Что такое Баг-баунти платформы и как они работают?
Все чаще и чаще мы слышим из новостей про «хакерские атаки» и «взломы». И это не случайно: согласно отчету MсAfee and the Center for Strategic and International Studies мировая экономика из-за киберпреступности теряет около $600 млрд.
Спрос на услуги кибербезопасности также растет и в 2018ом году составит около $96 млрд. На фоне возникновения все новых угроз, рождаются и новые инновационные решения и методы борьбы с хакерскими атаками. Одним из таких решений являются Баг-Баунти Платформы. В этой статье мы вам расскажем что такое баг-баунти платформы и как они помогают компаниям защититься от современных киберугроз.
Что такое баг-баунти платформа?
Перед тем как мы расскажем про то что такое «баг-баунти платформа», необходимо объяснить что такое баг-баунти программа?
Баг-баунти программа — это процесс, в котором компания привлекает сторонних специалистов по кибербезопасности (в индустрии мы называем их «белые хакеры» или «рисерчеры») для тестирования своего программного обеспечения на уязвимости за монетарное вознаграждение. За каждую найденную уязвимость (баг) рисерчер получает вознаграждение (баунти).
Компания публично оглашает скоуп (от англ. «Scope» — «объем») работ, уровень вознаграждения за уязвимости и любой желающий может зарегистрироваться и принимать участие в баг-баунти программе.
Однако, на практике, далеко не каждая компания может позволить себе провести баг-баунти программу самостоятельно.
Почему? Потому что большинство компаний к этому не готовы:
- Если вы не Apple, Google или Пентагон, про вас мало кто знает. Соответственно когда вы скажите всему миру «ура, мы запустили баг-баунти программу, налетая» — к вам никто не придет. Кто вы такие? Почему рисерчеру стоит тратить на вас время? Будете ли вы выплачивать баунти или начнете «пропадать»? Никто вас не знает, никто не знает насколько профессионально вы подходите к делу. Для белых хакеров это большой риск.
- Часто у компаний нет должной инфраструктуры и ресурсов для того чтобы принимать и обрабатывать репорты рисерчеров. Кто будет верифицировать уязвимости, скоуп работ, кто будет каждый день общаться с рисерчерами?
Большинство компаний не обладает достаточным опытом и квалификацией чтобы качественно провести собственную баг-баунти программу.
Поэтому, компании прибегают к помощи так называемых баг-баунти платформ, таких как HackenProof. Это компании которые специализируются на проведении баг-баунти программ.
Что из себя представляет баг-баунти платформа?
Любая баг-баунти платформа имеет три составляющие:
- Сообщество белых хакеров. Чем больше сообщество, тем сильнее баг-баунти платформа. Это наверное одна из самых важных частей баг-баунти платформы. Компании нарабатывают сообщество белых хакеров годами, тратя большие усилия и ресурсы на комьюнити, чтобы оно постоянно росло.
- Собственная CRMка чтобы обрабатывать уязвимости которые присылают рисерчеры.
- Помимо CRMки и комьюнити белых хакеров, компания располагает своей «In-house» командой специалистов по кибербезопасности, которая занимается проверкой багов которые присылают рисерчеры (таких сотрудников называют — триажерами, а сам процесс — «триаж»). Триажеры также общаются с клиентами.
Как проходит процесс баг баунти программы?
- К баг-баунти платформе обращается клиент, который хочет провести баг-баунти программу чтобы протестировать свои продукты.
- Баг баунти платформа вместе с клиентом составляют так называемый «скоуп» работ. Это документ который детально описывает какие именно уязвимости ищет клиент, на каких ресурсах нужно их искать, какова ценовая политика, и как именно ресерчерам присылать уязвимости на платформу.
- Баг-баунти платформа публикует программу на своем сайте и запускает маркетинговые активности, привлекая белых хакеров принять участие в программе. С этого момента баг-баунти программа считается открытой.
- Начинается сама баг-баунти программа. Ресерчеры находят уязвимости в тестируемом продукте и присылают на сайт баг-баунти платформы через специализированную CRM систему.
- Внутренняя команда триажеров верифицирует каждую присланную уязвимость: проверяет является ли уязвимость уникальной (или была уже найдена другим рисерчером), является ли уязвимость валидной (можно ли ее повторить), находится в пределах скоупа.
- После того как баг был верифицирован командой триажеров, формируется отчет который направляется клиенту. Это готовый отчет о баге, где детально расписано как его воспроизвести и что нужно сделать чтобы «закрыть дыру».
Шаги 4–5–6 повторяются по кругу. Большие компании могут проводить баг-баунти программы месяцами, а иногда даже годами. Количество багов найденных в одной баг баунти программе может варьироваться от единиц до сотен.
В чем преимущество баг-баунти платформы над обычной компанией которая предоставляет услуги по кибербезопасности?
Ну ок, хорошо, баг-баунти программы это инновационный подход, а баг-баунти платформы помогают компаниям эффективно проводить баг-баунти программы. Но «где тут гешефт»?
Баг-баунти платформы имеют несколько ключевых преимуществ:
- Доступ к человеческому капиталу
Стандартная компания по предоставлению услуг по кибербезопасности, имеет в своем распоряжении в среднем 5–20 сотрудников которые будут тестировать ваш софт. В то время как на баг-баунти платформе зарегистрированы сотни или даже тысячи специалистов, которые специализируются на разных сферах (веб, мобайл, блокчейн протоколы, платежные системы, смарт контракты и т.д.). Баг-баунти платформы имеют доступ к гораздо большему человеческому капиталу чем стандартные компании по предоставлению услуг по кибербезопасности. Это своего рода «аутсорс» услуг по кибербезопасности на весь мир.
- Время тестирования
Тест на проникновение обычно длится около месяца или двух, в то время как баг-баунти программа длится месяцами или даже годами (и все это время ресерчеры будут активно пытаться найти уязвимости в вашем продукте). При таком длительном тестировании, вероятность того что уязвимость не заметят значительно снижается.
- Система вознаграждения
Стандартная компания по предоставлению услуг по кибербезопасности, получает вознаграждение за процесс (проведению теста на проникновение). Клиент заплатит вне зависимости от того сколько багов найдет компания. В то время как баг-баунти программа вознаграждает белых хакеров за подтвержденные баги. То есть система вознаграждения делает акцент именно на количество уязвимостей, а не на сам процесс.
Наш мир становится все более и более «диджитализированным», продукты более сложными. Компании все больше и больше используют онлайн сервисы для своей работы. Каждый из них обновляясь, может содержать в себе уязвимости, которые хакеры могут использовать и нанести большой вред компаниям.
Мы должны поменять свое мировоззрение и принять тот факт, что защита от кибер угроз больше не может быть дискретной (проверка софта на уязвимости время от времени), она должна стать постоянной (постоянная проверка софта на уязвимости). Только так компании могут эффективно защищаться защититься от хакеров.
© vc.ru
