Как запустить багбаунти: советы и рекомендации для компаний
Что могут предложить российские платформы и почему этот подход к кибербезопасности сейчас полезен практически любому бизнесу
Тесты на устойчивость к проникновению во внутреннюю ИТ-инфраструктуру показывают: уязвимости имеют 96% компаний независимо от их отрасли (по данным Positive Technologies). У каждой пятой компании в 2023 году при тестировании выявили следы уже осуществлённых злоумышленниками взломов. Вот несколько вариантов, как могут выглядеть реальные кибератаки.
Какие отрасли представляли компании из проверки
Как бизнесу защищать себя от хакерских атак? Какие ещё ошибки могут скрываться в корпоративном ПО? Насколько глубокую проверку необходимо проводить и как её организовать на регулярной основе? Один из способов решить эти задачи — запустить программу багбаунти.
Что такое багбаунти и для каких задач она подходит
Багбаунти — это программа, в рамках которой компании поощряют независимых исследователей или «белых» хакеров за обнаружение и информирование об уязвимостях в их программном обеспечении и на сайтах. За найденные баги исследователям платят денежное вознаграждение или дают ценные призы.
Вкратце программа выглядит следующим образом:
- Компания определяет, какие уязвимости нужно найти;
- Устанавливает правила участия;
- Публикует приглашение для исследователей;
- Проверяет полученные отчёты об уязвимостях;
- Выплачивает вознаграждения за найденные проблемы.
Кроме уязвимости к хакерским атакам, тестирование формата багбаунти можно использовать для выявления других проблем: утечек в памяти, ошибок в логике программного обеспечения, неэффективного использования ресурсов, проблем с производительностью, недочётов в пользовательском интерфейсе и несовместимостей с системами и устройствами.
Речь идёт как о ПО сторонних разработчиков, так и том, которое создаётся силами отдельных ИТ-компаний или ИТ-отделов. Независимые исследователи могут выявить и подсказать пути устранения тех уязвимостей, которые могут пропустить внутренние команды.
Кто сейчас оказывает услуги багбаунти
Первые программы багбаунти в России и за рубежом проводили крупные технологические компании. Они могли привлечь внимание независимых тестировщиков (багхантеров) своим брендом и обладали достаточными ресурсами, чтобы организовать багбаунти самостоятельно, например, на своём сайте.
Сейчас компания любого размера и из любой отрасли может запустить собственную программу на платформе багбаунти — специализированном онлайн-сервисе, который соединяет компании с исследователями и специалистами по кибербезопасности. Платформы предоставляют инструменты для публикации задач, отслеживания прогресса и выплаты вознаграждений. Кроме того, там сразу присутствуют исполнители, готовые приступить к работе.
В России действуют три платформы:
Изменения ИТ-рынка сказались на российском багхантинге позитивно. В 2023-м на всех российских платформах в сумме насчитывалось уже около 10 000 участников (по оценке «Кибермедиа»). На платформах стали запускаться программы банков, крупнейших маркетплейсов, социальных сетей, региональных администраций, а размеры выплат оказались сопоставимы с вознаграждением на мировых платформах (сообщает платформа Standoff 365). Прогнозируется, что рост продолжится и к 2027 году число зарегистрированных специалистов на всех платформах достигнет 24 000.
Что надо знать при запуске программы багбаунти
Собственная команда. Платформа багбаунти возьмёт на себя большинство административных процессов и даже первичную проверку отчётов исполнителей, эта услуга называется «триаж». Но компании всё равно необходимо выделить в штате команду, которая будет ответственна за приём отчётов и реагирование на них. Достаточно от 1 до 3 человек разработчиков, которые будут устранять выявленные баги. Возможно, понадобится также аналитик, который станет оценивать результативность программы.
Правила программы. Самый важный шаг, от которого зависит будущая результативность. Перед запуском необходимо оценить, какие типы багов и уязвимостей и в каких продуктах предстоит искать багхантерам. С разработкой правил часто помогает консультация с представителями платформы.
Размер вознаграждения. Конкретных формул тут нет. Вилку вознаграждений может порекомендовать команда платформы. Также можно ориентироваться на предложения других компаний и статистику количественного соотношения найденных уязвимостей по степени критичности (о ценах читайте подробнее в статье «Что нужно знать перед запуском багбаунти» на СберПро).
Сама программа может быть:
- приватной — в ней участвуют избранные исполнители. Можно открыть приватную программу для оценки будущего бюджета, проверки работы с платформой и настройки процессов обработки отчётов. Этот подход позволит лучше контролировать процесс на начальном этапе;
- публичной — в такой программе могут принять участие все желающие багхантеры. Это позволит привлечь больше участников с разными навыками и опытом и повысит вероятность обнаружения разных уязвимостей. Публичная программа подходит для более зрелых компаний, готовых к большому количеству отчётов и способных эффективно их обрабатывать.
Обработка отчётов. Это оценка их новизны (не присылали ли похожую информацию раньше), уровня критичности и впоследствии — решение о выплате. Иногда у исполнителей придётся запрашивать дополнительную информацию, чтобы лучше разобраться в природе ошибки.
Спорные ситуации. Их также необходимо учесть в правилах программы. В идеале достаточно написать прозрачные правила, а также процедуры отправки отчётов и обозначить чёткие сроки выплат. Но спорные ситуации возникают достаточно часто, например если багхантер считает, что компания специально не подтверждает уязвимость, а отдел безопасности просто не может воспроизвести ошибку. К решению споров можно привлекать арбитраж платформы.