Bug Bounty в Mail.ru Group: райское наслаждение, выраженное в реальных деньгах
В этом году первой программе поиска уязвимостей в Mail.ru Group исполняется 5 лет, за время ее существования было выплачено свыше 300 тысяч долларов.
Позже мы запустили программы поиска уязвимостей для ВКонтакте, Одноклассников и ICQ – суммарный размер выплат по всем достигает 700 тысяч долларов. Сегодня наличие такой программы является своего рода стандартом для многих крупных технологических компаний. Зачем же бизнесу «выносить сор из избы», а баг-хантерам – работать «в белую»?
Черно-белое кино
Довольно часто в СМИ мелькают заметки о том, что хакеры в очередной раз что-то взломали, и в сеть «утекли» откровенные фото знаменитостей. Надо сказать, что взломщики становятся все более продвинутыми, что обязывает бизнес постоянно быть начеку и повышать уровень информационной безопасности своих продуктов.
Bug bounty – то есть поиск ошибок силами сторонних консультантов – необходимая часть процесса обеспечения безопасности. Программа как раз призвана привлечь для этого так называемых «белых хакеров». Это движение становится все более популярным, и сегодня люди даже специально учатся, чтобы стать «белыми хакерами». Подобная образовательная программа есть, например, у GeekBrains.
Первая программа bug bounty была запущена в далеком 1995 году компанией Netscape. Так что движение «белых хакеров» скоро отметит свое 25-летие. Сегодня же деньги за найденные уязвимости выплачивают практически все крупные игроки IT-рынка: Google, Intel, Tesla, Uber и многие другие. Apple, правда, идет по своему пути: компания пригласила к сотрудничеству нескольких исследователей и предложила им довольно ограниченный круг задач. Так что, найдя уязвимость, не стоит рассчитывать на материальное вознаграждение – вас только занесут в «зал славы», что безусловно, приятно, но «спасибо», как известно, в карман не положишь.
Однако денежное вознаграждение – не единственная мотивация охотников за багами. В процессе поиска уязвимостей они также совершенствуют свои навыки, формируют портфолио и зарабатывают себе имя в IT-сообществе.
Bug bounty для компаний
Пул задач, которые посредством bug bounty программ решает бизнес, еще более широк. Как ни удивительно, программа bug bounty – это не только про безопасность (хотя про нее в первую очередь). Среди других ее функций:
- снижение репутационных рисков;
- продвижение бренда в IT-сообществе;
- работа с коммьюнити;
- совершенствование навыков штатных специалистов по информационной безопасности, разработчиков.
Быть или не быть?
Как видите, bug bounty программа способна дать бизнесу много преимуществ, которые не ограничиваются вопросами безопасности. Но к ее запуску нужно подходить со всей серьезностью, обеспечив должный уровень готовности технологических, человеческих и финансовых ресурсов.
Первое – у компании должны быть налажены процессы работы с уязвимостями или хотя бы должна быть возможность их запустить. Второе – к запуску bug bounty программы должны быть готовы сотрудники. Наконец, деньги. Компания должна выделить бюджет на выплаты за найденные уязвимости.
Обезопасить компанию от «плохих» хакеров
Вне зависимости от того, есть в компании программа bug bounty или нет, всегда есть риски, что человек найдет ошибку и воспользуется уязвимостью в плохих целях. В этой связи помимо внедрения и развития bug bounty программы стоит внедрять и другие процессы, которые смогут обезопасить бизнес. Необходимо повышать осведомленность сотрудников, вести непрерывный внутренний мониторинг уязвимостей и атак, проверять код, разбирать кейсы со взломами и утечкой данных других компаний.
Bug bounty программа Mail.ru Group
Программу bug bounty можно развернуть на специализированной платформе или создать под нее свою. Мы у себя сделали выбор в пользу первого – этот вариант более удобен с точки зрения выплат и наличия базы исследователей, собранных в одном месте.
Наша bug bounty программа, которой в апреле исполнится пять лет, функционирует на платформе HackerOne. Там исследователи сразу могут видеть размер вознаграждения за ту или иную найденную уязвимость: чем выше угроза, которую она несет, тем больше денег мы за нее заплатим.
В общем виде процесс состоит из следующих этапов:
- Исследователь создает тикет с подробным описанием найденной уязвимости.
- Мы анализируем уязвимость.
- Если наличие уязвимости подтверждается, мы формулируем задачу по ее устранению для разработчиков.
- Устраняем уязвимость и сообщаем об этом исследователю.
Команда специалистов по информационной безопасности Mail.ru Group собирается каждую среду для обсуждения всех найденных за прошедшую неделю уязвимостей, и исследователи получают свои деньги вне зависимости от того, устранен к этому времени баг или нет.
Цена вопроса
В нашей программе поиска уязвимостей участвует более 700 хакеров. Самое крупное вознаграждение, которое мы выплатили четыре раза за время существования программы, составило 5000 долларов, а потенциально может достигать 15 000 долларов.
Всего за почти пять лет работы bug bounty программы для Mail.ru и ICQ мы выплатили исследователям 307 469 долларов за 857 найденных уязвимостей. А топ-3 исследователей за это время получили по 10 000 – 20 000 долларов каждый.
Шанс на миллион
Недавно мы анонсировали запуск нового браузера Atom. Основной упор в нём сделан на безопасность и приватность пользователей. Безопасному браузеру положено быть безупречным с точки зрения отсутствия в нём критических уязвимостей, поэтому мы запустили публичную программу bug bounty нашего браузера.
В поиске потенциальных уязвимостей может принять участие любой пользователь сети. По правилам конкурса, исследователь, которому удастся найти уязвимость RCE (возможность выполнения произвольного кода в браузере при заходе на вредоносный сайт) получит суперприз в 1 миллион рублей. Если таких исследователей будет несколько, то суперприз будет разделен между ними.
Комментарий удален модератором
Комментарий удален модератором
Комментарий удален модератором
На странице «Багоси», открытой версии сообщества тестировщиков «Багосы», появилось объяснение рассылки. Авторы сообщили, что использовали старую уязвимость, за нахождение которой «ВКонтакте» не выплатила награду.