«Когда ты покупает отчёт о угрозах у подрядчика, ты может спонсировать хакера, который атаковал вашего конкурента.»
Серый рынок уязвимостей: три слоя посредников
Классическая модель bug bounty предполагает прямой контракт между исследователем и компанией. Серый рынок работает по другой логике. Он создаёт промежуточные слои, которые отдаляют конечного покупателя от первоначального продавца и меняют суть сделки.
- Первый слой (брокер данных). Фигура, которая покупает сырые данные, уязвимости или эксплойты на низовом уровне. Его задача — анонимизировать источник, оценить материал и найти покупателя. Он не исправляет баги и не пишет аналитические отчеты. Он торгует сырьём.
- Второй слой (агрегатор угроз). Часто легальная или полулегальная компания, которая предоставляет услуги threat intelligence, мониторинга угроз или цифровой разведки. Она покупает структурированные данные от брокера, но не как «уязвимость», а как «индикатор компрометации», «паттерн атаки» или «контекст для риска». Этот слой добавляет аналитику, оформляет продукт в виде отчёта, презентации или интеграции в SIEM.
- Третий слой (корпоративный покупатель). Компания из реального сектора, которая приобретает услуги агрегатора для защиты собственной инфраструктуры, оценки рисков при сделках или конкурентного анализа. Формально она платит за аналитику, патч или рекомендации. Фактически её деньги проходят всю цепочку, частично возвращаясь к первоначальному источнику.
Эта трёхслойная модель объясняет парадокс: крупная компания может публично поддерживать этичные принципы bug bounty, но её бюджет на cybersecurity косвенно питает тот же теневой рынок, который она якобы отвергает.
Финансовые потоки: как деньги движутся по цепочке
Чтобы понять масштаб, нужно оценить разницу в стоимости продукта на каждом уровне.
| Уровень цепочки | Что продаётся | Примерная стоимость (в условных единицах) | Кто платит |
|---|---|---|---|
| Исходный продавец (хакер) | Сырой эксплойт для конкретной CMS, незадокументированный вектор атаки | 5–20 | Брокер данных |
| Брокер данных | Оценённый и анонимизированный вектор, готовый для передачи | 50–200 | Агрегатор угроз |
| Агрегатор угроз | Отчёт «Анализ угроз для финансового сектора с рекомендациями по защите CMS X» | 500–2000 | Корпоративный клиент (банк, крупная компания) |
Разница в цене между первым и последним уровнем достигает 100 раз. Эта маржа распределяется между посредниками, но часть всегда возвращается вниз, создавая экономический стимул для первоначального продавца. Именно этот стимул поддерживает экосистему в активном состоянии.
[ИЗОБРАЖЕНИЕ: Диаграмма потоков денежных средств от корпоративного клиента через агрегатора угроз и брокера данных к исходному хакеру. Должны быть показаны суммы на каждом этапе и процент возврата.]
Типы конечных покупателей и их мотивы
Мотивация покупателя определяет, какой слой цепочки он взаимодействует с напрямую и как оформляется сделка.
Государственные структуры и их подрядчики
Этот покупатель часто работает напрямую с брокером данных или даже с исходным продавцом, минуя агрегатора. Его цель — получение инструмента для киберразведки или создания потенциала, а не аналитический отчет. Сделки оформляются через контракты на «исследование методов противодействия угрозам» или «разработку специализированных средств мониторинга». Стоимость контракта может включать не только цену уязвимости, но и гарантии её эксклюзивности, что значительно увеличивает итоговую сумму.
Криминальные группировки
Для них важна оперативность и минимальная цепочка. Они также стремятся к прямому контакту с брокером или продавцом. Продукт покупается как «готовый комплект для атаки» (exploit kit), часто включающий не только код, но и инструкции по обходу конкретных систем защиты. Финансирование происходит через криптовалюты или предоплаченные схемы, что затрудняет отслеживание.
Корпорации из реального сектора (финансовые, промышленные, IT)
Это самый сложный тип покупателя с точки зрения цепочки. Его формальная цель — защита. Поэтому он почти никогда не работает напрямую с брокером данных. Он покупает услугу у агрегатора угроз: «прогноз рисков на квартал», «адаптация системы защиты к новым угрозам», «аудит устойчивости после инцидента у конкурента». В этих услугах уязвимость или данные о компрометации выступают не как основной продукт, а как сырьё для аналитики. Это создаёт юридический и репутационный буфер.
Правовые риски для российских компаний
В российском правовом поле деятельность, связанная с покупкой информации, полученной через неправомерный доступ к компьютерным данным, регулируется несколькими статьями Уголовного кодекса.
- Статья 159.6 УК РФ «Мошенничество в сфере компьютерной информации». Если покупка уязвимости или данных сопровождается обманом или злоупотреблением доверием владельца системы, это может квалифицироваться как мошенничество.
- Статья 272 УК РФ «Неправомерный доступ к компьютерной информации». Сама деятельность продавца (хакера) попадает под эту статью. Для покупателя риск возникает, если он знал или должен был знать о неправомерном характере получения информации.
- Регуляторные риски (ФСТЭК, ФСБ). Для компаний, являющихся субъектами критической информационной инфраструктуры (КИИ) или работающих с гостайной, связь с серым рынком может привести не только к уголовным делам, но к потере лицензий, допусков и контрактов. Регуляторы рассматривают такие практики как создание угрозы для национальной безопасности.
Ключевая проблема — доказательство осведомлённости. Если компания приобрела «аналитический отчет», а не напрямую «эксплойт для нулевого дня», сложно доказать, что она понимала криминальное происхождение исходных данных. Это делает трёхслойную модель особенно устойчивой.
Как провести Due Diligence для поставщиков threat intelligence
Полностью отказаться от внешней аналитики по угрозам — нереалистично для крупного бизнеса. Поэтому необходимо строить процедуры проверки поставщиков.
- Прямой вопрос об источниках. Включить в договор или техническое задание пункт, требующий от поставщика раскрыть основные методы получения данных: открытые источники (OSINT), собственные исследования, партнёрские программы с производителями ПО, легальные bug bounty платформы. Если поставщик ссылается на «конфиденциальные источники» или «частные каналы», это красный флаг.
- Аудит методик. Периодически запрашивать и проверять методики анализа и обработки данных. Как сырые индикаторы превращаются в конечные рекомендации? Если процесс включает этап «верификации от независимых третьих сторон», важно понять, кто эти третьи стороны и как они получили данные для верификации.
- Контроль целей. Чётко определить в договоре цели использования данных: только для внутренней защиты, без передачи третьим лицам, без использования в агрессивных или конкурентных действиях. Это снижает риск того, что поставщик будет покупать данные для «направленных операций».
- Мониторинг репутации поставщика. Регулярно проверять участие поставщика в отраслевых организациях (например, ISAC), его публичные выступления, статьи. Поставщик, который активно участвует в легальных сообществах, менее вероятно будет глубоко вовлечен в серый рынок.
[ИЗОБРАЖЕНИЕ: Схема процесса Due Diligence для поставщика threat intelligence, показывающая этапы от запроса методик до мониторинга репутации.]
Альтернативы: легальные каналы для получения информации об угрозах
Создание и использование легальных каналов не только снижает правовые риски, но часто даёт информацию более высокого качества.
Развитие собственной программы VDP (Vulnerability Disclosure Program)
Программа VDP — это структурированный процесс для принятия отчетов об уязвимости от внешних исследователей. Ключевые элементы:
- Публичная политика. Четко опубликованные правила, какие типы уязвимости принимаются, сроки ответа, процесс выплат.
- Легальный статус. Явное указание, что отчеты рассматриваются в рамках легального сотрудничества, без угроз уголовного преследования для исследователя.
- Конкурентные выплаты. Размер выплат должен быть сопоставим с тем, что исследователь мог получить на сером рынке для аналогичной находки. Это требует анализа рынка.
Успешная VDP переводит часть исследователей из теневого в легальный сектор, создавая прямой канал информации для компании.
Участие в отраслевых ISAC (Information Sharing and Analysis Center)
ISAC — это легальные платформы для обмена информацией об угрозах между компаниями одной отрасли (финансы, энергетика, здравоохранение).
- Механизм обмена. Компании делятся индикаторами компрометации, паттернами атак, данными о вредоносном ПО в стандартизированных форматах.
- Правовая основа. Участие регулируется соглашениями, которые гарантируют легальность предоставляемой информации.
- Фокус на защите. Информация используется исключительно для улучшения защиты участников, не для агрессивных действий.
Инвестиции в собственные средства защиты
Самая устойчивая стратегия — сделать свою инфраструктуру резистентной к атакам, даже если противник обладает неизвестными уязвимостями.
- Сегментация сети. Строгое разделение сетевых зон предотвращает движение атаки даже после первоначального взлома.
- Системы PAM (Privileged Access Management). Контроль и мониторинг привилегированных аккаунтов снижает риск использования уязвимостей для получения высоких прав.
- Регулярный внутренний пентест и красные команды. Активный поиск уязвимостей своими силами или легальными подрядчиками выявляет проблемы до того, как они станут известны на внешнем рынке.
Вывод
Крупные компании из реального сектора редко покупают уязвимости напрямую на сером рынке. Но их финансы часто поддерживают эту экосистему через длинные цепочки посредников. Покупка «аналитического отчета» или «услуг адаптации защиты» может быть конечной точкой в цепочке, которая начинается с криминальной активности.
Минимизация этого риска требует не отказа от внешней информации об угрозах, а построения прозрачных процессов Due Diligence для поставщиков и инвестиций в легальные каналы получения данных: собственные VDP, участие в ISAC и укрепление базовой защиты. В долгосрочной перспективе устойчивость бизнеса зависит от зрелости его внутренних процессов безопасности, а не от секретов, купленных через три слоя посредников.