"Яндекс" стал первой российской компанией, вступившей в международное сообщество по безопасности Common Vulnerabilities and Exposures (CVE), объединяющее таких мировых гигантов, как Apple, Google, IBM, Oracle и др. В свою очередь, "Яндекс.Браузер" получил статус CNA, который позволяет участникам обмениваться опытом и информацией о найденных уязвимостях в софте и ускорять процесс их поиска. По мнению участников рынка, это еще больше поможет "Яндексу" в продвижении его продуктов на международном рынке.
Фото: Максим Кимерлинг, Коммерсантъ
О том, что "Яндекс" официально вступил в международное сообщество по безопасности CVE, "Ъ" сообщили в компании и подтвердили в американской корпорации MITRE, поддерживающей CVE. "Яндекс.Браузер" получил статус CNA (CVE Numbering Authority), что позволяет участникам оперативно обмениваться информацией о найденных уязвимостях в ПО, ускорять процесс их поиска, обмениваться опытом и поощрять людей, активно участвующих в программе по поиску ошибок (Bug Bounty). "Яндекс" стал первым из российских компаний, присоединившихся к CVE.
По данным на август 2016 года, статусом CNA обладают более 20 крупнейших вендоров софта в мире — среди них такие компании, как Apple, Google, IBM, Oracle, Symantec, Intel и др. Как поясняют в интернет-компании, для "Яндекс.Браузера" вступление в ассоциацию CVE означает, что теперь поиск ошибок и их устранение будут происходить быстрее за счет оперативной системы оповещений о новых ошибках и уязвимостях, найденных в продукте. "Яндекс" также сможет наблюдать за тем, какие ошибки были найдены в продуктах других компаний, а значит, перенимать опыт. "Это означает, что и сам продукт становится более защищенным",— рассчитывают в "Яндексе".
Членство в CVE — хороший шаг для продвижения на международном рынке, считает руководитель направления Application Security компании Solar Security Даниил Чернов. По его мнению, на Западе сформировалось определенное недоверие к российским компаниям, и помощь сообществу, которое известно во всем мире как крупный источник описаний уязвимостей, может помочь в преодолении этого предубеждения. Этот факт говорит о важности темы кибербезопасности для "Яндекса", отмечает консультант по интернет-безопасности Cisco Алексей Лукацкий: "Исследователи, ищущие дыры в "Яндекс.Браузере", смогут получать идентификаторы не от MITRE, что долго, а от "Яндекса" напрямую".
Включение "Яндекс.Браузера" в CVE позволит в больших организациях, практикующих vulnerability management (управление уязвимостями), учитывать информацию по "Яндекс.Браузеру", продолжает ведущий исследователь ИБ Digital Security Сергей Белов. "Это наверняка понравится исследователям, которые будут искать уязвимости в "Яндекс.Браузере",— по итогам работ они смогут получать персональные CVE-номера уязвимостей и указывать их в резюме",— говорит он.
В России собственную базу публично известных уязвимостей ведет ФСТЭК, однако служба в первую очередь агрегирует уязвимости, характерные для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов. Многие компании, в том числе "Яндекс", "Лаборатория Касперского" и Mail.ru Group, участвуют в программах Bug Bounty, в рамках которых выплачивают исследователям вознаграждения за найденные уязвимости в своих продуктах, о которых ранее не было известно (0day). Однако еще более крупные выплаты за 0day предлагают биржи вроде Zerodium, Zeronomicon, Zero Day Initiative и Mitnick`s Absolute Zero-Day Exploit Exchange, созданная бывшим хакером и ныне ИБ-специалистом Кевином Митником. Они покупают у исследователей и хакеров уязвимости, а затем перепродают их заинтересованным компаниям и госструктурам, чаще всего не ставя в известность вендора. Так, Zerodium за уязвимости в Android и Windows Phone готова заплатить до $100 тыс., а в iOS — до $500 тыс.