Что такое баг-баунти платформы и как они работают?
Все чаще и чаще мы слышим из новостей о “хакерских атаках” и “взломах”. И это не случайно: согласно отчету организации Center for Strategic and International Studies, мировая экономика из-за киберпреступности теряет около $600 млрд ежегодно.
Спрос на услуги кибербезопасности также растет и в 2018 году составит около $96 млрд. На фоне возникновения все новых угроз, рождаются и новые инновационные решения и методы борьбы с хакерскими атаками. Одним из таких решений являются Баг-Баунти Платформы. В этой статье мы вам расскажем о том что такое баг-баунти платформы и как они помогают компаниям защититься от современных киберугроз.
Что такое баг-баунти платформа?
Перед тем как мы расскажем об этом, необходимо объяснить что такое баг-баунти программа.
Баг-баунти программа - это процесс, в котором компания привлекает сторонних специалистов по кибербезопасности (в индустрии мы называем их “белые хакеры” или “рисерчеры”) для тестирования своего программного обеспечения на уязвимости за монетарное вознаграждение. За каждую найденную уязвимость (баг) рисерчер получает вознаграждение (баунти).
Компания публично оглашает скоуп (от англ. “Scope” - “объем”) работ, уровень вознаграждения за уязвимости и любой желающий может зарегистрироваться и принимать участие в баг-баунти программе.
Однако, на практике, далеко не каждая компания может позволить себе провести баг-баунти программу самостоятельно.
Почему? Потому что большинство компаний к этому не готовы:
- Если вы не Apple, Google или Пентагон, про вас мало кто знает. Соответственно когда вы скажите всему миру “ура, мы запустили баг-баунти программу, налетая” - к вам никто не придет. Кто вы такие? Почему рисерчеру стоит тратить на вас время? Будете ли вы выплачивать баунти или начнете “пропадать”? Никто вас не знает, никто не знает насколько профессионально вы подходите к делу. Для белых хакеров это большой риск.
- Часто у компаний нет должной инфраструктуры и ресурсов для того чтобы принимать и обрабатывать репорты рисерчеров. Кто будет верифицировать уязвимости, скоуп работ, кто будет каждый день общаться с рисерчерами?
Большинство компаний не обладает достаточным опытом и квалификацией для того, чтобы качественно провести собственную баг-баунти программу.
Поэтому, компании прибегают к помощи так называемых баг-баунти платформ, таких как HackenProof. Это компании, которые специализируются на проведении баг-баунти программ.
Что из себя представляет баг-баунти платформа?
Любая баг-баунти платформа имеет три составляющие:
- Сообщество белых хакеров. Чем больше сообщество, тем сильнее баг-баунти платформа. Это одна из самых важных частей баг-баунти платформы. Компании нарабатывают сообщество белых хакеров годами, тратя большие усилия и ресурсы на комьюнити, чтобы оно постоянно росло.
- Собственная CRM-система, для обработки уязвимостей, которые присылают рисерчеры.
- Помимо CRM-системы и комьюнити белых хакеров, компания располагает своей “In-house” командой специалистов по кибербезопасности, которая занимается проверкой багов которые присылают рисерчеры (таких сотрудников называют - триажерами, а сам процесс - “триаж”). Триажеры также общаются с клиентами.
Как проходит процесс баг баунти программы?
- К баг-баунти платформе обращается клиент, который хочет провести баг-баунти программу для того чтобы протестировать свои продукты.
- Баг баунти платформа вместе с клиентом составляют так называемый “скоуп” работ. Это документ который детально описывает какие именно уязвимости ищет клиент, на каких ресурсах нужно их искать, какова ценовая политика, и как именно ресерчерам присылать уязвимости на платформу.
- Баг-баунти платформа публикует программу на своем сайте и запускает маркетинговые активности, привлекая белых хакеров принять участие в программе. С этого момента баг-баунти программа считается открытой.
- Начинается сама баг-баунти программа. Ресерчеры находят уязвимости в тестируемом продукте и присылают на сайт баг-баунти платформы через специализированную CRM систему.
- Внутренняя команда триажеров верифицирует каждую присланную уязвимость: проверяет является ли уязвимость уникальной (или была уже найдена другим рисерчером), является ли уязвимость валидной (можно ли ее повторить), находится в пределах скоупа.
- После того как баг был верифицирован командой триажеров, формируется отчет, который направляется клиенту. Это готовый отчет о баге, где детально расписано о том как его воспроизвести и что нужно сделать чтобы “закрыть дыру”.
Шаги 4-5-6 повторяются по кругу. Большие компании могут проводить баг-баунти программы месяцами, а иногда даже годами. Количество багов найденных в одной баг баунти программе может варьироваться от единиц до сотен.
Ну ок, хорошо, баг-баунти программы это инновационный подход, а баг-баунти платформы помогают компаниям эффективно проводить баг-баунти программы.
В чем тогда преимущество баг-баунти платформы над обычной компанией, которая предоставляет услуги по кибербезопасности, и “где тут гешефт”?
Баг-баунти платформы имеют несколько ключевых преимуществ:
- Доступ к человеческому капиталу
Стандартная компания по предоставлению услуг по кибербезопасности, имеет в своем распоряжении в среднем 5-20 сотрудников которые будут тестировать ваш софт. В то время как на баг-баунти платформе зарегистрированы сотни или даже тысячи специалистов, которые специализируются на разных сферах (веб, мобайл, блокчейн протоколы, платежные системы, смарт контракты и т.д.). Баг-баунти платформы имеют доступ к гораздо большему человеческому капиталу чем стандартные компании по предоставлению услуг по кибербезопасности. Это своего рода “аутсорс” услуг по кибербезопасности на весь мир.
- Время тестирования
Тест на проникновение обычно длится около месяца или двух, в то время как баг-баунти программа длится месяцами или даже годами (и все это время ресерчеры будут активно пытаться найти уязвимости в вашем продукте). При таком длительном тестировании, вероятность того что уязвимость не заметят значительно снижается.
- Система вознаграждения
Стандартная компания по предоставлению услуг по кибербезопасности, получает вознаграждение за процесс (проведению теста на проникновение). Клиент заплатит вне зависимости от того сколько багов найдет компания. В то время как баг-баунти программа вознаграждает белых хакеров за подтвержденные баги. То есть система вознаграждения делает акцент именно на количество уязвимостей, а не на сам процесс.
Наш мир становится все более и более “диджитализированным”, продукты более сложными. Компании все больше и больше используют онлайн сервисы для своей работы. Каждый из них обновляясь, может содержать в себе уязвимости, которые хакеры могут использовать и нанести большой вред компаниям.
Мы должны поменять свое мировоззрение и принять тот факт, что защита от кибер угроз больше не может быть дискретной (проверка софта на уязвимости время от времени), она должна стать постоянной (постоянная проверка софта на уязвимости). Только так компании могут эффективно защититься от хакеров.
Какая-то хитро скрытая реклама аналога h1/bugcrowd :)
Bug Bounty - это не замена пентестам / аудитам, на что есть отсылка в статье. Bug Bounty - это способ узнавать, где проблемы у проекта (хоть и с точки зрения продажи и проще продавать уязвимости, но не стоит). Уязвимости, конечно, важны, но багхантеры ищут их тогда, когда хотят (способы мотивации к активному участию - отдельная тема). Также, в багбаунти, вы не можете потребовать отчет "А что проверено? А что сделано?", как в случае работы с консалтинговыми компаниями (хотя мы и пробовали такое, раздавая по $500 активным багхантерам в качестве гранта, т.е. безусловные деньги, за которые просили посмотреть "вот это и это", а также просили (не требовали!) заполнить кратенький отчет).
По поводу триаджинга сотрудниками платформы - это очень спорно. Наверное, это работает, если уж совсем некому обслуживать ББ программу, но:
- сотрудники компании-заказчика могут не узнать о множестве проблем, которые есть в проекте (а ведь это чуть ли не самое важное). Проблем - не уязвимостей даже, а что просто у нас есть какой-то сервис с таким-то функционалом
- теряется прямая связь с ресерчерами и комьюнити в целом
- языковые проблемы (у нас очень много репортов на русском)
Да, вы правы, баг баунти программы не заменяют, а дополняют пентесты/аудиты. Я не хотел дать понять, что баг-баунти могут полностью заменить пентесты, хотя некоторые компании следуют такой моделе. Конечно, вы правы, что хакеры должны быть адекватно мотивированы, чтобы искать баги и это действительно тема для отдельной дискуссии. Спасибо, что поделились вашим опытом!
Может будет интересно, мы как раз одни из тех, кто проводят кампанию по поиску багов)
Вкратце, мы - everiToken, децентрализованная система обращения токенов в реальном мире. Мы верим, что в будущем токены станут частью повседневной жизни.
Наша команда уверена в безопасности блокчейна everiToken. Но мы также верим и в то, что безопасность продукта должна постоянно проверяться третьей стороной. Посему, мы готовы выплачивать до 5000$ за найденные критические уязвимости в нашем блокчейне.
Не знаю, насколько уместно здесь оставлять ссылки, но если кто-то заинтересуется, вэлком ту телеграм @everitokenru