Что такое баг-баунти платформы и как они работают?
Все чаще и чаще мы слышим из новостей о “хакерских атаках” и “взломах”. И это не случайно: согласно отчету организации Center for Strategic and International Studies, мировая экономика из-за киберпреступности теряет около $600 млрд ежегодно.
Какая-то хитро скрытая реклама аналога h1/bugcrowd :)
Bug Bounty - это не замена пентестам / аудитам, на что есть отсылка в статье. Bug Bounty - это способ узнавать, где проблемы у проекта (хоть и с точки зрения продажи и проще продавать уязвимости, но не стоит). Уязвимости, конечно, важны, но багхантеры ищут их тогда, когда хотят (способы мотивации к активному участию - отдельная тема). Также, в багбаунти, вы не можете потребовать отчет "А что проверено? А что сделано?", как в случае работы с консалтинговыми компаниями (хотя мы и пробовали такое, раздавая по $500 активным багхантерам в качестве гранта, т.е. безусловные деньги, за которые просили посмотреть "вот это и это", а также просили (не требовали!) заполнить кратенький отчет).
По поводу триаджинга сотрудниками платформы - это очень спорно. Наверное, это работает, если уж совсем некому обслуживать ББ программу, но:
- сотрудники компании-заказчика могут не узнать о множестве проблем, которые есть в проекте (а ведь это чуть ли не самое важное). Проблем - не уязвимостей даже, а что просто у нас есть какой-то сервис с таким-то функционалом
- теряется прямая связь с ресерчерами и комьюнити в целом
- языковые проблемы (у нас очень много репортов на русском)
Да, вы правы, баг баунти программы не заменяют, а дополняют пентесты/аудиты. Я не хотел дать понять, что баг-баунти могут полностью заменить пентесты, хотя некоторые компании следуют такой моделе. Конечно, вы правы, что хакеры должны быть адекватно мотивированы, чтобы искать баги и это действительно тема для отдельной дискуссии. Спасибо, что поделились вашим опытом!