На фоне постоянного роста числа кибератак и дефицита профессиональных кадров в сфере информационной безопасности все больше организаций приходят к необходимости запуска программ багбаунти.
Такие программы позволяют привлекать тысячи внештатных исследователей безопасности для поиска уязвимостей в IT-инфраструктуре, ПО и веб-приложениях. При этом заказчики платят только за реальный результат — найденные уязвимости, а не за потраченное на их поиски время. В зависимости от условий и возможностей организации могут запускать багбаунти самостоятельно или на специализированных платформах.
Исследование Positive Technologies показывает, что IT-компании, онлайн-сервисы, сфера услуг, торговля и финансовые организации — в числе лидеров по использованию платформ для поиска уязвимостей. Анализ результатов работы российской багбаунти-платформы также выявил, что государственные учреждения занимают второе место после IT-компаний по количеству запущенных багбаунти-программ. В России интерес госструктур может стать драйвером роста рынка багбаунти.
В то же время анализ отечественного рынка багбаунти указывает на большой потенциал для роста. Преимущества этого способа проверки защищенности осознали еще далеко не все важные отрасли. К примеру, компании топливно-энергетического комплекса или девелоперы — все еще редкие гости багбаунти-платформ, не говоря уже о предприятиях малого и среднего бизнеса. При этом такое положение складывается не только из-за объективных сложностей, но и в силу бытующих в бизнес-сообществе заблуждений в отношении багбаунти. Разберем самые главные из них.
В некоторых компаниях все еще распространено убеждение, что уязвимости указывают на недостатки защищенности и низкий уровень компетентности сотрудников в сфере ИБ. Руководство таких организаций опасается, что само по себе признание уязвимостей и рисков ударит по их репутации.
На самом деле вопрос здесь лишь в том, кто быстрее обнаружит уязвимые места в вашей инфраструктуре — злоумышленники или исследователи ИБ. Абсолютно безопасных систем просто не существует. Пока киберпреступники вас действительно не взломали, нужно действовать на опережение: запускать программы багбаунти и привлекать специалистов для поиска и последующего закрытия брешей. Не стыдно признать наличие уязвимости, стыдно игнорировать проблему и ставить под угрозу своих клиентов и партнеров.
К хакингу обычно должна быть склонность. Для кого-то это может быть просто хобби, для других — основной заработок. В любом случае поиск и обнаружение уязвимостей доставляют исследователю удовольствие. И, как правило, им присуще чувство ответственности.
Любые организации нуждаются во внешней проверке защищенности. Сначала эксперты обычно рекомендуют прибегать к тестированию на проникновение, или пентесту, то есть моделированию реальных атак злоумышленников. Этот легальный и полностью контролируемый хакинг позволяет выявить, какие техники оказались успешны, чтобы с учетом этих результатов построить систему защиты, организовать мониторинг и оперативно реагировать на инциденты.
При выходе на багбаунти многие компании (в силу желания перестраховаться и доскональнее изучить процесс) часто начинают с запуска закрытых программ. При этом можно выбрать специалистов, которые соответствуют заданным требованиям, или приглашать наиболее продвинутых исследователей.
В действительности же злоумышленникам или черным хакерам просто нет смысла регистрироваться на платформе и зарабатывать рейтинги для допуска в закрытые программы — так они рискуют быть разоблаченными.
Чаще всего на багбаунти выставляются различные онлайн-сервисы, сайты, соцсети и другие системы, которые уже и без того доступны в интернете. Возможно, злоумышленники уже их просканировали и могут взломать. Багбаунти в этом плане не дает никакого преимущества злоумышленнику, который решил зарегистрироваться на платформе.
Кроме того, вокруг багбаунти-платформ формируется сообщество этичных хакеров, выстраивается прямая коммуникация между вендорами и багхантерами.
Здесь на помощь приходят специализированные багбаунти-платформы, которые предоставляют всю необходимую инфраструктуру для эффективного проведения программ по поиску уязвимостей, помогают наладить взаимодействие с исследователями и предоставляют экспертную поддержку. Самое важное, что клиенты платят только за результат: размер вознаграждения зависит от степени опасности уязвимости, а не потраченного на ее поиски времени. Так багбаунти на платформах, позволяя компаниям предотвращать дорогостоящие взломы, оказывается доступным и выгодным решением и для малого и среднего бизнеса.
По данным Positive Technologies, стартовая стоимость программы багбаунти (включая определение границ исследования и ценовой политики) рассчитывается индивидуально и зависит от рода деятельности, размера и капитализации компании-клиента. Подписка на платформу, помимо этого, включает привлечение исследователей, инфраструктуру для получения отчетов и формирования аналитики, проверку отчетов и верификацию уязвимостей. Средняя стоимость подписки на услуги багбаунти составляет 1,4 млн рублей в год, а средняя комиссия платформы — около 15% от каждой выплаты.
Перед запуском багбаунти эксперты советуют избавиться от уязвимостей, которые можно быстро найти при помощи сканирования инфраструктуры, сэкономив бюджет.
Кроме этого, стоит учесть, что багхантеры не всегда жаждут только денег: их может также привлечь благотворительность, признание собственных заслуг и понимание значимости исследуемых сервисов. Часто этичные хакеры с большей охотой берутся исследовать те приложения, сервисы и сайты, которые им по-настоящему интересны. В этом случае их мотивация проста: они хотят, чтобы то, чем пользуются они сами, члены их семьи или друзья, работало безупречно, а данные, которые они оставляют на любимых ресурсах, оставались в сохранности. Поэтому при удачном позиционировании успешными могут стать даже программы с небольшим бюджетом.
Никакой серебряной пули не существует, однако современная концепция результативной безопасности, которая предусматривает приоритизацию угроз, позволяет организации сосредоточиться на самых важных из них — недопустимых событиях. Определить перечень таких событий должно руководство компании вместе со специалистами по информационной безопасности. Основная идея этого подхода состоит в том, чтобы защитить наиболее важные и ценные активы, негативное воздействие на которые может привести к изменению операционных и стратегических целей организации или длительному нарушению ее основной деятельности.
Финансовые потери и репутационный ущерб — примеры универсальных неприемлемых событий. Однако у разных типов организаций могут быть свои, специфичные для них или их отрасли: например, остановка производства — для промышленных предприятий, сбой в предоставлении услуг — для госучреждений или дефейс сайтов — для СМИ.
На платформе Standoff Bug Bounty программы, ориентированные на недопустимые события, выделены в отдельную категорию с увеличенным вознаграждением. Positive Technologies первой запустила такую программу — Positive Dream Hunting. В ней компания сначала определила для себя одно недопустимое событие — кражу денежных средств со счетов, а затем добавила к нему второе — внедрение условно вредоносного кода в свои продукты. За реализацию каждого из двух сценариев в этом году установлена рекордная награда в 60 млн рублей. А компания Innostage готова заплатить до 5 млн рублей за похожий сценарий.
Платформы багбаунти — агрегаторы, которые собирают программы различных организаций, — помогают преодолеть сложности, с которыми сталкиваются организации, решившие запустить программы поиска уязвимостей. Такие платформы позволяют исследователям безопасности самим выбрать интересующий их проект, а компаниям-клиентам помогают выбрать целевые приложения, системы тестирования и границы исследования. Они также берут на себя всю основную работу по взаимодействию с исследователями и проверке их отчетов. Это дает возможность разгрузить IT-отделы компаний, которые могут сосредоточиться на доработке приложений и систем.
Однако для того чтобы в полной мере оценить пользу багбаунти, организациям также важно преодолевать собственные предубеждения и ошибочные представления, пересмотреть свое отношение к хакингу и исследователям безопасности.
Такие программы позволяют привлекать тысячи внештатных исследователей безопасности для поиска уязвимостей в IT-инфраструктуре, ПО и веб-приложениях. При этом заказчики платят только за реальный результат — найденные уязвимости, а не за потраченное на их поиски время. В зависимости от условий и возможностей организации могут запускать багбаунти самостоятельно или на специализированных платформах.
Исследование Positive Technologies показывает, что IT-компании, онлайн-сервисы, сфера услуг, торговля и финансовые организации — в числе лидеров по использованию платформ для поиска уязвимостей. Анализ результатов работы российской багбаунти-платформы также выявил, что государственные учреждения занимают второе место после IT-компаний по количеству запущенных багбаунти-программ. В России интерес госструктур может стать драйвером роста рынка багбаунти.
В то же время анализ отечественного рынка багбаунти указывает на большой потенциал для роста. Преимущества этого способа проверки защищенности осознали еще далеко не все важные отрасли. К примеру, компании топливно-энергетического комплекса или девелоперы — все еще редкие гости багбаунти-платформ, не говоря уже о предприятиях малого и среднего бизнеса. При этом такое положение складывается не только из-за объективных сложностей, но и в силу бытующих в бизнес-сообществе заблуждений в отношении багбаунти. Разберем самые главные из них.
Уязвимости есть у всех?
Как показало исследование Positive Technologies, в 2022–2023 годах только 14% всех производителей программного обеспечения своевременно реагировали на обнаруженные исследователями уязвимости и выпускали обновления в оптимально короткие сроки.В некоторых компаниях все еще распространено убеждение, что уязвимости указывают на недостатки защищенности и низкий уровень компетентности сотрудников в сфере ИБ. Руководство таких организаций опасается, что само по себе признание уязвимостей и рисков ударит по их репутации.
На самом деле вопрос здесь лишь в том, кто быстрее обнаружит уязвимые места в вашей инфраструктуре — злоумышленники или исследователи ИБ. Абсолютно безопасных систем просто не существует. Пока киберпреступники вас действительно не взломали, нужно действовать на опережение: запускать программы багбаунти и привлекать специалистов для поиска и последующего закрытия брешей. Не стыдно признать наличие уязвимости, стыдно игнорировать проблему и ставить под угрозу своих клиентов и партнеров.
Любой хакинг плох?
Следующее заблуждение связано с распространенными в обществе и бизнес-среде предрассудками в отношении хакеров и хакинга как рода деятельности по поиску недостатков безопасности. Многие компании просто не осознают реальную пользу сотрудничества с исследователями ИБ или, как их еще называют, багхантерами. Эти специалисты — те же хакеры, но белые: они открыто и легально ищут уязвимости в инфраструктуре, продуктах и сервисах компаний за честное вознаграждение.К хакингу обычно должна быть склонность. Для кого-то это может быть просто хобби, для других — основной заработок. В любом случае поиск и обнаружение уязвимостей доставляют исследователю удовольствие. И, как правило, им присуще чувство ответственности.
Любые организации нуждаются во внешней проверке защищенности. Сначала эксперты обычно рекомендуют прибегать к тестированию на проникновение, или пентесту, то есть моделированию реальных атак злоумышленников. Этот легальный и полностью контролируемый хакинг позволяет выявить, какие техники оказались успешны, чтобы с учетом этих результатов построить систему защиты, организовать мониторинг и оперативно реагировать на инциденты.
При выходе на багбаунти многие компании (в силу желания перестраховаться и доскональнее изучить процесс) часто начинают с запуска закрытых программ. При этом можно выбрать специалистов, которые соответствуют заданным требованиям, или приглашать наиболее продвинутых исследователей.
Все хакеры одинаково страшные?
Третье заблуждение тесно связано с предыдущим. Его суть в том, что выявленные на багбаунти ошибки якобы будут использованы против самих компаний.В действительности же злоумышленникам или черным хакерам просто нет смысла регистрироваться на платформе и зарабатывать рейтинги для допуска в закрытые программы — так они рискуют быть разоблаченными.
Чаще всего на багбаунти выставляются различные онлайн-сервисы, сайты, соцсети и другие системы, которые уже и без того доступны в интернете. Возможно, злоумышленники уже их просканировали и могут взломать. Багбаунти в этом плане не дает никакого преимущества злоумышленнику, который решил зарегистрироваться на платформе.
Кроме того, вокруг багбаунти-платформ формируется сообщество этичных хакеров, выстраивается прямая коммуникация между вендорами и багхантерами.
Это дорого?
Следующее распространенное заблуждение связано с тем, что багбаунти — это дорогое удовольствие, доступное исключительно крупным организациям с большими бюджетами на ИБ, а средний и малый бизнес просто не может позволить себе такую роскошь.Здесь на помощь приходят специализированные багбаунти-платформы, которые предоставляют всю необходимую инфраструктуру для эффективного проведения программ по поиску уязвимостей, помогают наладить взаимодействие с исследователями и предоставляют экспертную поддержку. Самое важное, что клиенты платят только за результат: размер вознаграждения зависит от степени опасности уязвимости, а не потраченного на ее поиски времени. Так багбаунти на платформах, позволяя компаниям предотвращать дорогостоящие взломы, оказывается доступным и выгодным решением и для малого и среднего бизнеса.
По данным Positive Technologies, стартовая стоимость программы багбаунти (включая определение границ исследования и ценовой политики) рассчитывается индивидуально и зависит от рода деятельности, размера и капитализации компании-клиента. Подписка на платформу, помимо этого, включает привлечение исследователей, инфраструктуру для получения отчетов и формирования аналитики, проверку отчетов и верификацию уязвимостей. Средняя стоимость подписки на услуги багбаунти составляет 1,4 млн рублей в год, а средняя комиссия платформы — около 15% от каждой выплаты.
Перед запуском багбаунти эксперты советуют избавиться от уязвимостей, которые можно быстро найти при помощи сканирования инфраструктуры, сэкономив бюджет.
Кроме этого, стоит учесть, что багхантеры не всегда жаждут только денег: их может также привлечь благотворительность, признание собственных заслуг и понимание значимости исследуемых сервисов. Часто этичные хакеры с большей охотой берутся исследовать те приложения, сервисы и сайты, которые им по-настоящему интересны. В этом случае их мотивация проста: они хотят, чтобы то, чем пользуются они сами, члены их семьи или друзья, работало безупречно, а данные, которые они оставляют на любимых ресурсах, оставались в сохранности. Поэтому при удачном позиционировании успешными могут стать даже программы с небольшим бюджетом.
Можно ли защититься от всего?
Пятое заблуждение связано с уверенностью в том, что от всех возможных киберугроз защититься все равно невозможно. На практике это действительно так, но проблема здесь кроется в неверном подходе, ведь защищаться от всего на свете и не нужно.Никакой серебряной пули не существует, однако современная концепция результативной безопасности, которая предусматривает приоритизацию угроз, позволяет организации сосредоточиться на самых важных из них — недопустимых событиях. Определить перечень таких событий должно руководство компании вместе со специалистами по информационной безопасности. Основная идея этого подхода состоит в том, чтобы защитить наиболее важные и ценные активы, негативное воздействие на которые может привести к изменению операционных и стратегических целей организации или длительному нарушению ее основной деятельности.
Финансовые потери и репутационный ущерб — примеры универсальных неприемлемых событий. Однако у разных типов организаций могут быть свои, специфичные для них или их отрасли: например, остановка производства — для промышленных предприятий, сбой в предоставлении услуг — для госучреждений или дефейс сайтов — для СМИ.
На платформе Standoff Bug Bounty программы, ориентированные на недопустимые события, выделены в отдельную категорию с увеличенным вознаграждением. Positive Technologies первой запустила такую программу — Positive Dream Hunting. В ней компания сначала определила для себя одно недопустимое событие — кражу денежных средств со счетов, а затем добавила к нему второе — внедрение условно вредоносного кода в свои продукты. За реализацию каждого из двух сценариев в этом году установлена рекордная награда в 60 млн рублей. А компания Innostage готова заплатить до 5 млн рублей за похожий сценарий.
Выводы
Программы багбаунти позволяют реализовать наиболее перспективный краудсорсинговый подход к обеспечению безопасности. С их помощью компании могут привлечь тысячи профессионалов в области ИБ к поиску и закрытию уязвимостей, а также исследованию сценариев реализации недопустимых событий. У багбаунти есть и такие важные преимущества, как нацеленность на результат, непрерывность тестирования, гибкость и масштабирование, прозрачная система вознаграждений.Платформы багбаунти — агрегаторы, которые собирают программы различных организаций, — помогают преодолеть сложности, с которыми сталкиваются организации, решившие запустить программы поиска уязвимостей. Такие платформы позволяют исследователям безопасности самим выбрать интересующий их проект, а компаниям-клиентам помогают выбрать целевые приложения, системы тестирования и границы исследования. Они также берут на себя всю основную работу по взаимодействию с исследователями и проверке их отчетов. Это дает возможность разгрузить IT-отделы компаний, которые могут сосредоточиться на доработке приложений и систем.
Однако для того чтобы в полной мере оценить пользу багбаунти, организациям также важно преодолевать собственные предубеждения и ошибочные представления, пересмотреть свое отношение к хакингу и исследователям безопасности.
