Сьогодні розкажу про справжню професійну кібербезпеку

Сьогодні розкажу про справжню професійну кібербезпеку

Сьогодні розкажу про справжню професійну кібербезпеку. Просто для порівняння з тим Л., про яке я часто пишу. Можливо – занадто часто. Але сьогодні – про “те, яка має бути”.

Відома українсько-міжнародна компанія BSG aka Berezha Security вперше за свою історію та історію української кібербезпеки опублікувала річний звіт BSG Business Outcomes and Security Vulnerabilities Report 2020 (“Звіт про результати бізнесу та вразливості безпеки 2020”), https://bit.ly/3jb4D8B
Так, звіт – англійською мовою. Якщо ти працюєш на такому глобальному ринку як кібербезпека і більшість твоїх клієнтів знаходяться поза межами України – твоя основна робоча мова має бути англійська. Інакше не буде розвитку.
Спочатку чому сам факт виходу такого звіту – вже само по собі Велика Подія української кібербезпеки.
По-перше: ніхто в Україні раніше такого не робив. Сервісні українські кібербезпекові компанії розсилали якісь дані своїм клієнтам, але у значно вужчому форматі і зовсім приватно, не публічно.
Але розказати усьому суспільству які вразливості експерти компанії познаходили під час виконання великої кількості проектів, які вразливості найчастіше трапляються і яка взагалі статистика – це ж круто, правда? Це соціально відповідально, це наносить користь усім і це не шкодить нікому, еге ж? То чому б це не зробити?
По-друге: ніхто раніше серед українських професійних сервісних компанії ще не розказував про такі інтимні речі як результати своєї бізнес-діяльності, оптимізації внутрішньої структури компанії, розробки внутрішніх інструментів, змін у стратегії на ринку та навіть перерозподіл ролей між співзасновниками. Усі боялися (та й досі бояться), що ці дані стануть доступні конкурентам і конкуренти цим обов’язково зловживатимуть.
Але у BSG резонно вирішили “Так а шо, якось соромно лідеру боятися конкурентів” і тому цей звіт став публічним. Вперше, нагадаю, за історію України.
І по-третє: потенційному інвестору в український ринок кібербезпеки якось стрьомно вкладати гроші через відсутності більш-менш достовірних даних про нього. Ніде немає хоча б приблизних релевантних даних, від загальної кількості кібератак та інцидентів, і аж до обсягів та потенціалу внутрішнього ринку. Дехто любить називати українців “найталановитішими хакерами/айтішниками/інженерами у Світі”, але не наводить якихось достовірних об’єктивних даних у підтвердження цієї сумнівної тези.
Бо їх не існує у природі, таких об’єктивних даних.
Кожна компанія тримає ці дані у себе, побоюючись конкурентів та не довіряючи держструктурам. Можливо, приклад BSG стане початком процесу структуризації та самоорганізації українського ринку кібер-послуг і важливим кроком до інтеграції країни у нормальний світовий ринок кібер-послуг.
Отже, переходжу до ключових моментів звіту (дуже стисло) – для тих у кого немає часу читати усі 13 сторінок звіту англійською.
Страшний 2020 рік став найуспішнішим за всю історію компанії BSG/Berezha Security, як фінансово, так і кількісно.
А оскільки компанія стала більшою чисельною, виникла потреба краще керувати збільшеною командою, а ще значно активізувати маркетингову активність. Для цього у компанії тепер є CMO (Chief Marketing Officer), а обов’язки менеджменту компанії були перерозподілені.
У 2020 році під час роботи по проектам компанією був застосований інноваційний підхід Threat Modeling. Дуже коротко: це коли робиться не те, що хоча клієнт, а те, що йому насправді потрібно. І це далеко не завжди одне й те саме.
Також у 2020 BSG інвестувала час та ресурси у розробку власної платформи DARTS: Dynamic Application Red Team Simulation, яка дозволить припинити обирати між зручністю та безпекою під час роботи по пентест-проектам.
Ще у 2020 було започатковано BWAPT: Berezha Web Application Pentester Training, тобто унікальний тренінг для професійних пентестерів.
По бізнес показникам: компанія зросла на 50% по сумі надходжень та на 43% – по чисельності працівників.
За 2020 рік компанія завершила 50 проектів для 33 клієнтів.
З 50 проектів: 34 були по безпеці додатків (Application Security), 8 тестувань на проникнення (Penetration Testing) та 8 тренінгів.
Географія клієнтів та проектів: тут сталася несподіванка – у 2020 році суттєво збільшилася кількість українських клієнтів. І хоча більшість з них інтегровані у міжнародний бізнес і є сучасними компаніями з розробки софта або впровадження фінтех-технологій, менше з тим – це все одно свідчить про позитивний тренд у розвитку українського бізнесу та його поступової інтеграції у світовий ринок.
Цікава статистика по галузям проектів.
Банкінг та фінтех – 12 клієнтів.
Ігрова індустрія – 5
ІТ-продукти та ІТ-сервіси – 27.
Медіа – 2,
Роздрібні продажі – 2
І нарешті найцікавіше: дані по вразливостям.
Всього за рік фахівці BSG здобули 322 файндінга (знахідка, від англ. a finding)
При підрахунку застовано важливий принцип: якщо виявлена сканером вразливість не вимагає виправлення – це не вважається файндінгом. Іншими словами, довжина звіту – це не те, що потрібно клієнту.
Розподіл 322 виявлених вразливостей:
Critical: 19
High: 32
Medium: 99
Low: 172
Якщо вразливості не є суттєвими – вони взагалі не потрапляють до звіту.
Досить цікаво як клієнти виправляли вразливості.
У кожного замовника послуг є два місяці на те, щоб усунути виявлені під час основного тестування вразливості, після чого компанія безкоштовно перевірить чи вони дійсно виправлені.
71% клієнтів можливістю безкоштовного ретесту скористалися, але хто і як – про це окремо йдеться у звіті.
Отже.
Виправлено протягом 2 місяців: 230 з 322
Ризик знижено: 14 з 322
Ризик прийнято: 3 з 322
Не випралено: 75 з 322
Наступний розділ буде найбільш цікавий існуючим клієнтам BSG: порявняти себе з «середніми значеннями».
Тож «середні значення» настпуні:
Середня кількість знахідок на звіт: 7.66
Середня кількість критичних знахідок на звіт: 0.45
Середня кількість знахідок високого ступеню ризику на звіт: 0.76
Середня кількість знахідок середнього ступеню ризику на звіт: 4.10
Середня кількість знахідок низького ступеню ризику на звіт 2.36
Далі йде Топ-10 найкритичніших вразливостей, знайдених під час проектів. Перекладати не буду, це стандартна термінологія OWASP. Та і навіщо перекладати?
Фахівці і так знають, а не-фахівцям то нафіґ не цікаво.
Sensitive Information Disclosure
Remote Code Execution (RCE)
Cross-Site Scripting (XSS)
Broken Authentication
Broken Business Logic
Broken Access Control
Lack of API Rate Limits
Insecure Direct Object Reference (IDOR)
Server-Side Request Forgery (SSRF)
Insecure Configuration
Наступною цікавою статистикою є Топ-10 найпопулярніших багів.
Sensitive Information Disclosure 60%
Cross-Site Scripting (XSS) 38%
Insecure HTTP Configuration 42%
Weak Key Management 38%
Insecure Direct Object Reference (IDOR) 18%
Use of Outdated Vulnerable Crypto 32%
Use of Outdated Vulnerable Software 28%
Broken Access Control 28%
Broken User Account Management 24%
Sensitive Services Exposure 20%
Далі по кожному пункту дається детальне пояснення та коментарі.
В кінці звіту йдуть подяки клієнтам та партнерам за те, що у 2020 BSG побила усі власні рекорди: по надходженням, по кількості проектів, по кількості одночасних проектів, по швидкості зростання.
Компанія розвивається, тому, з огляду на плани «захоплення Світу» розробила новий бренд, який більше орієнтований на міжнародний ринок.
Назва компанії наразі залишається Berezha Security, але згодом трансформується у Berezha Security Group, скорочено BSG.
Коротше, скоро будуть новини. Для тих, хто знає і цінує Berezha Security/BSG.
Насправді зробити подібний аналіз результатів своєї роботи може кожна компанія, яка працює з кейсами «на землі», тобто займається практичною кібербезпекою.
Для цього потрібно просто бажання, трохи часу для аналізу, знеособлення даних та написання тексту. І якщо так зробить кілька провідних кібербезпекових компаній – це одразу підніме вітчизняний ринок на якісно новий рівень, на якому потенційні клієнти знатимуть значно більше про послуги та товари, а продавці тих товарів та послуг – матимуть більше клієнтів. Win-Win, як то кажуть.
Тому закликаю усі провідні кібербезпекові компанії України підготувати та опублікувати звіти схожого змісту.
І до речі, хто слідкував за анонсами цього звіту від BSG – той мав можливість виграти сек’юріті-токен YubiKey, який, наприклад, широко використовується у компанії Google для безпеки внутрішніх даних та персональної кібербезпеки працівників. Але тепер вже всьо, приз вже знайшов переможця.
Велика кількість даних для аналізу та публікації точно є у CERT-UA, які теж могли б поділитися із громадськістю та ком’юніті своїми знахідками. Але важливо творчо підійти до аналізу, знати що цікавить кібер-спільноту та «споживачів кібербезпеки», не приховувати «незручні» дані та і взагалі подумати про ширше та більш якісне висвітлення діяльності єдиного у країні офіційно зареєстрованого CERT.
«А вам слабо?»
Я навіть буду готовий прокоментувати приватно якусь перед-релізну версію публікації. Чисто на волонтерських засадах і задля загального блага. Але разово 😉
Ось такі у мене сьогодні позитивні новини про справжню кібербезпеку.
Вона в Україні є, і досить високого рівня.
Щоправда – не для всіх. А лише для тих, хто її прагне. Хто усвідомлює утопічність формули швидко-якісно-безкоштовно і звертається по послуги до професіоналів. Хто не цікавиться розпилами та «освоєнням бюджетів/грантів/МТД».
Кому «їхати», а не «шашечки».
І це не тільки Berezha Security, схожого рівня сервісних компаній я знаю ще п’ять-шість.
Називати не буду, але їх доволі легко вирахувати.
Здаю алгоритм: спочатку шукаємо найбільш популярні українські кібер-конференції (OWASPUkraine/Kyiv/Lviv/Dnipro, NoNameCon, UISGCON, BSides Kyiv/Kharkiv/Ukraine, CISO DX Day), потім йдемо у розділ спонсори/партнери, переходимо на сайти тих компаній, з’ясовуємо чи вони надають потрібні нам послуги, потім трохи OSINTимо (чи не фігурують у кримінальних провадженнях, чи не ліквідовані, чи не пов’язані з корупцією, і таке інше), і далі вже можна починати придивлятися уважніше. Відповідальні професійні компанії легко спілкуються, можуть за потреби надати рекомендації від існуючих клієнтів, ці компанії – доволі публічні, беруть участь у житті кібер-ком’юніті та і взагалі цінують свою бізнес-репутацію.
Це, звісно, не інструкція, а просто лайфхак для людей які не дуже орієнтуються у внутрішній кухні української кібербезпеки.
Але вже досить про хороше на сьогодні, до нових дописів.
P.S.: хто хоче отримати повну версію звіту BSG Business Outcomes and Security Vulnerabilities Report 2020 у форматі .pdf – тому сюдою: http://bit.ly/2YExDfr
Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.