Разделы

Безопасность Бизнес Цифровизация

Гайд из 8 шагов: как запустить программу багбаунти

Багбаунти (от англ. bug bounty) — это процесс поиска уязвимостей в ИТ-инфраструктуре, ПО и веб-приложениях компаний за вознаграждение, который перестает быть привилегией гигантов рынка и все чаще применяется компаниями всех размеров. На первый взгляд внедрение багбаунти кажется сложной задачей, но иногда реально запуститься в короткие сроки и с минимальными затратами времени и денег. Вместе со Standoff Bug Bounty рассказываем, как запустить программу у себя в организации.

Багбаунти (от англ. bug bounty) — это процесс поиска уязвимостей в ИТ-инфраструктуре, ПО и веб-приложениях компаний за вознаграждение, который перестает быть привилегией гигантов рынка и все чаще применяется компаниями всех размеров. На первый взгляд внедрение багбаунти иногда кажется сложной задачей, но запуститься в короткие сроки и с минимальными затратами времени и денег реально. Рассказываем со Standoff Bug Bounty, как запустить программу у себя в организации.

шаг 1

Сформировать команду, которая будет работать с внешними исследователями безопасности

Для администрирования программы багбаунти нужна команда из специалистов по информационной безопасности, которые займутся проверкой отчетов, и разработчика, который будет «фиксить» найденные баги.

Нет своих сотрудников, недостаточно времени или экспертизы? Передайте сопровождение программы на аутсорс — это называется триаж. В результате работы команды триажа компании получают заключение о каждом подтвержденном отчете, составленное опытными специалистами: описание уязвимости, уровень ее опасности для бизнес-процессов, сценарии использования, причины возникновения, влияние на дополнительные компоненты системы, потенциальные регуляторные и репутационные риски при эксплуатации, а также способы исправления.

шаг 2

Заранее избавиться от уязвимостей, которые можно найти быстро

Перед тем, как отдать поиск багов внешним экспертам, желательно найти и «пофиксить» простые уязвимости, самостоятельно просканировав инфраструктуру.

Также лучше проверить, не дублируются ли найденные баги в других программах или сервисах компании, для чего коллегам, ответственным за информационную безопасность, можно привлечь к сотрудничеству администраторов и разработчиков.

шаг 3

Определиться, что нужно найти: отдельные баги или недопустимые события

Определившись с тем, какие ресурсы/сервисы вы хотите разместить на багбаунти (обычно — это самые защищенные приложения), нужно решить, насколько глубоко их надо проверять. Помимо классической модели «нашел баг — получил вознаграждение», на рынок информационной безопасности потихоньку приходит комплексное отслеживание ошибок в системах — АРТ Bug Bounty.

В таком случае предлагается не только поиск уязвимости, но и реализация дальнейшей цепочки, которая может привести к нежелательным для компании последствиям. Уровень вознаграждения за поиск целого недопустимого сценария существенно выше, чем за единичные баги.

Пример программы:

В феврале 2024 года Positive Technologies запустила программу, нацеленную на внедрение условно вредоносного кода в продукты вендора. За реализацию такого сценария компания была готова заплатить 60 млн руб. Также в этом году аналогичные программы на реализацию недопустимых событий запустили компании Rambler&Co и Innostage.

шаг 4

Сформировать бюджет

По данным платформы Standoff Bug Bounty, среднее вознаграждение за обнаружение критической уязвимости — 590 000 руб., при этом таких ошибок будет около 12%. Но на старте вознаграждение в 100 тыс. рублей за самые опасные баги уже будет интересным для багхантеров. Гораздо больше находится «дыр» высокого (20%) и среднего (20-25%) уровня опасности, остальные баги — либо низкой критичности и стоимости, либо могут быть вообще не оплачены (в следующем шаге расскажем про это чуть подробнее).

Пример формирования бюджета:

Эти цифры вариативны, единой системы расчета нет: все зависит от правил платформы и сферы деятельности компании (по данным Positive Technologies, за самый критичный баг могут дать от нескольких тысяч до 4 млн руб.). Для этого достаточно ознакомиться с предложениями от релевантных компаний на багбаунти-платформах. При поквартальном планировании эксперты советуют заложить 40% бюджета на вознаграждения на первый квартал, так как программа в первые месяцы пользуется наибольшей популярностью, и объем отчетов велик, а на остальные три квартала распределить по 20%.

шаг 5

Прописать правила программы

Багхантеры должны четко понимать, что нужно проверять и каков прайс за успешное нахождение уязвимости. Специалисты Standoff Bug Bounty помогут написать правила. Ниже — обязательные пункты.

  • Какую область сервиса нужно проверять. Речь идет, к примеру, о всем сайте, или же только о разделах, с которыми работает клиент?
  • Размер вознаграждения за разные уровни уязвимостей и сроки/условия их выплаты.
  • Требования к формированию отчетов. Вы можете попросить не только указать информацию о найденной «дыре» и представить доказательство ее существования в удобном формате (скриншоты, запись экрана и др.), но и запросить предложения по ее устранению.
шаг 6

Выбрать между открытым или закрытым размещением

Внутри платформы есть возможность вести как открытый поиск багов, так и разместить ресурс на закрытую проверку.

На закрытых площадках круг исследователей ограничен, и информация о «дырах» в безопасности будет видна только вашим разработчикам, что приводит к более высокому качеству отчетов и большей конфиденциальности. Но тогда нужно быть уверенным, что ваш ресурс будет интересен этому ограниченному кругу экспертов. Мы рекомендуем новичкам в багбаунти сначала запускать приватную программу.

Традиционно, размещая ресурс на проверку в открытую, проще привлечь заинтересованных багхантеров, но и риск менее квалифицированных отчетов сохраняется, ведь прислать их может любой зарегистрированный специалист.

шаг 7

Продумать мотивацию багхантеров

Ничего лучше быстрых выплат для повышения мотивации работать с компанией еще не придумали. Если есть возможность, можно выплатить гонорар после подтверждения обнаружения бага, не дожидаясь его устранения. Кроме того, если багхантер нашел критичную уязвимость вне объявленной зоны поиска, хорошим тоном будет все равно ему заплатить.

Конечно, ключевой мотиватор работы над поиском багов — финансовое вознаграждение. Но есть и дополнительные возможности привлечь внимание к своему проекту.

Пример формирования бюджета:

Признание профессионализма и заслуг — важный фактор для багхантеров. Можно предложить успешному эксперту повышение рейтинга на площадке, возможность разместить информацию о решении вашего кейса в публичном поле, выдать официальную благодарность от руководства компании или фирменный «мерч». Также необходимо помнить, что работа с багхантерами — это взаимовыгодное сотрудничество. Поэтому важно разбирать все недопонимания с исследователями и стараться развернуто отвечать, например, почему отчет не приняли или понизили уровень критичности уязвимости. Комьюнити багхантеров довольно узкое, поэтому слухи о недобросовестных компаниях разойдутся в нем довольно быстро.

шаг 8

Выбрать формат работы с отчетами исследователей (самостоятельно или с помощью сервиса платформы)

Если в вашей команде достаточно опытных коллег, а объем поступающих отчетов приемлемый, то можно обрабатывать их самостоятельно. В таком случае важно прописать процесс фиксации всех отчетов и статуса обработки в единой системе (к примеру, в трекере задач), своевременно вычленять дубликаты, предоставлять багхантерам обратную связь в разумные сроки и др.

В качестве альтернативного варианта можно попросить экспертов платформы о триаже. Например, в рамках этой услуги, специалисты платформы Standoff Bug Bounty готовят подробный отчет, котором содержится подтвержденный уровень опасности уязвимостей для бизнес-процессов, сценарии их использования и возможные причины возникновения, влияние недостатков на дополнительные компоненты системы, потенциальные регуляторные и репутационные риски при эксплуатации, а также способы исправления.

Рекламаerid: LjN8KJVU3Рекламодатель: Акционерное Общество «Позитив Текнолоджиз»ИНН/ОГРН: 7718668887/ 1077761087117Сайт: https://www.ptsecurity.com/ru-ru/