Как защитить бизнес с помощью метода Bug Bounty

Российские компании стали уделять еще больше внимания защите данных. По информации Коммерсанта, в 2023 году более половины российских предприятий в среднем на 20% увеличили бюджеты на киберзащиту, в том на внешние аудиты, поиск уязвимостей в инфраструктуре и программы bug bounty. В этой статье  эксперт SimbirSoft расскажет о bug bounty как о способе киберзащиты и кому он подходит.

Этот метод часто используется компаниями в дополнение к тестам на проникновение и внутреннему аудиту кода. Программы bug bounty позволяют независимым экспертам по безопасности сообщать об ошибках, предлагая вознаграждение или компенсацию в обмен за информацию об уязвимостях. 

Участниками bug bounty, как правило, являются «белые хакеры». Чаще всего это специалисты по кибербезопасности, которые в свободное время заняты поиском уязвимостей в чужом ПО ради профессионального интереса или вознаграждения. Но это могут быть и начинающие багхантеры, ведь для участия в программе необходимо лишь соблюдать установленные правила. 

Bug bounty: возможности для участников

Что можно получить за участие в bug bounty? В первую очередь — вознаграждение, вид и размер которого каждая компания устанавливает самостоятельно, все зависит от потенциальных потерь в случае использования данной уязвимости. Помимо денежного эквивалента, заказчик может предложить мерч от компании или публичную благодарность. 

Не все хакеры идут в bug bounty за материальной наградой: одни ищут новый опыт, чтобы развить свои навыки, другие зарабатывают репутацию и ищут признания, третьи любят сложные задачи, а кто-то и вовсе просто хочет улучшить любимый сервис. 

Начать заниматься багхантингом просто, достаточно найти сайт открытой платформы, ознакомиться с правилами программы и зарегистрироваться. Для успешной охоты за уязвимостями нужно определиться с продуктом и изучить фреймворк, на котором он написан. Знание его слабых мест поможет в поиске уязвимостей.

Программы bug bounty делятся на публичные и частные. Публичная программа открыта для любого желающего, хотя иногда можно встретить требования к знаниям и опыту. Для участия в частных программах компания сама отбирает специалистов и рассылает приглашения. В данном случае у багхантеров будет меньше конкурентов, а значит вероятность найти уязвимость и получить вознаграждение выше, чем при участии в публичной программе.

Белые хакеры чаще начинают свой путь в bug bounty через публичные программы. Такой старт необходим, чтобы заработать репутацию и повысить вероятность того, что специалиста пригласят в закрытую программу bug bounty.

Что следует знать перед участием в bug bounty:

• Всегда есть вероятность остаться без вознаграждения. Возможна такая ситуация, когда вы несколько недель потратили на поиск уязвимости, а кто-то вас уже опередил и прислал свой отчет первым. Награждается тот участник, который сообщил о проблеме первым.
• Внимательно отнеситесь к оформлению отчетов. Например, если вы недостаточно подробно опишете найденный баг и специалист, который будет проверять ваш отчет, не сможет воспроизвести проблему по описанию, найденную уязвимость не зачтут, а значит не выплатят вознаграждение.
• Обязательно ознакомьтесь с правилами программы bug bounty и строго их соблюдайте чтобы избежать проблем с законодательством.

Bug bounty: возможности для бизнеса

На фоне кибератак последних лет российский рынок bug bounty показывает активный рост. Все больше компаний понимают необходимость обеспечения безопасности своих ПО, поскольку всего лишь одна уязвимость может привести к колоссальному ущербу для бизнеса. Накопленная экспертиза специалистов позволяет выстроить работу по обеспечению качества ПО как системный постоянный процесс, значительно снизив риски возникновения уязвимостей.

Сегодня основным заказчиком или организатором собственных программ bug bounty является крупный бизнес с большим количеством клиентов-пользователей их IT-решений, например, банки, ритейлеры, разработчики IT-продуктов. Такие компании могут понести высокие финансовые и репутационные риски, поэтому они внимательно относятся к защите своих систем. Программы bug bounty есть у VK, Яндекса, Wildberries и других. Как правило, подобные компании часто имеют собственные отделы по разработке ПО и могут оперативно устранять найденные уязвимости. 

Стандартная схема процесса bug bounty выглядит следующим образом:

• Запуск программы. Компания публикует программу, в которой указывает основную информацию и особенности своей IT-инфраструктуры. В условиях должно быть отражено, какие части системы или приложения доступны для исследования багхантерами, какие типы уязвимостей нужно искать, размер вознаграждения за найденные уязвимости и правила выплаты.
• Регистрация участников. Исследователи безопасности регистрируются в этих программах и обязаны ознакомиться с правилами участия.
• Поиск уязвимостей. Если участник обнаруживает уязвимость, он сообщает о ней через специальную платформу или по электронной почте.
• Проверка отчетов и подтверждение. Компания проверяет уязвимость и, если она подтверждается, выплачивает вознаграждение.

Плюсы bug bounty для компаний:

• Повышение безопасности. Непрерывная проверка системы десятками специалистов с разным опытом и квалификацией, которые могут заметить ошибку, упущенную внутренней командой.
• Возможность снизить расходы на содержание постоянной команды проверки безопасности. При этом можно привлечь широкий круг внешних специалистов по безопасности, а оплата производится только за обнаружение неизвестной ранее проблемы.
• Участие в bug bounty — дополнительный способ заявить, что компания тщательно заботится о безопасности своих продуктов и защите данных пользователей. Часто такие программы используют в продвижении продуктов.
• Привлечение талантов. Среди «белых хакеров» есть много увлеченных энтузиастов, которые горят своим делом, постоянно развиваются в этой сфере, а значит у компании есть шанс заполучить ценного специалиста.

Несмотря на все преимущества бизнес может столкнуться с некоторыми трудностями в реализации собственной программы bug bounty:

• Организационные моменты могут потребовать дополнительных ресурсов. Если бизнес решил запустить программу bug bounty, чтобы сократить расходы на содержание команды по информационной безопасности, бизнесу нужны будут специалисты для обработки отчетов от багхантеров, чтобы отсеять дубликаты или некорректные отчеты, определить уровень выявленной угрозы. Кроме того, необходимо поддерживать обратную связь с участниками программы.
• В успехе программы большую роль играет известность продукта. Популярный бренд гораздо быстрее сможет привлечь поклонников продукта, а также вселить уверенность в надежности программы и гарантиях выплаты вознаграждения.

Чтобы помочь бизнесу справиться с этими и другими сложностями, стали появляться платформы bug bounty — агрегаторы, которые аккумулируют у себя программы bug bounty от других компаний. Багхантерам такие платформы предоставляют возможность выбора, а бизнесу — всю необходимую инфраструктуру для эффективного проведения bug bounty, помощь во взаимодействии с участниками и экспертную поддержку в верификации уязвимостей.

После отключения доступа к международным платформам bug bounty активно стали развиваться российские платформы. 

Наиболее известные платформы на сегодняшний день:

• Bug Bounty Ru долго использовалась в приватном режиме. Когда в 2022 году многие сервисы стали недоступны для российского рынка, платформа стала развиваться публично.
• Standoff 365 была представлена в мае 2022 года. Выход данной платформы произвел ажиотаж на рынке из-за присоединения к программе компании VK, которая одной из первых в России начала платить вознаграждение внешним исследователям за обнаруженные уязвимости. На данный момент на платформе представлено большое число программ на территории СНГ.
• BI.ZONE Bug Bounty работает с исследователями из России и стран ЕАЭС. В платформе — сохранение рейтинга при переходе с международных площадок. Так повышаются шансы получить приглашение в приватные программы компаний.

Несмотря на небольшое количество отечественных платформ, можно смело сказать, что они заняли нишу ушедших международных платформ и показывают отличный результат. Большинство крупных российских организаций уже разместили свои программы на известных платформах и успешно сотрудничают с «белыми хакерами». 

Популярность программ bug bounty в нашей стране будет расти. И финансирование области кибербезопасности этому также способствует. Сейчас заинтересованность к участию в bug bounty проявляет уже не только бизнес, но и госсектор.