«Кибериспытания». Сколько стоит взломать твой бизнес?

Я дирек­тор по иссле­дова­ниям в ком­пании АО «Киберис­пытание». Мы сде­лали более сот­ни краш‑тес­тов для ком­паний и смот­рим на безопас­ность гла­зами тех, кто лома­ет.

Как «Кибериспытания» меняют правила игры?

Ес­ли ты управля­ешь рис­ками, вход­ные дан­ные тебе нуж­ны в понят­ных величи­нах, и самая понят­ная из них — это день­ги.

Для пен­тесте­ров все может выг­лядеть прос­то: «находим дыру, показы­ваем, как через нее прой­ти». Но для бюрок­рата, CEO и CFO важ­но дру­гое: кто у вас уме­ет не толь­ко выяв­лять дыр­ки, но и получать из это­го поль­зу для орга­низа­ции. Вот тут и вста­ет понятие киберус­той­чивос­ти. Это не про какой‑то один экс­пло­ит, это о том, что лю­ди, про­цес­сы и тех­нологии дол­жны работать ско­орди­ниро­ван­но.

Ки­берис­пытание* дает не толь­ко спи­сок болевых точек — оно про­лива­ет свет на то, уме­ют ли коман­ды реаги­ровать, есть ли рег­ламен­ты и отра­ботан­ные каналы ком­муника­ции, работа­ют ли плей­буки и кто реаль­но нажима­ет «крас­ную кноп­ку». Про­ще: если у тво­ей ком­пании на слай­дах SOC есть, а в жиз­ни — нет, испы­тание это покажет быс­тро и без милосер­дия. И это хорошо, потому что имен­но в этот момент и люди, и про­цес­сы, и тех­нологии име­ют шанс вырас­ти.

Эта статья — про переход от «про­цен­тов» к «руб­лям», про то, как изме­рять безопас­ность и  про то, как изба­вить­ся от тре­вож­ности по этой час­ти.

Зачем бизнесу новая метрика?

Лю­бой CEO на воп­рос о том, нас­коль­ко защище­на ком­пания, нач­нет перечис­лять все при­нятые меры: «У нас внед­рен SIEM, мы регуляр­но про­водим аудит, SOC работа­ет, фаер­волы сто­ят».

Зву­чит успо­каивающе. Но раз­ве это ответ на воп­рос?

Пред­ставь: ты хочешь купить машину, и вмес­то того, что­бы ска­зать «она про­езжа­ет 500 км на пол­ном баке», тебе говорят: «в ней 5 лит­ров антифри­за, 4 дат­чика дав­ления и 80% сер­тифика­ции по стан­дарту». Смеш­но? Вот имен­но.

В кибер­безопас­ности та же исто­рия. Мет­рики есть, бумаж­ки есть, а реаль­ной кар­тины нет. Руково­дите­лю нуж­но прос­тое понима­ние: сколь­ко сто­ит взло­мать его биз­нес.

Имен­но поэто­му мы пред­ложили новую сис­тему изме­рений — Киберис­пытание.

Ком­пания ста­вит на кон кон­крет­ную сум­му и говорит: «Если смо­жете пре­дос­тавить информа­цию о том, как реали­зовать недопус­тимое событие — забирай­те день­ги».

А если ник­то не смог, зна­чит, защита реаль­но работа­ет. Все чес­тно, как в любых сорев­новани­ях.

Деньги хороши для принятия решений

Боль­шинс­тво ком­паний стро­ят отчетность по защищен­ности в про­цен­тах, maturity-бал­лах и чек­листах. Это хорошо для внут­ренних про­цедур, но пло­хо для внеш­них стрес­сов. Ата­кующий не чита­ет ваши полити­ки. Он видит повер­хность и идет по пути наимень­шего соп­ротив­ления.

Но при этом чек­листы и аттеста­ции нуж­ны. Они зада­ют порядок дей­ствий, роли в коман­де, набор обя­затель­ных арте­фак­тов. Но без реаль­ных испы­таний вся эта сис­тема прев­раща­ется в фор­маль­ность. Нас­тоящая про­вер­ка — это ког­да то, что пос­тро­ено «по бумагам» встре­чает­ся с реаль­ными ата­ками.

Со­вет дирек­торов и андеррай­теры дума­ют катего­риями сто­имос­тей и потерь. Они спра­шива­ют: «Если мы потеря­ем N кли­ентов, сколь­ко репута­цион­ного и финан­сового уро­на будет?» Оцен­ка в руб­лях дает управля­емую мет­рику для бюд­жета, для перего­воров с инвесто­рами и для опре­деле­ния при­ори­тетов: что зак­рыть в пер­вую оче­редь, что­бы мак­симизи­ровать рост порога взло­ма при минималь­ных зат­ратах.

По сути, это как ГОСТ и ТУ. ТУ — это внут­ренние пра­вила и галоч­ки: что дол­жно быть опи­сано, какие про­цес­сы задоку­мен­тирова­ны. ГОСТ — это испы­тание про­дук­та на выходе. Если не выдер­жал — его бра­куют. Так и в кибер­безе: без «ТУ» нель­зя выс­тро­ить сис­тему, но без «ГОС­Та» нель­зя доказать, что она работа­ет.

Пе­рево­дя уяз­вимос­ти в руб­ли, мы дела­ем безопас­ность инс­тру­мен­том капита­лов­ложений: каж­дая мера показы­вает не толь­ко тех­ничес­кий эффект, но и эко­номи­чес­кую отда­чу. Это поз­воля­ет срав­нивать меж­ду собой про­екты, аргу­мен­тировать бюд­жет перед CFO и пря­мо демонс­три­ровать андеррай­терам сни­жение рис­ка.

Пе­ревод в день­ги — это не повод для «пиара»: завышен­ные циф­ры губитель­ны, а недо­оцен­ка очень опас­на. Нуж­на чес­тная методо­логия и факт‑кон­троль.

Про­цен­ты хороши для соз­дания чек­листов, день­ги — для при­нятия решений. Если ты хочешь, что­бы безопас­ность обсужда­лась на уров­не совета, тог­да перево­ди риск в руб­ли и готовь экспе­римен­таль­ные дан­ные.

«Стоимость взлома»: методология и логика измерения

Раз­берем­ся по‑прос­тому. «Сто­имость взло­ма» — это не мод­ный индекс для пре­зен­тации, а реаль­ная циф­ра: сколь­ко денег надо, что­бы опыт­ный хакер взло­мал ком­панию и выпол­нил недопус­тимые события (НС).

Эта циф­ра понят­на всем. CFO видит день­ги, CTO — спи­сок задач, CISO — при­ори­теты, инвестор — риск в руб­лях. Вот и весь сек­рет.

Как формулируются НС?

Тут все мак­сималь­но при­зем­ленно:

1. Сна­чала выбира­ем реаль­ную боль биз­неса. Кра­жа денег, утеч­ка базы, падение клю­чево­го сер­виса.
2. Даль­ше — флаг. Что будет счи­тать­ся успе­хом? Тран­закция на сум­му X? Таб­лица Y с кри­тич­ными полями? Три часа прос­тоя? Или может root на сер­вере, где кру­тить­ся кор­поратив­ный пор­тал?
3. Сра­зу очер­чива­ем гра­ницы. Мож­но ли исполь­зовать физичес­кий дос­туп? Социнж? DoS? Что­бы потом не было воп­росов.
4. И пос­леднее — доказа­тель­ства. Какие арте­фак­ты при­нима­ются в отчет? Логи, скри­ны, дам­пы — фик­сиру­ем заранее.

Как это работает на практике?

Про­цесс в общих чер­тах всег­да один и тот же:

1. Под­готов­ка и кон­суль­тации с сот­рудни­ками ком­пании.
2. Анонс — пуб­личный или зак­рытый в зависи­мос­ти от задачи.
3. Ис­сле­дова­тели при­сыла­ют отче­ты и PoC. Экспертный совет реша­ет, зас­читать или нет.
4. Ес­ли информа­ция о реали­зации НС дос­товер­на — фик­сиру­ем, дела­ем раз­бор.
5. В кон­це счи­таем сто­имость взло­ма и перево­дим резуль­тат в понят­ные циф­ры.

Нюансы, о которых лучше помнить

За­коно­датель­ство и эти­ка тут не для галоч­ки. Без кон­трак­тов и рег­ламен­тов рис­куют все — и заказ­чик, и иссле­дова­тель. Недопус­тимые события нель­зя стро­ить так, что­бы стра­дали третьи лица или нарушал­ся закон.

Миллионы за взлом или спокойный сон?

Что такое «Кибериспытание»?

Сло­во «взлом» кра­сиво зву­чит в телег­рам‑чатах и на тусов­ках комь­юни­ти, но в деловой реаль­нос­ти оно опас­но и неточ­но. Киберис­пытание — это не «мы откры­ваем ворота и ждем, кто залезет». Это по­куп­ка информа­ции: ком­пания пла­тит за вос­про­изво­димый и задоку­мен­тирован­ный ответ на воп­рос «где у нас бре­ши и что с этим делать». Всё дела­ется в белых пер­чатках: зак­люча­ются кон­трак­ты, опре­деля­ется кри­терии успе­ха, соз­дает­ся спи­сок допус­тимых методов и про­думы­вает­ся «крас­ная кноп­ка» — для ава­рий­ной оста­нов­ки. Такой под­ход сни­мает юри­дичес­кие рис­ки и перево­дит раз­говор из раз­ряда «герои про­тив сис­темы» в плос­кость управлен­ческой чес­тнос­ти.

Зачем это бизнесу и CISO?

Вмес­то уны­лых про­цен­тов и галочек ком­пания получа­ет чес­тный ответ: «Сколь­ко мы реаль­но сто­им про­тив ата­кующе­го?».

На тест при­ходят живые иссле­дова­тели с раз­ным уров­нем опы­та, и имен­но они показы­вают, где мож­но надавить на «боляч­ку» по‑нас­тояще­му. В ито­ге у руководс­тва есть не отчет на 200 стра­ниц, а понят­ная кар­тина — что работа­ет, а что лома­ется, и куда вкла­дывать день­ги в пер­вую оче­редь.

Что это дает CISO? Не толь­ко бес­сонные ночи и новый перечень задач. Это — объ­ективный поток фак­тов: вос­про­изво­димые цепоч­ки, доказа­тель­ства, при­ори­теты, и самое важ­ное — аргу­мен­ты для перего­воров с теми, кто вам что‑то про­дает.

CISO получа­ет инс­тру­мент: не «мы дума­ем, что безопас­но», а «вот кон­крет­ная цепоч­ка, ее мож­но вос­про­извести, и вот сколь­ко она сто­ит в день­гах». С эти­ми циф­рами про­ще тре­бовать от вен­дора исправ­ления, про­писать ответс­твен­ность в кон­трак­те и убе­дить CFO выделить день­ги на реаль­ные меры, а не на кра­сивые слай­ды.

Как готовится компания?

Без под­готов­ки здесь никуда:

1. Фор­мулиро­вание НС. Нуж­но чес­тно ска­зать: «Для нас кри­тич­но, если укра­дут Х, уте­кут дан­ные Y или вста­нет сер­вис Z».
2. Юри­дичес­кая рам­ка. Кон­трак­ты, NDA, пра­вила учас­тия и «крас­ная кноп­ка», что­бы вов­ремя оста­новить про­цесс.
3. Внут­ренние ком­муника­ции. SOC, IT и даже PR дол­жны понимать, что делать, если «полетит».

Как проходит испытание?

• Фор­мат: либо откры­тый вызов для всех, либо при­ват с узким кру­гом иссле­дова­телей.
• Три­аж: выделен­ный совет экспер­тов про­веря­ет репор­ты и смот­рит, кто реаль­но приб­лизил ата­ку к НС.
• Вып­латы: все дол­жно быть чес­тно и проз­рачно. Если нач­нут жад­ничать — комь­юни­ти уйдет.
• Rollback: план дей­ствий на слу­чай, если тест заденет что‑то кри­тич­ное.

Что после?

Нас­тоящая работа начина­ется потом:

• Ра­зоб­рать цепоч­ки атак — от раз­ведки до конеч­ного фла­га.
• Сос­тавить роад­мап: меры, которые реаль­но под­нима­ют порог взло­ма за минималь­ные день­ги.
• Дать понят­ный мес­седж кли­ентам и пар­тне­рам: «Теперь мы силь­нее, вот что изме­нилось».

Какова роль «Кибериспытания»?

На­ша задача — быть рав­ноуда­лен­ными. Наша роль — объ­ективный «гра­дус­ник»: мы фор­миру­ем пра­вила, про­веря­ем фак­ты, ведем три­аж и перево­дим тех­ничес­кие наход­ки в биз­нес‑язык. Валиди­рует каж­дое киберис­пытание незави­симый экспертный совет, соз­данный из пред­ста­вите­лей отрасли ИБ. Без этой рав­ноуда­лен­ности циф­ры никому не будут инте­рес­ны — а зна­чит, наша чес­тность прев­раща­ет киберис­пытание в отрасле­вой стан­дарт.

На что обратить внимание?

Со­вет прос­той: не начинай сра­зу с пуб­лично­го вызова, если у тебя дыры в монито­рин­ге или SOC есть толь­ко на бумаге. Луч­ше сде­лать зак­рытый пилот, соб­рать пер­вые уро­ки и толь­ко потом выходить в откры­тый бой.

100 компаний на прочность и хакеры-миллионеры

Что показы­вают реаль­ные испы­тания?

Че­рез наши прог­раммы прош­ли сот­ни ком­паний — от бан­ков и про­мыш­ленных гиган­тов до сетей кофе­ен. На каж­дую собира­лись десят­ки, а иног­да и сот­ни иссле­дова­телей. В отдель­ных слу­чаях количес­тво учас­тни­ков перева­лива­ло за тысячу.

Цифры, которые нельзя игнорировать

• В сред­нем на одну боль­шую кам­панию выходит 100–150 иссле­дова­телей.
• В 30–45% слу­чаев недопус­тимое событие (НС) все‑таки дос­тига­ется. То есть поч­ти каж­дая третья‑чет­вертая ком­пания «пада­ет».
• Об­щие вып­латы иссле­дова­телям на локаль­ных ини­циати­вах — более 20 мил­лионов руб­лей.
• Мак­сималь­ные наг­рады за отдель­ные наход­ки доходят до мил­лионов.

Примеры, которые стали хрестоматией

• Innostage. Пуб­личный вызов с фла­гом «кра­жа средств». Пул наг­рад уве­личи­вал­ся по ходу кам­пании, сот­ни атак, десят­ки серь­езных цепочек — но ни одной финаль­ной ком­про­мета­ции. В резуль­тате ком­пания не потеря­ла день­ги, а толь­ко укре­пила доверие кли­ентов и соб­рала отличный матери­ал для улуч­шений.
• Но­вогод­ний кейс. Один иссле­дова­тель, пара дней каникул, цепоч­ка из трех уяз­вимос­тей — и нес­коль­ко мил­лионов руб­лей наг­рады. Показа­тель­ный при­мер того, что ценит­ся не один «вол­шебный экс­пло­ит», а уме­ние свя­зывать век­торы.
• Роз­ничная сеть. Падение за шесть часов. При­чина? Очень прос­той пароль у адми­на и отсутс­твие MFA. Иног­да мил­лион­ные бюд­жеты защиты валят­ся из‑за эле­мен­тарной халат­ности.

Важ­но не оди­ноч­ное попада­ние, а сис­темный и раз­носто­рон­ний поиск. Мас­штаб име­ет зна­чение: сот­ни учас­тни­ков озна­чают сот­ни взгля­дов, сот­ни спо­собов най­ти цепоч­ку, которую ты сам про­пус­тил. Раз­ные люди — раз­ные тех­ники: кто‑то видит ошиб­ку в биз­нес‑логике, кто‑то — в интегра­ции сто­рон­него API, кто‑то — в про­цес­сах обра­бот­ки пла­тежей. Чем раз­нооб­разнее пул, тем труд­нее «прик­рыть» проб­лему кос­метичес­ким фик­сом.

Управление риском в рублях

По­чему это важ­но?

Фи­нан­совый дирек­тор всег­да зада­ет один и тот же воп­рос: «Мы вло­жим в безопас­ность X — а что получим вза­мен?». Про­цен­ты зре­лос­ти и галоч­ки в чек­листах его не инте­ресу­ют. А вот циф­ра «сто­имость взло­ма» перево­дит раз­говор на его язык — язык эко­номи­ки.

Как считать ROI без лишней математики

Ал­горитм прос­той:

1. За­мерь текущий порог. Сде­лай пилот­ное испы­тание и узнай: сколь­ко сто­ит взло­мать твое пред­при­ятие пря­мо сей­час.
2. При­мени­те меру. Допус­тим, вы внед­рили MFA или сег­мента­цию. Воп­рос: нас­коль­ко вырос порог взло­ма?
3. Счи­таем рас­ходы. CAPEX, OPEX, вре­мя внед­рения — все скла­дыва­ем.
4. Срав­нива­ем. Рост порога × веро­ятность сры­ва ата­ки / зат­раты = ROI.
5. И глав­ное — оку­паемость. За сколь­ко месяцев мера отби­лась.

Всё! CFO доволен: у него на руках циф­ры, а не абс­трак­тные «повыси­ли уро­вень безопас­ности».

Что об этом думают вендоры и страховщики?

Еще один инте­рес­ный под­ход — это договор­ные отно­шения. Если у тебя на руках незави­симая денеж­ная мет­рика — почему бы не пред­ложить вен­дору взять часть ответс­твен­ности? Вен­дор говорит: «Я защищаю — я отве­чаю день­гами». Это не фан­тасти­ка: ког­да ответс­твен­ность при­вяза­на к день­гам, и интегра­тор готов опла­чивать выяв­ленные кри­тичес­кие цепоч­ки или баун­ти — качес­тво работы повыша­ется. Для стра­хов­щика же циф­ра «порог взло­ма» — реаль­ная мет­рика оста­точ­ного рис­ка. Зас­тра­ховать лег­че, пре­мию мож­но обсуждать, а для биз­неса это — путь к сни­жению общей сто­имос­ти рис­ка.

Как выглядит дашборд для совета директоров?

При­мер­ный набор мет­рик:

• Те­кущий порог взло­ма в руб­лях
• Це­левой порог пос­ле мер.
• Раз­ница в абсо­люте и про­цен­тах.
• Топ-3 недопус­тимых сце­нария и веро­ятность их реали­зации.
• Ста­тус зак­рытия кри­тичес­ких цепочек.
• Фи­нан­совый эффект: сколь­ко эко­номим в год, если дос­тигнем целево­го порога.

Та­кая кар­тинка чита­ется быс­трее любого отче­та на 100 стра­ниц.

Как внедрить без боли?

Не сто­ит начинать сра­зу со все­го хол­динга. Возь­мите одну биз­нес‑еди­ницу, про­веди­те испы­тание, собери­те циф­ры, сде­лай­те даш­борд. С этим уже мож­но идти к CFO и к стра­хов­щикам. Даль­ше — мас­шта­биро­вать.

Заключение

Ки­берис­пытания работа­ют сра­зу для всех заин­тересо­ван­ных сто­рон. Для биз­неса — это чес­тный ответ на пря­мой воп­рос: «Сколь­ко сто­ит взло­мать нашу ком­панию?». Для CISO — это поток объ­ективных фак­тов и воз­можность прев­ратить раз­говоры о безопас­ности в управля­емую эко­номи­ку. Для отрасли — это незави­симый гра­дус­ник, который показы­вает реаль­ное сос­тояние дел и зас­тавля­ет рас­ти всех: людей, про­цес­сы и тех­нологии.

* Киберис­пытание — инно­ваци­онная рос­сий­ская методи­ка оцен­ки защищен­ности при­над­лежит АО «Киберис­пытание». Раз­работа­на фон­дом «Сай­берус» сов­мес­тно с ведущи­ми пред­ста­вите­лями ИБ‑отрасли.

Реклама. АО «КИБЕРИСПЫТАНИЕ». ИНН 9707019468