триаж) и в случае признания его валидным передает инфор- мацию нашей команде, в кото- рую входят в том числе сотруд- ники департамента анализа без- опасности. Они анализируют отчет, осуществляют необходи- мые действия в соответствии с процессом и организовывают полное сопровождение выявлен- ной уязвимости, с момента поступления информации и до выпуска необходимого обнов- ления. Таким образом, мы не тратим лишние ресурсы, не соз- даем параллельный процесс. Ничего радикально нового не произошло, просто ко всем используемым ранее источни- кам информации об уязвимостях добавился еще один. – Какие меры предпри- нимаются для быстрого реагирования и устране- ния обнаруженных уязви- мостей? Какие есть осо- бенности, если уязви- мость критическая и исправить ее нужно во внеочередном порядке? – Мы обязаны соблюдать кон- кретные сроки устранения уязвимостей, которые устанав- ливает регулятор. Могу заве- 30 • СПЕЦПРОЕКТ Главное, чтобы исследователь не ушел от нас с негативной реакцией 2023 г. в “Группе Астра" была запущена корпоративная программа BugBounty. Это первый опыт среди российских разработчиков операционных систем. Ольга Гурулева, директор департамента информационной безопасности “Группы Астра”, ответила на вопросы о ходе программы и ее результатах. В Ольга Гурулева, директор департамента информационной безопасности “Группы Астра” Фото: Группа Астра