«Яндекс» стал первой российской компанией, вступившей в международное сообщество по безопасности Common Vulnerabilities and Exposures (CVE), объединяющее таких мировых гигантов, как Apple, Google, IBM, Oracle и др. В свою очередь, «Яндекс.Браузер» получил статус CNA, который позволяет участникам обмениваться опытом и информацией о найденных уязвимостях в софте и ускорять процесс их поиска. По мнению участников рынка, это еще больше поможет «Яндексу» в продвижении его продуктов на международном рынке.
О том, что «Яндекс» официально вступил в международное сообщество по безопасности CVE, «Ъ» сообщили в компании и подтвердили в американской корпорации MITRE, поддерживающей CVE. «Яндекс.Браузер» получил статус CNA (CVE Numbering Authority), что позволяет участникам оперативно обмениваться информацией о найденных уязвимостях в ПО, ускорять процесс их поиска, обмениваться опытом и поощрять людей, активно участвующих в программе по поиску ошибок (Bug Bounty). «Яндекс» стал первым из российских компаний, присоединившихся к CVE.
По данным на август 2016 года, статусом CNA обладают более 20 крупнейших вендоров софта в мире — среди них такие компании, как Apple, Google, IBM, Oracle, Symantec, Intel и др. Как поясняют в интернет-компании, для «Яндекс.Браузера» вступление в ассоциацию CVE означает, что теперь поиск ошибок и их устранение будут происходить быстрее за счет оперативной системы оповещений о новых ошибках и уязвимостях, найденных в продукте. «Яндекс» также сможет наблюдать за тем, какие ошибки были найдены в продуктах других компаний, а значит, перенимать опыт. «Это означает, что и сам продукт становится более защищенным»,- рассчитывают в «Яндексе».
По оценке LiveInternet, в конце октября 2016 года дневная аудитория «Яндекс.Браузера» составляла 12 млн пользователей на настольных компьютерах и ноутбуках и 6 млн — на мобильных устройствах. Недельная доля «Яндекс.Браузера» в России — 19,4% на компьютерах (второе место после Google Chrome, доля которой составляет 42,6%) и 4,7% на мобильных устройствах (Google Chrome — 56,3%, Mobile Safari — 20,5%, Android Browser — 11,2%).
Членство в CVE — хороший шаг для продвижения на международном рынке, считает руководитель направления Application Security компании Solar Security Даниил Чернов. По его мнению, на Западе сформировалось определенное недоверие к российским компаниям, и помощь сообществу, которое известно во всем мире как крупный источник описаний уязвимостей, может помочь в преодолении этого предубеждения. Этот факт говорит о важности темы кибербезопасности для «Яндекса», отмечает консультант по интернет-безопасности Cisco Алексей Лукацкий: «Исследователи, ищущие дыры в «Яндекс.Браузере», смогут получать идентификаторы не от MITRE, что долго, а от «Яндекса» напрямую».
Включение «Яндекс.Браузера» в CVE позволит в больших организациях, практикующих vulnerability management (управление уязвимостями), учитывать информацию по «Яндекс.Браузеру», продолжает ведущий исследователь ИБ Digital Security Сергей Белов. «Это наверняка понравится исследователям, которые будут искать уязвимости в «Яндекс.Браузере»,- по итогам работ они смогут получать персональные CVE-номера уязвимостей и указывать их в резюме»,- говорит он.
В России собственную базу публично известных уязвимостей ведет ФСТЭК, однако служба в первую очередь агрегирует уязвимости, характерные для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов. Многие компании, в том числе «Яндекс», «Лаборатория Касперского» и Mail.ru Group, участвуют в программах Bug Bounty, в рамках которых выплачивают исследователям вознаграждения за найденные уязвимости в своих продуктах, о которых ранее не было известно (0day). Однако еще более крупные выплаты за 0day предлагают биржи вроде Zerodium, Zeronomicon, Zero Day Initiative и Mitnicks Absolute Zero-Day Exploit Exchange, созданная бывшим хакером и ныне ИБ-специалистом Кевином Митником. Они покупают у исследователей и хакеров уязвимости, а затем перепродают их заинтересованным компаниям и госструктурам, чаще всего не ставя в известность вендора. Так, Zerodium за уязвимости в Android и Windows Phone готова заплатить до $100 тыс., а в iOS — до $500 тыс.