Что нужно знать перед запуском багбаунти: 10 главных вопросов

Компании активно применяют традиционные способы для проверки собственной кибербезопасности: используют автоматизированные средства сканирования уязвимостей, проводят анализ защищённости веб-приложений и многое другое. Ещё один способ обнаружения слабых мест, который становится всё более популярным в России, — багбаунти.

Как грамотно организовать программу багбаунти? Как понять, какую пользу она принесёт вашей компании? На 10 основных вопросов о багбаунти отвечает Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty.

1. Что такое багбаунти и какую пользу он приносит бизнесу

Багбаунти-подход заключается в том, что к поиску уязвимостей в своих продуктах или системах организации привлекают независимых исследователей — багхантеров. Такие специалисты в отчётах детально описывают, как найденные баги повлияют на кибербезопасность. За это компании предлагают денежное вознаграждение, оплачивая при этом не сам процесс поиска, а только результат. 

За рубежом багбаунти как инструмент появился более 10 лет назад, в России — значительно позже. Последние полтора года отечественный рынок растёт: всё больше государственных и коммерческих организаций открывают для себя этот формат.

Багбаунти — отличная возможность непрерывно получать информацию о состоянии кибербезопасности вашей инфраструктуры. Вы узнаете об уязвимостях, которые могут использовать злоумышленники для кибератак, и решите проблему до её появления.

2. Как понять, что вашей компании подходит багбаунти? 

Если внешние сервисы вашей компании быстро развиваются и регулярно обновляются, вам подойдёт багбаунти-подход. С ним вы будете в курсе возможных проблем во внешней инфраструктуре, которые могут возникать в процессе её роста.

Когда внешние сервисы обрабатывают большое количество персональных данных и платёжной информации, они требуют высокого уровня защищённости. Хороший способ обеспечить её — привлечь к поиску уязвимостей большое количество сторонних исследователей. Каждый из них обладает разным опытом и навыками, это даёт возможность более широкого изучения потенциальных угроз. 

3. Можно ли запустить багбаунти самостоятельно? 

Да, но для этого потребуется:

• собрать команду опытных специалистов, которые будут готовы разработать чёткие правила для запуска багбаунти-программы, а также следить за отчётами об уязвимостях и анализировать эти отчёты;
• продвигать программу для привлечения исследователей;
• полностью отвечать за юридическое и бухгалтерское сопровождение, то есть оперативно проводить выплаты и подписывать акты.

Альтернатива — использовать специальную площадку для организации и проведения багбаунти. Отбор багхантеров, верификация найденных уязвимостей, юридическое оформление договорённостей, проведение выплат — всё это берёт на себя платформа. Рутинные задачи уйдут на аутсорсинг, а ваши силы понадобятся только на закрытие уязвимостей, которые найдут исследователи.

4. Как компании начать багбаунти?

Если вы решите привлекать независимых исследователей для поиска уязвимостей с помощью специализированной платформы, предстоит ответить на четыре важных вопроса.

1. Кто в компании будет отвечать за проведение багбаунти? Обычно это команда специалистов по кибербезопасности, которая занимается обработкой полученных отчётов.
2. Сколько денег вы готовы потратить на поиск уязвимостей? Иначе говоря, нужно заложить бюджет. Конкретных формул здесь нет, но некоторые рекомендации по выплатам мы дадим ниже. 
3. Как подготовить багбаунти-программу? Для начала необходимо сформировать примерный список проверяемых ресурсов, а эксперты со стороны платформы помогут с остальным. Например, ваша компания занимается финансовыми технологиями и вы хотите узнать о безопасности платёжных систем (дистанционного банковского обслуживания, ДБО). На первых встречах с командой платформы вы сможете обсудить с экспертами наиболее интересные активы и векторы для исследования, а также многие другие тонкости будущей программы.
4. Какую программу выбрать?

Существует два типа программ.

Приватные. Компании выбирают внешних исследователей по уровню компетенций и определяют количество приглашённых экспертов. 

Публичные. Принять участие в такой программе может любой независимый исследователь. Она рассчитана на широкую аудиторию: опытные багхантеры соревнуются за обнаружение самой дорогой уязвимости, а новички прокачивают скилы. При этом компания от всех исследователей получает отчёты о валидных уязвимостях.

Начинать работу с инструментом лучше с запуска приватной программы. Она позволяет познакомиться с багбаунти, настроить процесс обработки отчётов и подготовиться к размещению публичной программы, которая открыта для всех исследователей на платформе.

5. Как найти багхантеров на приватную программу?

Команда платформы багбаунти, где размещается программа, может порекомендовать опытных исследователей, которые подтвердили высокую результативность в последнее время. 

Другой вариант — самостоятельно выбрать багхантеров по рейтингу на платформе, который отражает уровень их навыков и умений. Он складывается из множества показателей. Например, его увеличивает сдача валидной уязвимости, а снижает спам или дубликат публичного отчёта.

Однако можно использовать и два способа сразу. Такой вариант поможет сформировать список исследователей, которые будут лучше всего подходить требованиям программы.

6. Какие процессы нужно выстроить на своей стороне при использовании багбаунти-платформы?

Главное — продумать процесс обработки отчётов исследователей о найденных уязвимостях.

После получения отчёта компании обычно проводят анализ, который определяет, по какому из векторов действовать дальше.

1. Если отчёт некорректен, то компания запрашивает дополнительные сведения для уточнения деталей. Бывают случаи, когда багхантер находит уязвимость, которая не отвечает условиям программы багбаунти. Тогда компания отклоняет отчёт и даёт развёрнутый комментарий с объяснением причины.
2. Если отчёт валиден, то организация проверяет, не находили ли уже исследователи эту уязвимость ранее, затем оценивает уровень её критичности. Далее назначается вознаграждение исследователю кибербезопасности, обнаружившему баг. После этого компания распределяет ресурсы команды разработки для устранения уязвимости, создаёт задачу и контролирует результат. 

7. Какие специалисты должны быть в компании при запуске программы с помощью багбаунти-платформы?

Для успешного запуска программы багбаунти важно иметь на это ресурсы и правильно выстроить процессы. Обычно директор направления кибербезопасности (CISO) либо руководитель продукта или приложений организует внутреннюю группу. В неё входят:

• специалисты, которые разбирают отчёты и назначают задачи по устранению уязвимостей команде разработки, — в среднем от 1 до 3 человек;
• разработчики и инженеры, ответственные за исправление багов, — их численность зависит от размера компании;
• аналитики, которые оценивают результативность программы по ряду показателей, но это опциональная часть команды.

8. За все полученные отчёты нужно платить?

Платить необходимо только за полезные отчёты, которые сообщают об уязвимостях разной степени критичности. Подробная информация о них оговаривается в правилах программы. Так исследователи понимают, какие баги искать стоит, а что не представляет интереса для вас и не будет оплачено (сбившаяся вёрстка сайта, неверно выстроенный клиентский путь при оформлении заказа и пр.).

Ещё не нужно оплачивать:

• баги, о которых компания уже знала. Если они были найдены в ходе внутреннего аудита или приняты от другого исследователя, то отчёты о них считаются дублем;
• баги, которые не входят в перечень, заявленный в условиях программы.

9. Как определять размер выплат за баги?

Универсальной формулы расчёта нет. Всё зависит от ряда факторов, в первую очередь от критичности инфраструктуры и заложенного вами бюджета. Обычно чем более значимы ресурсы, предоставленные для исследования, тем большие суммы готовы выплачивать компании.

При принятии решения о размерах вознаграждений важно учитывать и специфику вашей организации: отрасль может влиять на суммы вознаграждений. Для этого оцените предложения других компаний на рынке. Такая информация не является конфиденциальной и всегда указана в условиях на платформе.

Также можно ориентироваться на статистику количественного соотношения найденных уязвимостей по степени критичности:

• critical — 3%;
• high — 10%;
• medium — 28%;
• low — 33%;
• info — 26%.

Получается, что самые дорогие встречаются реже всего, треть уязвимостей — с минимальной стоимостью, а четверть найденных отчётов приходится на неоплачиваемую категорию info.

Размер выплаты за уязвимости каждого вида компания фиксирует в описании программы багбаунти. Если говорить в абсолютных цифрах, то на сегодняшний день стоимость критической уязвимости в России может доходить до 3,6 млн рублей, тогда как низкая оценивается в пару тысяч. При этом в зависимости от отрасли компании размер выплат обычно варьируется, в некоторых из них максимальная выплата может составлять 80 000 рублей. Со временем возможен пересмотр цен в большую сторону.

При сомнениях в определении размеров выплат поможет команда платформы, она порекомендует вилку вознаграждений по условиям программы именно для вас.

10. Как урегулировать конфликтные ситуации с багхантерами? 

На платформах в рамках программ устанавливаются прозрачные правила, прописывается процедура отправки отчётов, сроки выплат и другие важные аспекты сотрудничества. Но неоднозначные ситуации всё равно могут возникнуть, так как речь идёт о взаимодействии людей. Команда платформы поможет разобраться со всеми сложностями. 

Например, исследователь описывает уязвимость в отчёте, но специалистам по кибербезопасности не удаётся её воспроизвести. Багхантер считает, что компания специально не подтверждает уязвимость и отказывает в выплате, а отдел службы безопасности просто не может воспроизвести ошибку. Представители платформы выступят арбитрами и решат спор непредвзято.

• СберПро Медиа теперь можно читать в «Телеграме» и «Дзене». Чтобы быть в курсе важных трендов, свежих кейсов лидеров бизнеса и мнений ведущих экспертов, следите за нами в телеграм-канале. Развитие навыков управления, личностный рост, актуальные подходы в маркетинге, новинки бизнес-литературы — эти темы мы подробно рассматриваем в «Дзене».