Positive Technologies

Positive Technologies: раскрытие уязвимостей и опыт взаимодействия исследователей и вендоров в 2022–2023 годах

Скачать в PDF

Positive Technologies: раскрытие уязвимостей и опыт взаимодействия исследователей и вендоров в 2022–2023 годах

Скачать в PDF

Введение

В сегодняшней постоянно развивающейся цифровой среде мы можем отметить огромные темпы разработки новых программных и аппаратных продуктов, появление большого числа новых и перспективных технологий — все это внедряется во многие сферы нашей жизни и направлено на повышение эффективности взаимодействия систем и устройств, улучшение целевых показателей, качества жизни.

Однако успешное внедрение и использование новых продуктов и технологий может быть нарушено, если в них найдутся уязвимости, позволяющие злоумышленникам делать все что угодно, например нарушать их работу или красть конфиденциальные данные. Один из последних примеров — массовая эксплуатация уязвимости в решении для безопасной передачи данных MOVEit File Transfer, в результате которой злоумышленники получили доступ к конфиденциальным данным и требовали у жертв выкуп за их непубликацию: всего было затронуто более 2,5 тысяч компаний и 94 млн пользователей по всему миру. Число уязвимостей постоянно растет: по данным Национального института стандартов и технологий США (The National Institute of Standards and Technology, NIST), количество обнаруженных за 2023 год уязвимостей (28 902) превысило показатели за 2021-й (20 155) и 2022 год (25 081) на 42% и 14% соответственно. Согласно информации из банка данных угроз ФСТЭК, в 2023 году было обнаружено на 42% больше уязвимостей, чем в 2021-м.

Рисунок 1. Количество обнаруженных уязвимостей в 2021–2023 годах, NIST
Рисунок 2. Количество обнаруженных уязвимостей в 2021–2023 годах, БДУ ФСТЭК

Задержки в исправлении уязвимостей и публичное раскрытие сведений об уязвимостях до появления исправлений вендоров позволяют злоумышленникам все чаще эксплуатировать их для проведения атак: согласно нашим данным, доля успешных атак, в которых были отмечены эксплуатации уязвимостей ПО и веб-приложений, в III квартале 2023 года выросла на 10 п. п. по сравнению с аналогичным периодом прошлого года. Кроме этого, средняя стоимость утечки данных, по данным IBM, за последние три года выросла на 15% и в 2023 году составила 4,45 млн долларов США — каждый взлом и утечка обходятся бизнесу все дороже.

Расширение ландшафта угроз, рост числа уязвимостей, увеличение убытков после реализации атаки на системы — основные вызовы для поставщиков программного и аппаратного обеспечения (вендоров), которые стремятся защитить свои продукты от возникающих угроз. На этом фоне создание среды сотрудничества между вендорами и исследователями безопасности является не просто лучшей практикой, но и стратегическим императивом — доверительные и прозрачные отношения между поставщиками и исследователями безопасности могут сыграть ключевую роль в укреплении защиты.

Об исследовании

В настоящем исследовании мы поделимся нашим опытом и статистикой взаимодействия с вендорами, где в роли исследователей безопасности выступали эксперты Positive Technologies, а также предложим ряд советов вендорам, которые позволят организовать прозрачный и предсказуемый процесс раскрытия уязвимостей. Исследование основано на собственных данных Positive Technologies, полученных в процессе взаимодействия с 84 поставщиками программного и аппаратного обеспечения за 2022–2023 годы по вопросам ответственного и координированного раскрытия уязвимостей.

Немного об уязвимостях

Впервые обнаруженные уязвимости обычно называются уязвимостями нулевого дня (также zero-day, или 0-day) — это выявленные недостатки безопасности, о которых производитель ПО не знает и для которых не существует исправлений на момент обнаружения. С момента обнаружения уязвимости и выпуска исправления она уже не считается уязвимостью нулевого дня, поскольку становится известной и может быть устранена.

Обнаружение уязвимостей нулевого дня зачастую требует глубоких знаний и опыта в сфере кибербезопасности, проектирования и разработки программного обеспечения. Исследователи безопасности могут решать подобные задачи как на платформах bug bounty за вознаграждение, так и путем общения с вендором напрямую. Когда производитель ПО узнает об уязвимости нулевого дня, своевременный выпуск исправления становится крайне важным из-за риска появления эксплойтов нулевого дня Эксплойт нулевого дня (zero-day exploit, 0-day exploit) — это программный код или техника, которые эксплуатируют ранее необнаруженные и неисправленные вендором уязвимости в программном обеспечении для проведения кибератак. .

Исследователям Positive Technologies из команды PT SWARM (PT Security Weakness Advanced Research and Modeling) удается находить уязвимости в самых разных продуктах ([1], [2]), а также успешно взаимодействовать с их вендорами в вопросах, касающихся устранения этих уязвимостей: за 2022–2023 годы эксперты по анализу защищенности выявили более 250 уязвимостей (70% из которых — высокого и критического уровня опасности), в программном и аппаратном обеспечении 84 вендоров.

Рисунок 3. Географическое распределение вендоров, в продуктах которых исследователи Positive Technologies нашли уязвимости

Варианты развития событий

В зависимости от выбранной исследователем цели, различаются и подходы к раскрытию уязвимостей (vulnerability disclosure):

  • Нераспространение информации (non-disclosure) — исследователи безопасности находят уязвимости и сохраняют их в тайне, используя для своих целей, либо продают сторонним организациям или на теневых площадках в дарквебе.
  • Полное раскрытие (full disclosure) — исследователи находят уязвимости и публикуют информацию о них в открытом доступе без предварительного предупреждения вендора.
  • Ответственное раскрытие (responsible disclosure) — исследователи сообщают вендору об уязвимости и предоставляют ему разумный срок для исправления проблемы, по истечении которого публикуют информацию об уязвимости. При этом, следуя принципам подхода responsible disclosure, исследователь может раскрыть информацию об уязвимости в соответствии с full disclosure в силу того, что вендор усложняет взаимодействие или не участвует в процессе устранения уязвимостей.
  • Координированное раскрытие (coordinated disclosure) — модификация ответственного раскрытия с включением во взаимодействие между исследователем и вендором государственных или международных организаций и конечных пользователей в процессе обнаружения и исправления уязвимостей. Государственные и международные организации в контексте данного подхода выступают в качестве посредника при взаимодействии исследователя с вендором.

Отличие между ответственным и координированным раскрытием заключается в том, что первый фокусируется на взаимодействии «вендор — исследователь», а второй включает координацию между всеми заинтересованными сторонами.

Рисунок 4. Действия исследователей Positive Technologies при раскрытии уязвимости

Исследователи Positive Technologies придерживаются принципов координированного раскрытия в случае обнаружения уязвимостей в продуктах вендоров: в процессе участвуют не только исследователи и вендор, но и регуляторы и организации, которые выступают посредниками во взаимодействии с поставщиками или содействуют в получении уникальных идентификаторов уязвимостей в реестрах уязвимостей. В случае если вендор усложняет взаимодействие или не участвует в процессе устранения уязвимостей, исследователи ставят в известность государственные или международные организации и через них пытаются наладить контакт с вендором по координированному подходу.

Рисунок 5. Участники процесса при координированном раскрытии уязвимости

Роль регуляторов, международных и национальных организаций в процессе разглашения уязвимостей

В процессе координированного раскрытия регуляторы и другие организации, будь то национальные или международные, играют крайне важные и иногда даже ключевые роли:

  • выступают в качестве посредников между исследователями безопасности и вендорами, если возникают сложности во взаимодействии;
  • оказывают содействие в идентификации, регистрации и присвоении уязвимостям уникальных идентификаторов;
  • помогают в координации действий всех участников процесса разглашения;
  • влияют на принятие решения о рассмотрении отчетов об обнаруженных уязвимостях, контролируют их устранение и доведение обновлений до конечных пользователей.
Наш опыт. Кейс №1

В ПО одного из вендоров системы контроля версий ПО были обнаружены уязвимости, после чего исследователи связались с вендором, но не получили ответа. После длительного ожидания было решено связаться с региональным CERTCERT (англ. computer emergency response team) — группа реагирования на компьютерные инциденты и уведомить их о наличии уязвимостей в продуктах вендора. CERT связался с вендором и обязал его к диалогу с исследователями с целью запустить процесс устранения уязвимостей и выступил в качестве посредника.

Таблица 1. Организации, участвующие в процессе координированного раскрытия уязвимостей

Тип организации Назначение Примеры
Государственные организации (регуляторы) Координирование деятельности по обеспечению информационной безопасности на государственном уровне ФСТЭК (Россия), CNITSEC (Китай), CISA (США), ENISA (Евросоюз)
Международные и национальные организации Выполняют идентификацию, регистрацию и присвоение уникальных номеров (ID) для обнаруженных уязвимостей БДУ ФСТЭК (Россия), CNA (США), MITRE (США), CNVD и CNNVD (Китай)
Команды реагирования на инциденты информационной безопасности Оперативно реагируют на инциденты и поддерживают стороны в процессе устранения уязвимостей НКЦКИ (Россия), национальные и отраслевые CERT (JPCERT/СС, ICS-CERT, Energy CERT и др.)

Почему ответственное раскрытие уязвимостей важно для всех

Осознание всех потенциальных рисков при организации прозрачного процесса раскрытия уязвимостей играет ключевую роль для поставщиков, работающих над безопасностью своих продуктов. Под прозрачным раскрытием уязвимостей мы понимаем процесс, в рамках которого вендор активно сотрудничает с исследователем, обнаружившим уязвимость, а также поддерживает взаимодействие с ним до момента выпуска обновления безопасности продукта.

Эффективное и прозрачное управление уязвимостями способствует поддержанию доверия клиентов: когда вендоры активно реагируют на отчеты об уязвимостях, предоставляют четкую информацию и оперативно выпускают обновления безопасности, это повышает уровень доверия пользователей к продуктам вендора и позволяет соответствовать нормам регуляторов. Компании, активно занимающиеся ответственным раскрытием уязвимостей, создают положительный имидж, что может привлекать новых клиентов и укреплять конкурентоспособность на рынке.

Ответственное раскрытие уязвимостей играет важную роль в предотвращении атак на цепочки поставок: за первые три квартала 2023 года количество инцидентов, вызванных атаками типа supply chain Кибератака, в ходе которой злоумышленники взламывают компанию путем компрометации поставщиков ПО или оборудования. Например, преступники могут внедрить вредоносный код в исходный код продукта или распространить вредоносные обновления, чтобы заразить инфраструктуру целевой организации. и trusted relationship Кибератака, в ходе которой злоумышленники взламывают инфраструктуру сторонней компании, у сотрудников которой есть легитимный доступ к ресурсам жертвы. , выросло в два раза по сравнению с показателями, взятыми за весь 2022 год. Быстрое реагирование на обнаруженные уязвимости в продуктах вендора помогает избежать компрометации цепочки поставок, что существенно снижает риски для бизнеса и даже целых отраслей, если есть зависимость от сложных цепочек поставок и технологических экосистем.

Прозрачный процесс ответственного раскрытия уязвимостей: все ли просто

Какие проблемы существуют

За время исследований безопасности программного и аппаратного обеспечения и взаимодействия с сотнями вендоров эксперты Positive Technologies сталкивались с различными кейсами, в которых производители показывали свой уровень зрелости в вопросах ответственного раскрытия уязвимостей и сотрудничества с исследователями безопасности.

Среди основных проблем при построении процесса ответственного раскрытия уязвимостей можно выделить:

  • Недостаточную ясность и структурированность процессов взаимодействия вендоров с исследователями.
  • Неоднородность реакции вендоров на уведомления исследователей: непостоянство и задержки в отклике создают негативный опыт и могут снижать доверие к процессу.

Мы считаем, что оптимальный временной интервал ответа вендора составляет от одного дня до недели: в такие сроки исследователям Positive Technologies смогли ответить 57% вендоров. Это обусловлено значительным сокращением времени на разработку и применение эксплойтов в реальных атаках: аналитики Qualys сообщили, что 25% уязвимостей высокого и критического уровня опасности, выявленных в 2023 году, были публично раскрыты и получили эксплойты в один и тот же день, а 75% обнаруженных уязвимостей были проэксплуатированы в течение 19 дней после раскрытия уязвимости. Минимальной задержкой (один день) между выходом на контакт с вендором и отправкой исследователем отчета об уязвимости смогли отличиться лишь 39% вендоров.

Рисунок 6. Время между уведомлением вендора об уязвимости и отправкой отчета

Доля вендоров, справившихся с оперативным реагированием и выпуском обновлений в наиболее желательный интервал от одного дня до двух недель составила 14%, что оставляет желать лучшего. Почти половина вендоров (49%) выпускала исправления в течение трех месяцев, а у 37% на это ушло больше квартала.

Рисунок 7. Время между отправкой отчета вендору и выпуском исправлений безопасности
  • Отсутствие внедренных стандартов и четких политик раскрытия уязвимостей: их наличие важно для обеспечения единообразного взаимодействия и предоставления понятных правил для всех сторон.

Согласно нашей статистике по взаимодействию с вендорами в 2022–2023 годах, лишь 27% из них имели четко определенную и явно указанную на сайте политику раскрытия уязвимостей, и контакты для связи. Стоит отметить, что у 21% вендоров были активные программы на платформах багбаунти, на которых исследователи также могли ознакомиться с положениями раскрытия информации об обнаруженных уязвимостях: размещение программ на платформах помогает привлечь больше исследователей и повысить уровень защищенности продукта.

Рисунок 8. Наличие у вендоров политик раскрытия и контактов для связи
  • Ограниченное поощрение исследователей: недостаточное признание и поощрение исследователей безопасности может отрицательно влиять на их мотивацию и желание сотрудничать, что в конечном итоге влияет на эффективность процесса.

Рекомендации для построения прозрачного процесса ответственного раскрытия уязвимостей

Исследователи PT SWARM работали в разных условиях: от полного отсутствия контактов для связи с вендором до практически идеально выверенного процесса по раскрытию уязвимостей и их устранению, когда ответственные лица вендора всегда были на связи. Все это — наш позитивный и негативный опыт, и он позволяет нам сформировать рекомендации для вендоров и сообщества, которые помогут построить прозрачный процесс ответственного раскрытия уязвимостей и взаимодействия с исследователями (или повысить эффективность имеющихся процессов и механизмов взаимодействия):

  • Действуйте профессионально и доверяйте исследователям

Специалисты сферы информационной безопасности традиционно склонны к недоверию, чувствительны к критике безопасности защищаемых ими систем — такова специфика работы. Но все участники процесса раскрытия находятся на одной стороне и прилагают много усилий для повышения безопасности продуктов и исключения эксплуатации уязвимостей злоумышленниками. Без доверия прозрачный процесс раскрытия уязвимостей имеет очень мало шансов на существование.

Наш опыт. Кейс №2

Эксперт обнаружил уязвимость в продукте одного из отечественных вендоров ПО, сообщил ему об этой проблеме и готовности сотрудничать в раскрытии уязвимости. Представители вендора ответили исследователю неконструктивной критикой и высказали сомнения в легитимности его действий.

Примите тот факт, что действия исследователей направлены не на удовлетворение собственного эго, прихоти или желания доказать, что ваш продукт плох, а на обеспечение безопасности пользователей и устранение выявленных недостатков.

  • Держите все на виду и в быстром доступе

Дайте исследователям четкую информацию о том, по каким каналам они могут связаться с вами, если в продукте была найдена уязвимость. Огромным плюсом будет наличие политики раскрытия уязвимостей — специально подготовленного документа, в котором вендор определяет приведенные ниже положения и признает действия исследователя легитимными, если они не выходят за рамки предлагаемой политики:

  • какие продукты, системы и приложения входят в область исследования безопасности;
  • что разрешено и что запрещено;
  • требования к передаваемому отчету (какие данные должен предоставить исследователь, чтобы вендор мог идентифицировать, воспроизвести и проанализировать уязвимость);
  • контакты для связи и способы передачи отчета (веб-форма, шифрованная электронная почта, программа на платформе багбаунти);
  • обязательства вендора в случае поступления отчета от исследователя и обозначение дальнейших намерений сотрудничества (сроки и порядок обратной связи, условия последующей коммуникации на протяжении всего процесса устранения уязвимости);
  • процессы, связанные с награждением и признанием заслуг исследователей.

Целью политики является:

  • оптимизация и четкое определение процесса ответственного раскрытия уязвимостей;
  • повышение вендором доверия к своим продуктам и услугам среди клиентов и сообщества;
  • демонстрация того, что вендор серьезно озабочен вопросами информационной безопасности и защитой пользователей.
Наш опыт. Кейс №3

В 2022 году исследователи Positive Technologies нашли уязвимость в аппаратном обеспечении крупного вендора и попытались связаться с ним, чтобы сообщить об этом. Это заняло у них всего несколько часов, так как на сайте вендора была размещена соответствующая политика. Ответ был получен в течение двух дней — в полном соответствии положениям политики.

Наличие опубликованных политик значительно упрощает жизнь исследователей безопасности, поскольку им не приходится тратить время на поиск специальных каналов связи и уточнение порядка передачи отчетов.

  • Будьте на связи со всеми участниками процесса

Прозрачно выстроенный процесс раскрытия уязвимостей зависит не только от наличия политик и способов передачи отчетов об обнаруженных уязвимостях, но также и от взаимодействия между участниками процесса: вендором, исследователями, регуляторами, международными организациями и пользователями. Предоставляйте оперативную и полную обратную связь всем участникам взаимодействия, чтобы все стороны понимали происходящее и успевали давать четкий и взвешенный ответ или план действий.

Наш опыт. Кейс №4

В продукте одного вендора, поставляющего решения для управления веб-контентом, была обнаружена уязвимость. Исследователи PT SWARM сообщили ему об этом, но не получили обратной связи. И только после вмешательства CERT был получен ответ: в нем было сказано, что уязвимость была исправлена, дополнительные подробности отсутствовали.

Полученная нами статистика отражает позитивную тенденцию отзывчивости вендоров на уведомления исследователей: 64% вендоров реагировали, получали отчеты исследователей и договаривались о сроках исправления уязвимости. Не отвечали более трех месяцев либо вовсе не выходили на связь 23% вендоров.

  • Будьте ответственными и действуйте быстро

После того как исследователь отправил вендору отчет с техническими деталями и получил подтверждение, что предоставленная информация будет проверена, вендор приступает к анализу полученных данных. Оценивая опасность уязвимости и ее возможное влияние на бизнес, производитель ПО разрабатывает план по устранению проблемы. Тут следует согласовать с исследователем детали раскрытия информации об уязвимости во избежание задержек в процессе исправления уязвимости: четкое определение сроков этапов взаимодействия и выхода исправлений внесет ощутимый вклад в обеспечение прозрачности процесса раскрытия уязвимостей.

Наш опыт. Кейс №5

Один из отечественных вендоров выпустил обновление безопасности в течение суток после того, как получил отчет от исследователя о наличии достаточно серьезной уязвимости.

Для повышения защищенности продукта и пользователей недостаточно быстрого ответа на письма исследователей и верификации обнаруженных уязвимостей — вендорам необходимо предпринимать реальные действия и выпускать обновления безопасности, доносить новость об обнаружении проблемы и наличии решения для ее устранения в кратчайшие сроки.

  • Поощряйте исследователей

Исследователи, находящие уязвимости в продуктах производителей ПО, имеют три основных типа мотивации:

  • желание обрести признание в сообществе, публикуя информацию о найденной уязвимости;
  • финансовая выгода, например получение вознаграждения от вендора за помощь в устранении уязвимости (багбаунти);
  • альтруизм — желание сделать продукт безопаснее для пользователей, помогая вендорам исправлять уязвимости и предотвращать возможные атаки киберпреступников.

Выплачивайте денежные вознаграждения, если это предусмотрено; упоминайте исследователей в анонсах и рекомендациях по устранению; помогайте оформлять пресс-релизы; содействуйте в получении идентификаторов уязвимостей (MITRE, БДУ ФСТЭК), так как это является неотъемлемой частью благодарности исследователям и важной отметкой в их резюме; приглашайте их на митапы и конференции с выступлениями по обнаруженным уязвимостям; упоминайте заслуги исследователей в залах славы (halls of fame). Достойное поощрение и признание заслуг исследователей за нахождение уязвимостей может мотивировать их продолжить сотрудничество с вендорами, а также привлечь новых через сарафанное радио в сообществе. Все вышеперечисленное формирует положительный имидж в сообществе, демонстрирует серьезное отношение к безопасности продуктов и пользователей.

Наш опыт. Кейс №6

От взаимодействия с крупным зарубежным вендором сетевого оборудования у нас остались самые приятные впечатления: всегда на связи, специальная команда по работе с уязвимостями, вовремя подготовленные пресс-релизы, оформленные CVE, упоминание в hall of fame.

Заключение

В период интенсивного накопления угроз несистемный подход к разглашению уязвимостей, когда исследователи информируют вендора о проблеме, а он не готов ее решать, неизбежно ведет к поражению. Именно поэтому процесс ответственного разглашения уязвимостей обладает исключительной важностью, и вендорам необходимо обращать на него особое внимание. Если злоумышленники обнаружат уязвимость нулевого дня, критическая информационная инфраструктура и значимые предприятия могут оказаться под угрозой, что приведет к огромному ущербу для целостности и конфиденциальности информации организаций. Таким образом, для вендоров крайне важно сохранять гибкость при формировании процессов прозрачного раскрытия уязвимостей.

Следует быть открытыми к исследователям, сообщающим об уязвимостях, а также к органам или организациям, координирующим процесс их устранения. Сотрудничество позволяет эффективно находить решения для обеспечения безопасности всех сторон. В то же время необходимо оперативно устранять обнаруженные уязвимости, поскольку это снижает возможности злоумышленников эксплуатировать их в ходе атак. Ответственное и прозрачное раскрытие уязвимостей не только обеспечивает безопасность конкретных систем, продуктов и приложений вендоров, но и способствует укреплению доверия исследователей, регуляторов, клиентов и партнеров и повышению уровня безопасности отраслей в целом.