Интересное

«Белые хакеры», мы вам рады. Как работает платформа BI.ZONE Bug Bounty

17 января 2023

5 мин

Поделиться в соцсетях

Евгений Волошин

Евгений Волошин

Директор по стратегии, директор департамента анализа защищённости и противодействия мошенничеству BI.ZONE

Киберзащиту в компании обеспечивают собственные эксперты, а также специалисты на аутсорсе, но и они не могут отследить весь спектр угроз, которые постоянно видоизменяются и расширяются.

BI.ZONE запустила платформу Bug Bounty: на ней организации размещают программы по поиску уязвимостей, в которых участвуют багхантеры —  независимые исследователи. Они получают денежное вознаграждение от компаний за найденные уязвимости. Этот подход позволяет привлечь широкий круг специалистов к поиску слабых мест в системе безопасности бизнеса. Директор по стратегии, директор департамента анализа защищённости и противодействия мошенничеству BI.ZONE Евгений Волошин рассказал о преимуществах работы с таким сервисом.

Как работает платформа Bug Bounty

Платформа BI.ZONE Bug Bounty — это хаб, связывающий бизнес и независимых исследователей безопасности. В числе основных принципов работы таких площадок — непрерывность процесса и неограниченное число исследователей. Информация о стоимости обнаружения потенциальной уязвимости и условиях тестирования чаще всего открытая. Также площадка регулирует правовые аспекты взаимодействия сторон.

Размещать свои программы на платформах bug bounty могут самые разные организации, например стартапы или государственные структуры, а не только крупный бизнес. Например, «Авито» на нашей платформе предлагает багхантерам проверить безопасность всех веб- и мобильных приложений компании, а также любых доступных приложений и сервисов, размещённых на поддоменах. Багхантеры получат от компании от 5000 до 350 000 рублей в зависимости от критичности найденных уязвимостей.

Что касается западного рынка, только на HackerOne за 2021 год хантеры нашли более 70 000 уязвимостей. С этого года российские организации больше не могут размещаться на HackerOne, поэтому соответствующие разработки на нашем рынке стали особенно востребованными.

Может ли компания самостоятельно справиться c поиском уязвимостей

Компании проверяют защищённость собственной инфраструктуры с помощью различных услуг и сервисов. Наиболее распространённым способом проверить свою защищённость для большинства компаний является тестирование на проникновение. Его проводит команда КБ-специалистов подрядчика, а клиент в этом случае платит за сам факт проведения такой проверки — вне зависимости от количества и критичности обнаруженных уязвимостей.

Платформы bug bounty позволяют привлечь к проверке защищённости неограниченное количество исследователей с разными подходами, при этом оплачивать компания будет только конкретные подтверждённые уязвимости.

Когда исследователи находят баги, они присылают отчёты. Затем нужно проверить и верифицировать найденные уязвимости. Это трудоёмкий процесс: в компании должен быть выделенный специалист, который бы самостоятельно отсматривал весь поток багов, валидировал их и убирал дубли. Если у компании пока нет такого человека, мы поможем разобрать весь наплыв отчётов. Важно понимать: чем дольше компания рассматривает отчёты, тем ниже у нее репутация в комьюнити багхантеров.

Дальновидные компании принимают даже те отчёты, которые указывают не на фактические, а на потенциальные проблемы. Команда безопасности продукта может проверить отчёт и понять: если багхантер был близок к тому, чтобы найти уязвимость, то в будущем она может стать критичной и её лучше устранить уже сейчас.

С другой стороны, команда безопасности компании нередко очень загружена текущей работой, у неё нет времени на глубокое погружение. Таким образом, штатные сотрудники и внештатные исследователи дополняют друг друга.

Кто за что платит

Регистрация на платформе и участие в программах бесплатны для багхантеров. По устоявшейся практике, площадки работают с компаниями по модели подписки и берут комиссию с полученного вознаграждения.

На платформе BI.ZONE Bug Bounty помимо «Авито» программы уже разместили Ozon и VK. Максимальная сумма вознаграждения за уязвимости — 100 000 рублей и 1,8 млн рублей соответственно. Также на платформе есть несколько приватных программ. На международном рынке суммы вознаграждения могут достигать 10 млн долларов.

В чём плюсы платформы bug bounty

Крупнейшие мировые ИТ-гиганты могут организовывать собственные площадки. Но большинство крупных компаний обращаются к специализированным платформам из-за их очевидных плюсов.

На площадках bug bounty много исследователей с разным опытом и скилами, что даёт возможность более широкого изучения потенциальных угроз.

Площадка решает юридические и правовые вопросы сотрудничества независимого исследователя и компании. Работая без разрешений, оформленных должным образом, багхантеры нарушают закон и могут быть привлечены к ответственности. На платформе BI.ZONE Bug Bounty это сделано через пользовательское соглашение с исследователем. Получается, что бизнес не тратит время на решение юридических вопросов и концентрируется на работе с отчётами об уязвимостях.

Автоматизация системы выплат. Крупной компании зачастую требуется много времени и ресурсов для организации выплат ИП и самозанятым, не говоря уже о физических лицах. На нашей площадке этот вопрос решается с помощью электронного документооборота, который упростил весь процесс. После подтверждения уязвимости компания и исполнитель дистанционно подписывают договор и акт, на основании которых производится выплата. Всё это позволяет рассчитываться с хантерами быстро, у нас это обычно занимает 2—5 дней.

Экспертная помощь платформы. Специалисты подскажут, как заказчику запустить свою первую программу bug bounty и помогут сформулировать условия, чтобы не сжечь бюджет слишком быстро, оплачивая несущественные уязвимости.

Безопасность. Чтобы получить выплаты за уязвимости, багхантеры проходят верификацию личности — например, у нас это реализовано через платёжного провайдера платформы. В результате владелец программы точно знает, кто ищет уязвимости в его инфраструктуре. Наша платформа в равной степени защищает как компании, так и исследователей.

Границы исследования. Исследователей привлекает возможность простого доступа к информации о компаниях и подробно описанных условиях их программ. Кроме того, на площадке настроены процессы для оптимальной коммуникации между багхантером и компанией, для этого мы внедрили чаты и удобную систему статусов.

Приватность vs публичность

Если компания впервые решила протестировать свою цифровую инфраструктуру при помощи bug bounty, результат может оказаться для неё неожиданным. Например, сначала их может быть обнаружено слишком много, а компания не будет успевать обрабатывать отчёты и проводить выплаты.

Поэтому BI.ZONE рекомендует компаниям начинать с приватных программ. От публичной она отличается возможностью контролировать количество багхантеров и добавлять их в программу по заранее определённым критериям, например по рейтингу.

Постепенно, когда компания дойдёт до определённой степени зрелости и выстроит процессы работы с уязвимостями, она может запустить публичную программу с неограниченным числом исследователей.

Также поначалу многие клиенты ориентируются на приватный формат из соображений безопасности, но публичных программ bug bounty бояться не стоит. Они не раскрывают никакой чувствительной информации для багхантеров.

Когда специалист находит уязвимость в каком-то крупном ресурсе, он получает не только деньги, но и возможность указать это достижение в резюме или в своём профиле на платформе (если речь о публичной программе). При этом информация об уязвимости не подлежит разглашению до её устранения компанией, а все сроки прописываются в условиях программы.

Планируя развитие и доработки функциональности, мы учитываем обратную связь от наших клиентов — компаний и багхантеров. Особенно интересно слышать запросы от коллег, которые уже работали на зарубежных площадках. Входного порога нет, стать участником площадки может как начинающий, так и опытный эксперт, критерии отбора есть только в приватных программах.

Мировой рынок платформ bug bounty растёт ежегодно примерно на 34% за счёт появления новых компаний и роста оборотов действующих площадок. Это направление активно развивается и в России, особенно после приостановки сотрудничества с зарубежными партнёрами. Из-за курса на повышение кибербезопасности это направление будет востребовано и в ближайшие годы.


Самые важные кейсы лидеров бизнеса, мнения ведущих экспертов и тренды в отраслях экономики теперь всегда под рукой — подпишитесь на наш Telegram-канал.

Поделиться в соцсетях

Статья была вам полезна?

Да

Нет