Что такое баг-баунти платформы и как они помогают компаниям защищаться от хакеров

3811
1

Что такое баунти-платформы, как они работают, и в чем смысл таких программ для бизнеса, в своей колонке для AIN.UA рассказывает Марк Савчук, менеджер по коммуникациям в Hacken.

Сегодня хакерские атаки становятся обыденным делом. Оно и неудивительно — согласно отчету MсAfee и Center for Strategic and International Studies, мировая экономика теряет около $600 млрд в год из-за киберпреступности.

Спрос на услуги по кибербезопасности также бьет рекорды. В 2018 году размер отрасли составит более $96 млрд. На фоне возникновения все новых угроз рождаются новые инновационные решения и методы борьбы с киберпреступниками. Одним из таких решений являются баг-баунти программы. 

«Программа баг-баунти» предусматривает «получение вознаграждения (баунти) за нахождение уязвимости (баг) в коде, которое предлагается «белым» хакерам. Соответственно, баг-баунти программа — это процесс, в  котором компания приглашает любого желающего протестировать их продукт на уязвимости. Если хакер находит баг — получает вознаграждение. 

Первая баг-баунти программа стартовала в 1983 году. Компания Hunter & Ready тестировала свою операционную систему Versatile Real-Time Executive. Любой, кто нашел баг и сообщил об ошибке, мог получить Volkswagen Beetle.

Со временем баг-баунти программы получали все большую популярность. Компании Microsoft, Google, Facebook стали запускать свои собственные баг-баунти программы. Однако так поступали лишь большие компании. Для всех остальных баг-баунти программы были недоступны. Причины заключались в следующем:

  • Проблема номер один — это медийность. Только самые большие компании имели достаточный visibility, чтобы привлечь «критическую массу» хакеров, чтобы получить хороший результат. К тому же, зачем белому хакеру работать с каким-то ноу-неймом, как он будет уверен, что ему действительно заплатят за его работу? Большие компании — более безопасный выбор. Да и могли себе позволить заплатить достойную «баунти» за найденные уязвимости.
  • Второе — компания должна иметь достаточно квалифицированный персонал в IT-департаменте, чтобы грамотно обрабатывать поток найденных багов, который присылают ресерчеры. Потому баг-баунти программы в основном и проводились high-tech-компаниями.

По мере развития интернета и диджитализации бизнеса потребность в баг-баунти программах дошла и до среднего бизнеса. Однако самостоятельно их провести они не могли в силу причин описанных выше. Поэтому начали появляться баг-баунти платформы (например, Hackerone, HackenProof, Bugcrowd). Они помогают проводить баг-баунти программы компаниям, которые бы никогда не справились с данной задачей самостоятельно.

Что из себя представляет баг-баунти платформа?

  • Тикетная система, через которую белые хакеры могут подавать отчеты (репорты), в которых есть детальное описание уязвимости, а также необходимые шаги для устранения этих уязвимостей.
  • Квалифицированный персонал, который проверяет отчеты ресерчеров, верифицирует баги (этот процесс называется «триаж»), фильтрует дубликаты (когда два разных ресерчера нашли один и тот же баг, в этом случае баунти получает тот, кто сообщил о баге первым) и осуществляет ежедневную коммуникацию с клиентом и ресерчерами.
  • Сообщество белых хакеров. Это, наверное, самый главный элемент платформы. Баг-баунти платформы постоянно работают над увеличением количества белых хакеров на своей площадке . В этом их «суперсила» и основная ценность для бизнеса.

Как проходит процесс баг-баунти на платформе?

  1. Первым делом компания-клиент и баг-баунти платформа совместно составляют «скоуп работ». Этот документ четко описывает, какие именно ресурсы клиента подлежат тестированию, за какие именно уязвимости будут выплачены награды и в каком размере.
  2. Запуск баг-баунти программы. Составленный скоуп работ публикуется на сайте и баг-баунти платформа инициирует маркетинговые активности, чтобы привлечь свое сообщество белых хакеров к данной баг-баунти программе. Начинается сам процесс — белые хакеры ищут уязвимости в продукте.
  3. Ресерчеры (они же белые хакеры) присылают отчеты о найденных уязвимостях через баг-баунти платформу, с описанием самой уязвимости и часто с рекомендациями как ее устранить.
  4. Триаж-команда баг-баунти платформы верифицируют баги, которые присылают хакеры. Как только баг был верифицирован и клиент исправил уязвимость в своем продукте — белый хакер получает баунти, то есть, деньги. Одновременно с этим ему начисляют репутацию. На платформах существуют специальные лидборды для рейтингования хакеров.

Стоит подчеркнуть, что именно баг-баунти платформы, и высокая потребность в таких специалистах дают возможность белым хакерам монетизировать свои способности.

До появления баг-баунти платформ и программ фактически не существовало простого и легального способа хакерам зарабатывать деньги. Теперь же, они могут помогать бизнесу, получать достойную заработную плату (размер баунти может доходить и до $100 000 за одну уязвимость) и получать публичное признание.

В чем конкурентное преимущество баг-баунти платформ?

Почему баг-баунти программы лучше обычных компаний, которые предоставляют услуги по кибербезопасности? Несмотря на то что баг-баунти программы не являются панацеей и не отменяют потребность проведения тестов на проникновение, баг-баунти программы имеют несколько ключевых достоинств:

  1. Количество доступных специалистов. В стандартном тесте на проникновение, будет принимать не более 2-5 специалистов. В то время как баг-баунти платформа обладает в своем распоряжении сотнями белых хакеров. Как правило, эти люди с разных уголков света и имеют разную специализацию , что повышает шанс того, что ресерчеры найдут уязвимость в продукте (их больше и у них разный бэкграунд).
  2. Время тестирования. Опять же — стандартный тест на проникновение длится около от нескольких недель до нескольких месяцев в зависимости от объема работы и является точечной оценкой конкретной версии продукта, в то время как баг-баунти программы могут длится годы и являются непрерывным механизмом по оценке безопасности. И все это время ресерчеры будет пытаться найти уязвимость в вашем продукте.
  3. Система вознаграждения. При проведении стандартного теста на проникновение компания заплатит в любом случае — получит она результат или нет. В то время как система вознаграждения в баг-баунти программах основана на оплате за результат, т.е. за каждый верифицированный баг.

Почему компании дают себя хакнуть?

Напоследок главный вопрос — почему компании добровольно отдают свои продукты на растерзание белым хакерам?

Потому что парадигма «я построю суперстену и меня не взломают» не работает, банально потому что технологии и софт обновляется чуть ли не каждую неделю. Новые «дыры» появляются постоянно. Режим «я в домике» уже давно не работает. Вопрос кибербезопасности перешел из временной проблемы в постоянную (нужно постоянно мониторить и улучшать свою защиту). Поэтому передовые компании сменили свое мышление с «Я в домике» на «Если мою систему, будут постоянно пытаться взломать лучшие белые хакеры в мире — то они найдут в моем коде все «дыры», и когда придет черед настоящей атаки, злоумышленники не смогут прорваться сквозь нашу защиту».

Стоит понять, что киберугрозы никуда не уйдут, а будут только усиливаться со временем. Откладывание этого вопроса «на потом» может привести к губительным последствиям для компании. Кибербезопасность станет такой же мейнстримовой задачей, как и ведение бухгалтерского учета.

Однако паниковать не стоит. Передовые технологии и новые подходы к кибербезопасности смогут защитить компании завтра. На каждого хакера есть свой белый хакер.

Автор: Марк Савчук, менеджер по коммуникациям в Hacken.

Оставить комментарий

Комментарии | 1

  • Кроме защиты от хакеров нужно помнить о безопасности самого магазина. Камер наблюдения не всегда достаточно. Иногда нужны более надежные способы защиты. Мы недавно опробовали RFID оборудование. Заказывали на этом https://intelpol.ua сайте. Цены вполне приемлемые. К тому же, этот вид защиты подходит практически под все товары.

Поиск