Интересное
Компании активно применяют традиционные способы для проверки собственной кибербезопасности: используют автоматизированные средства сканирования уязвимостей, проводят анализ защищённости веб-приложений и многое другое. Ещё один способ обнаружения слабых мест, который становится всё более популярным в России, — багбаунти.
Как грамотно организовать программу багбаунти? Как понять, какую пользу она принесёт вашей компании? На 10 основных вопросов о багбаунти отвечает Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty.
Багбаунти-подход заключается в том, что к поиску уязвимостей в своих продуктах или системах организации привлекают независимых исследователей — багхантеров. Такие специалисты в отчётах детально описывают, как найденные баги повлияют на кибербезопасность. За это компании предлагают денежное вознаграждение, оплачивая при этом не сам процесс поиска, а только результат.
За рубежом багбаунти как инструмент появился более 10 лет назад, в России — значительно позже. Последние полтора года отечественный рынок растёт: всё больше государственных и коммерческих организаций открывают для себя этот формат.
Багбаунти — отличная возможность непрерывно получать информацию о состоянии кибербезопасности вашей инфраструктуры. Вы узнаете об уязвимостях, которые могут использовать злоумышленники для кибератак, и решите проблему до её появления.
Если внешние сервисы вашей компании быстро развиваются и регулярно обновляются, вам подойдёт багбаунти-подход. С ним вы будете в курсе возможных проблем во внешней инфраструктуре, которые могут возникать в процессе её роста.
Когда внешние сервисы обрабатывают большое количество персональных данных и платёжной информации, они требуют высокого уровня защищённости. Хороший способ обеспечить её — привлечь к поиску уязвимостей большое количество сторонних исследователей. Каждый из них обладает разным опытом и навыками, это даёт возможность более широкого изучения потенциальных угроз.
Да, но для этого потребуется:
Альтернатива — использовать специальную площадку для организации и проведения багбаунти. Отбор багхантеров, верификация найденных уязвимостей, юридическое оформление договорённостей, проведение выплат — всё это берёт на себя платформа. Рутинные задачи уйдут на аутсорсинг, а ваши силы понадобятся только на закрытие уязвимостей, которые найдут исследователи.
Если вы решите привлекать независимых исследователей для поиска уязвимостей с помощью специализированной платформы, предстоит ответить на четыре важных вопроса.
Существует два типа программ.
Приватные. Компании выбирают внешних исследователей по уровню компетенций и определяют количество приглашённых экспертов.
Публичные. Принять участие в такой программе может любой независимый исследователь. Она рассчитана на широкую аудиторию: опытные багхантеры соревнуются за обнаружение самой дорогой уязвимости, а новички прокачивают скилы. При этом компания от всех исследователей получает отчёты о валидных уязвимостях.
Начинать работу с инструментом лучше с запуска приватной программы. Она позволяет познакомиться с багбаунти, настроить процесс обработки отчётов и подготовиться к размещению публичной программы, которая открыта для всех исследователей на платформе.
Команда платформы багбаунти, где размещается программа, может порекомендовать опытных исследователей, которые подтвердили высокую результативность в последнее время.
Другой вариант — самостоятельно выбрать багхантеров по рейтингу на платформе, который отражает уровень их навыков и умений. Он складывается из множества показателей. Например, его увеличивает сдача валидной уязвимости, а снижает спам или дубликат публичного отчёта.
Однако можно использовать и два способа сразу. Такой вариант поможет сформировать список исследователей, которые будут лучше всего подходить требованиям программы.
Главное — продумать процесс обработки отчётов исследователей о найденных уязвимостях.
После получения отчёта компании обычно проводят анализ, который определяет, по какому из векторов действовать дальше.
Для успешного запуска программы багбаунти важно иметь на это ресурсы и правильно выстроить процессы. Обычно директор направления кибербезопасности (CISO) либо руководитель продукта или приложений организует внутреннюю группу. В неё входят:
Платить необходимо только за полезные отчёты, которые сообщают об уязвимостях разной степени критичности. Подробная информация о них оговаривается в правилах программы. Так исследователи понимают, какие баги искать стоит, а что не представляет интереса для вас и не будет оплачено (сбившаяся вёрстка сайта, неверно выстроенный клиентский путь при оформлении заказа и пр.).
Ещё не нужно оплачивать:
Универсальной формулы расчёта нет. Всё зависит от ряда факторов, в первую очередь от критичности инфраструктуры и заложенного вами бюджета. Обычно чем более значимы ресурсы, предоставленные для исследования, тем большие суммы готовы выплачивать компании.
При принятии решения о размерах вознаграждений важно учитывать и специфику вашей организации: отрасль может влиять на суммы вознаграждений. Для этого оцените предложения других компаний на рынке. Такая информация не является конфиденциальной и всегда указана в условиях на платформе.
Также можно ориентироваться на статистику количественного соотношения найденных уязвимостей по степени критичности:
Получается, что самые дорогие встречаются реже всего, треть уязвимостей — с минимальной стоимостью, а четверть найденных отчётов приходится на неоплачиваемую категорию info.
Размер выплаты за уязвимости каждого вида компания фиксирует в описании программы багбаунти. Если говорить в абсолютных цифрах, то на сегодняшний день стоимость критической уязвимости в России может доходить до 3,6 млн рублей, тогда как низкая оценивается в пару тысяч. При этом в зависимости от отрасли компании размер выплат обычно варьируется, в некоторых из них максимальная выплата может составлять 80 000 рублей. Со временем возможен пересмотр цен в большую сторону.
При сомнениях в определении размеров выплат поможет команда платформы, она порекомендует вилку вознаграждений по условиям программы именно для вас.
На платформах в рамках программ устанавливаются прозрачные правила, прописывается процедура отправки отчётов, сроки выплат и другие важные аспекты сотрудничества. Но неоднозначные ситуации всё равно могут возникнуть, так как речь идёт о взаимодействии людей. Команда платформы поможет разобраться со всеми сложностями.
Например, исследователь описывает уязвимость в отчёте, но специалистам по кибербезопасности не удаётся её воспроизвести. Багхантер считает, что компания специально не подтверждает уязвимость и отказывает в выплате, а отдел службы безопасности просто не может воспроизвести ошибку. Представители платформы выступят арбитрами и решат спор непредвзято.
Напишите нам и менеджеры свяжутся с вами