Сегодня хакерские атаки становятся обыденным делом. Оно и неудивительно – согласно отчету MсAfee и Center for Strategic and International Studies, мировая экономика теряет около $600 млрд в год из-за киберпреступности.
Спрос на услуги по кибербезопасности также бьет рекорды. В 2018 году размер отрасли составит более $96 млрд. На фоне возникновения все новых угроз рождаются новые инновационные решения и методы борьбы с киберпреступниками. Одним из таких решений являются баг-баунти программы.
«Программа баг-баунти» предусматривает «получение вознаграждения (баунти) за нахождение уязвимости (баг) в коде, которое предлагается «белым» хакерам. Соответственно, баг-баунти программа – это процесс, в котором компания приглашает любого желающего протестировать их продукт на уязвимости. Если хакер находит баг – получает вознаграждение.
Первая баг-баунти программа стартовала в 1983 году. Компания Hunter & Ready тестировала свою операционную систему Versatile Real-Time Executive. Любой, кто нашел баг и сообщил об ошибке, мог получить Volkswagen Beetle.
Со временем баг-баунти программы получали все большую популярность. Компании Microsoft, Google, Facebook стали запускать свои собственные баг-баунти программы. Однако так поступали лишь большие компании. Для всех остальных баг-баунти программы были недоступны. Причины заключались в следующем:
- Проблема номер один – это медийность. Только самые большие компании имели достаточный visibility, чтобы привлечь «критическую массу» хакеров, чтобы получить хороший результат. К тому же, зачем белому хакеру работать с каким-то ноу-неймом, как он будет уверен, что ему действительно заплатят за его работу? Большие компании – более безопасный выбор. Да и могли себе позволить заплатить достойную «баунти» за найденные уязвимости.
- Второе – компания должна иметь достаточно квалифицированный персонал в IT-департаменте, чтобы грамотно обрабатывать поток найденных багов, который присылают ресерчеры. Потому баг-баунти программы в основном и проводились high-tech-компаниями.
По мере развития интернета и диджитализации бизнеса потребность в баг-баунти программах дошла и до среднего бизнеса. Однако самостоятельно их провести они не могли в силу причин описанных выше. Поэтому начали появляться баг-баунти платформы (например, Hackerone, HackenProof, Bugcrowd). Они помогают проводить баг-баунти программы компаниям, которые бы никогда не справились с данной задачей самостоятельно.
Что из себя представляет баг-баунти платформа?
- Тикетная система, через которую белые хакеры могут подавать отчеты (репорты), в которых есть детальное описание уязвимости, а также необходимые шаги для устранения этих уязвимостей.
- Квалифицированный персонал, который проверяет отчеты ресерчеров, верифицирует баги (этот процесс называется «триаж»), фильтрует дубликаты (когда два разных ресерчера нашли один и тот же баг, в этом случае баунти получает тот, кто сообщил о баге первым) и осуществляет ежедневную коммуникацию с клиентом и ресерчерами.
- Сообщество белых хакеров. Это, наверное, самый главный элемент платформы. Баг-баунти платформы постоянно работают над увеличением количества белых хакеров на своей площадке . В этом их «суперсила» и основная ценность для бизнеса.
Как проходит процесс баг-баунти на платформе?
- Первым делом компания-клиент и баг-баунти платформа совместно составляют «скоуп работ». Этот документ четко описывает, какие именно ресурсы клиента подлежат тестированию, за какие именно уязвимости будут выплачены награды и в каком размере.
- Запуск баг-баунти программы. Составленный скоуп работ публикуется на сайте и баг-баунти платформа инициирует маркетинговые активности, чтобы привлечь свое сообщество белых хакеров к данной баг-баунти программе. Начинается сам процесс – белые хакеры ищут уязвимости в продукте.
- Ресерчеры (они же белые хакеры) присылают отчеты о найденных уязвимостях через баг-баунти платформу, с описанием самой уязвимости и часто с рекомендациями как ее устранить.
- Триаж-команда баг-баунти платформы верифицируют баги, которые присылают хакеры. Как только баг был верифицирован и клиент исправил уязвимость в своем продукте – белый хакер получает баунти, то есть, деньги. Одновременно с этим ему начисляют репутацию. На платформах существуют специальные лидборды для рейтингования хакеров.
Стоит подчеркнуть, что именно баг-баунти платформы, и высокая потребность в таких специалистах дают возможность белым хакерам монетизировать свои способности.
До появления баг-баунти платформ и программ фактически не существовало простого и легального способа хакерам зарабатывать деньги. Теперь же, они могут помогать бизнесу, получать достойную заработную плату (размер баунти может доходить и до $100 000 за одну уязвимость) и получать публичное признание.
В чем конкурентное преимущество баг-баунти платформ?
Почему баг-баунти программы лучше обычных компаний, которые предоставляют услуги по кибербезопасности? Несмотря на то что баг-баунти программы не являются панацеей и не отменяют потребность проведения тестов на проникновение, баг-баунти программы имеют несколько ключевых достоинств:
- Количество доступных специалистов. В стандартном тесте на проникновение, будет принимать не более 2-5 специалистов. В то время как баг-баунти платформа обладает в своем распоряжении сотнями белых хакеров. Как правило, эти люди с разных уголков света и имеют разную специализацию , что повышает шанс того, что ресерчеры найдут уязвимость в продукте (их больше и у них разный бэкграунд).
- Время тестирования. Опять же – стандартный тест на проникновение длится около от нескольких недель до нескольких месяцев в зависимости от объема работы и является точечной оценкой конкретной версии продукта, в то время как баг-баунти программы могут длится годы и являются непрерывным механизмом по оценке безопасности. И все это время ресерчеры будет пытаться найти уязвимость в вашем продукте.
- Система вознаграждения. При проведении стандартного теста на проникновение компания заплатит в любом случае – получит она результат или нет. В то время как система вознаграждения в баг-баунти программах основана на оплате за результат, т.е. за каждый верифицированный баг.
Почему компании дают себя хакнуть?
Напоследок главный вопрос – почему компании добровольно отдают свои продукты на растерзание белым хакерам?
Потому что парадигма «я построю суперстену и меня не взломают» не работает, банально потому что технологии и софт обновляется чуть ли не каждую неделю. Новые «дыры» появляются постоянно. Режим «я в домике» уже давно не работает. Вопрос кибербезопасности перешел из временной проблемы в постоянную (нужно постоянно мониторить и улучшать свою защиту). Поэтому передовые компании сменили свое мышление с «Я в домике» на «Если мою систему, будут постоянно пытаться взломать лучшие белые хакеры в мире – то они найдут в моем коде все «дыры», и когда придет черед настоящей атаки, злоумышленники не смогут прорваться сквозь нашу защиту».
Стоит понять, что киберугрозы никуда не уйдут, а будут только усиливаться со временем. Откладывание этого вопроса «на потом» может привести к губительным последствиям для компании. Кибербезопасность станет такой же мейнстримовой задачей, как и ведение бухгалтерского учета.
Однако паниковать не стоит. Передовые технологии и новые подходы к кибербезопасности смогут защитить компании завтра. На каждого хакера есть свой белый хакер.
Автор: Марк Савчук, менеджер по коммуникациям в Hacken.