Улучшаем bug bonty-программы: что нужно знать

Улучшаем bug bonty-программы: что нужно знать
Свои программы для охотников за багами – Bug Bounty – сегодня появляются у все большего числа компаний. Тон здесь по-прежнему задают западные гиганты – Google, Apple, Facebook, Microsoft. Но за последние годы российский рынок все стремительнее перенимает мировой опыт: свои аналоги появились у Mail.ru, банка Тинькофф, Qiwi, Яндекса и даже у Минкомсвязи.



Кто и зачем отлавливает сегодня баги? Что заставляет сегодняшних хакеров искать уязвимости в системах?

Сразу скажем, что речь не только и не столько о деньгах. Скорее это попытка понять образ мыслей и составить собирательный образ тех, кто помогает делать этот мир безопаснее.

Недавно энтузиасты комьюнити Bugcrowd провели опрос среди "белых" хакеров и узнали, откуда те родом, какое у них образование, квалификация и хакерский опыт, а также что ими движет. В свою очередь, мы решили перевести их отчет и поделиться его результатами с вами.

Навыки и познания охотников за багами весьма обширны. 95% опрошенных указали, что хорошо или очень хорошо умеют  тестировать веб-приложения , 48% — лучше работают с Android, 28% — с iOS, а 15% — с Интернетом вещей (IoT).

В целом, сообщество хакеров – довольно молодое: возраст около 60% опрошенных — от 18 до 29 лет, и еще 34% — от 30 до 44 лет.

Большая часть опрошенных — студенты и те, чья работа не связана с выявлением багов. При этом 15% назвали отлов багов своей основной деятельностью, но многие хотят сделать его таковой. По мнению Bugcrowd, число штатных хакеров будет расти.

Об этом же свидетельствуют и данные  отчета  the 2016 Bug Bounty Hacker Report [Отчет об этичных хакерах и выявлении уязвимостей, 2016 г.] компании HackerOne. 90% опрошенных оказались моложе 34 лет, а 43,5% - в возрасте от 18 до 24 лет. Веб-приложения и здесь оказались излюбленной целью (77%).

При этом по профессии: 23% опрошенных — разработчики ПО и инженеры, 17% — тестируют системы на проникновение, а 15% — специалисты по информационной безопасности.

Так что же заставляет хакеров отлавливать баги?

Деньги

Хакеры по-разному смотрят на этот источник дохода. По данным Bugcrowd, некоторые энтузиасты занимаются взломом забавы ради и чтобы подзаработать. Для них поиск багов – это разовый доход и, как правило, не основной вид деятельности: 22% из них — инженеры или разработчики ПО, 19% — тестируют системы на проникновение, 18% — специалисты по информационной безопасности, а 16% — студенты.

При этом для штатных хакеров выявление ошибок и уязвимостей – основной источник дохода, больше половины считают его своей основной профессией, а заработанные деньги тратят на жизнь и оплату счетов. Самые опытные хакеры — виртуозы в сфере безопасности — также считают деньги главным стимулом, но в большинстве своём имеют другую основную работу. Чем больше опыт и профессионализм, тем больше можно заработать.

Согласно отчету компании HackerOne за 2016 год, финансовое вознаграждение — главный стимул для хакеров. 71,5% опрошенных признались, что отлавливают баги ради денег.

Как много получают хакеры?
В подобной опросе приняли участие более 600 хакеров со всего мира, входящих в сообщество HackerOne. Полученные ответы распределились следующим образом:


Вызов

Например, Матиас Карлссон, специализирующийся на взломе веб-сайтов, во главу угла ставит интеллектуальный вызов. Кроме того, в хакерском сообществе царит жесткая конкуренция.

"Я бросил вызов не только себе самому и создателю системы, но и другим опытным хакерам", — так он объясняет свой интерес. Для него решение задачи гораздо важнее, чем финансовое вознаграждение.

Мартен Микос , CEO Hacker One, согласен, что интеллектуальный вызов – один из главных стимулов для хакеров. Большинство людей из мира бизнеса пугаются при обнаружении уязвимости, но только не хакеры. По его словам, для хакеров — это настоящее сокровище.

Интеллектуальный вызов больше всего мотивирует любознательных новичков сообщества по отлову багов. Эти хакеры стали зарабатывать на поиске ошибок и уязвимостей меньше года назад. Для большинства из них это не основная работа, но многие молодые хакеры (55% в возрасте от 18 до 29 лет) планируют сделать ее таковой.

Профессиональный и карьерный рост

По словам Микоса, молодых хакеров также привлекают возможности профессионального и карьерного роста. Новички стремятся наработать опыт. Согласно отчету компании HackerOne, 64,3% опрошенных хотят составить привлекательное резюм: чем существеннее обнаруженные уязвимости, тем серьезнее выглядит их резюме.

"Если амбициозный хакер обнаружит уязвимость у Adobe, GM или другой известной компании, то уважение ему обеспечено", — поясняет Микос.

Кроме того, по словам Микоса, обучение мотивирует и некоторых хакеров постарше, но, скорее, как возможность передавать свои знания другим. Эти профессионалы не только зарабатывают на отлове багов, но и хотят делиться своими навыками с новичками.

Хотя поиск багов — эффективная форма обучения, многим хакерам еще важно и поддерживать свои навыки. Программы по обнаружению уязвимостей позволяют им всегда быть в курсе последних тенденций и методик, которые они могут использовать в штатной или внештатной работе.

Желание делать добро

Микос отмечает, что многие хакеры хотят приносить пользу. Желание помогать вполне естественно для человека, и поэтому у многих хакеров добрые намерения.

"Среди прочих причин хакеры всегда говорят о желании "творить добро", — поясняет он. — Конечно, оно не на первом месте, но всегда на слуху".

Кроме того, Карлссон считает, что многие взломщики систем безопасности руководствуются желанием внести вклад в общее благо. По данным компании Bugcrowd, альтруизм – основной стимул для так называемых "защитников", которые стремятся, прежде всего, усилить защиту Интернета и тех продуктов, что они используют. У многих из них за плечами несколько лет работы в области безопасности: почти у трети (32%) — более пяти лет, и у половины — более трех лет.

Патриотизм

Хотя патриотизм и не самый большой стимул для охотников за багами, некоторые из них всё же хотят представлять свою страну в выгодном свете. По словам Микоса, особенно это касается тех стран, которые не славятся своим вкладом в информационную безопасность. "Белые" хакеры стремятся показать, что в их стране живут технически компетентные люди, которые руководствуются добрыми намерениями.

Это весело

И наконец, отлов багов — это просто весело.

"Многие хакеры получают истинное удовольствие от процесса и любят работать в команде, — говорит Микос. — Для них это социализация". Друзья-хакеры создают "проектную команду" и работают вместе в онлайне или офлайне. Как объясняет Микос, совместная работа помогает повысить продуктивность.

Как улучшить вашу bug bounty-программу?

Все это хорошо, но можно ли повысить не только продуктивность проектных команд, но и в целом улучшить эффективность вашей bug bounty программы? Ответ - да. Понимая, как и чем живут охотники за багами, этого можно добиться. И вот почему.

В зависимости от мотивации хакеров, вы можете по-разному выстраивать свое взаимодействие с ними, по сути, «играя» четырьмя переменными: содержанием (scope) и типом программы (открытая/закрытая), вознаграждением (материальное/нематериальное) и прозрачностью (непрозрачностью) итогов программы. Согласитесь, звучит здорово, тем более, что для нашего удобства авторы исследования даже разделили его участников на условных 5 категорий. Рассмотрим каждую из них чуть подробнее.

Охотники за знаниями

Занимаются ловлей багов время от времени, однако хотят посвящать этому больше времени. Как правило, это новички, которые крутятся в этой сфере менее 2-х лет.

Мотивация: Знания, соревновательный аспект, «это весело».

Возраст: более половины - люди от 18 до 29.

Опыт: у 67% опрошенных опыт составляет менее 1 года.

Амбиции: Заинтересованы в построении карьеры в сфере ИБ - 38% хотят в будущем заниматься поиском уязвимостей все свое время, еще 28% хотят занять пост ведущего эксперта по ИБ в одной из крупных компаний.

Любители

В данном случае любители – это те, кто в первую очередь действительно любят то, чем занимаются.  И именно поэтому делают это очень хорошо. Главное их отличие от профессионалов в том, что первые имеют основную работу в сфере ИБ, а поиск уязвимостей для них – как side-проект для известного музыканта: в первую очередь «для души», а потом уже - источник дополнительного заработка.

Мотивация: дополнительный доход, «это весело»

Опыт: самая опытная категория охотников за багами. У 30% более 5 лет опыта; 19% - от 3 до 4 лет; 22% - от 1 до 2 лет.

Профессия: 22% инженеры ПО или разработчики; 19% - пентестеры; 18% - инженеры. безопасности.

На что обращают внимание при выборе программы: новизна и сложность.

«Наемники»

В эту категорию попадают те, кто уделяют работе по поиску уязвимостей основное время. Для 55% из них охота за багами – главный источник заработка.

Мотивация: еще больше денег.

География: в основном жители Индии.

Опыт: у 70% от 1 до 2 лет опыта.

Амбиции: более половины опрошенных хотят сделать охоту за багами своей основной работой.

На что обращают внимание при выборе программы: широкий спектр задач.

Профи

Очевидно, это самые опытные специалисты – 33% опрошенных имеют опыт более 5 лет в сфере ИБ. У большинства представителей этой категории есть основная работа, не связанная с поиском уязвимостей. И такой расклад их вполне устраивает. Как и любители, большинство из профессионалов уделяют ловле багов не более 5 часов в неделю.

Мотивация: соревновательный аспект, поддержание квалификации, образование, деньги.

Профессия: 31% инженеры безопасности или пентестеры, 31% - разработчики

На что обращают внимание при выборе программы: сложность, широкий спектр задач, возможность найти серьезный баг.

«Безопасники»

Люди в наибольшей степени заряженные на альтруизм в хорошем смысле этого слова. В отличие от остальных, они более, чем кто-либо другой хотят сделать Сеть и экосистему безопаснее. Состав этой «группы» крайне неоднородный: 40% - новички, у которых за плечами менее 1 года опыта; 50% могут похвастаться опытом более 3-х лет. Деньги действительно для них не главное, однако около 60% опрошенных признают важность наличия компенсации в программе. Почти половина «безопасников» ищут уязвимости около 5 часов в неделю, четверть – 6-10 часов.

Мотивация: повышение уровня безопасности.

Профессия: 26% - разработчики, 18% - инженеры безопасности.

Амбиции: 34% хотят стать экспертом по ИБ, 32% мечтают о карьере профессионального охотника за багами.

На что обращают внимание при выборе программы: новизна, широкий спектр задач, высокая вероятность поймать уязвимость.

Что со всем эти делать

Тип задач

Повторимся, понимание психологии хакеров – ваш ключ к эффективной программе bug bounty. Например, профи, «наемники» и «безопасники» чаще всего предпочитают программы с широким спектром задач. С другой стороны, подобное условие может создавать ряд трудностей по управлению проектом и командой – сместить фокус участников на отдельные сложные «куски» работы после старта программы может быть непросто.

В то же время, более узкий фронт работ по программе иной раз нужен, если необходима скрупулезная, точечная работа над отдельными компонентами вашей системы. В таких ситуациях могут быть весьма полезно обратиться к специалистам с определенными заранее техническими навыками.  При этом такие программы могут быть особенно интересными для новичков – тех самых Охотников за знаниями. Часто bug bounty-программы с узким scope of work не анонсируются как публичные.

Степень открытости программы

И здесь мы вплотную подходим к вопросу о степени «публичности» вашей программы.  Закрытые проекты, как правило, ориентированы на небольшие группы участников. Для охотников за багами это означает в первую очередь – большую эффективность и меньшее количество впустую потраченного времени на поиск одних и тех же уязвимостей.

Нередко многие компании делают первые шаги по части bug bounty-программ с закрытых проектов – чтобы набраться опыта взаимодействия с проектной командой. Вот почему обычно в закрытые программы приглашают «наемников» и профи. Открытые программы по определению доступны значительно большему кругу людей, вне зависимости от их мотивации.

Вознаграждение

Наличие вознаграждения не ключевой, но крайне важный аспект любого bug bounty проекта. Деньги как таковые не являются здесь главным мотиватором, однако могут значительно облегчить вам работу с наиболее опытными специалистами.

Нужно помнить, что под вознаграждением за труд можно понимать разное. И разные группы охотников за уязвимостями могут оценить разные виды компенсаций. Например, для Охотников за знаниями  и профи, участие в проекте bug bounty это скорее о ценности их работы, нежели о заработанных деньгах. Кстати, программы по поиску уязвимостей нередко анонсируют и вовсе на «вольных началах», а уже впоследствии - добавляют призы. В этом случае есть шанс заинтересовать программой как новичков, так и профи – и первым и вторым, интересны непростые задачи.

Публичность результатов

Большинство участников опроса признают, что вопрос о том, будут ли результаты их деятельности – читай найденные узявимости – доступны общественности или нет, является важным для них.

Для профессионалов и тех, кто работает по найму, возможность открыто заявить о найденных на проекте багах – это несомненный плюс, подтверждение их квалификации и навыков. Для т.н. «безопасников» - это, например, отличная возможность узнать больше о реальных «живых» незакрытых уязвимостях; рисках, связанных с человеческим фактором и т.д. Наконец, возможность огласить результаты своей работы – первый серьезный шаг к получению признания со стороны профессионального сообщества для новичков.

Вместо P.S.

Bug bounty-проекты действительно могут принести немало пользы компании и в ближайшее время, вероятно, их число будет только расти. Хотя бы потому, что чаще всего они оказываются дешевле содержания штата выделенных охотников за багами. А благодаря популяризации agile методологии, работы у баг хантеров, вряд ли станет меньше: невозможность оперативной защиты бизнес-функций - один из существенных ограничений «гибкого» подхода к разработке.

Вот почему понимание психологии охотников за багами может помочь в улучшении как самих bug bounty-программ, так и в конечном итоге положительно сказаться на общем уровне защищенности ваших процессов, сервисов и продуктов.

В качестве заключения отметим, что наибольшая эффективность, как это нередко бывает, достигается именно в результате синтеза – технологий, инструментов, подходов. Продолжая оставаться в рамках agile реальности, безусловно, имеет смысл улучшать и качество bug bounty-программ. Выйти на качественно новый уровень - например, в случае с безопасностью веб-приложений – можно, изменив сам взгляд на вашу «реальность». О том, как это сделать вы можете прочесть в  статье Рустэма Хайретдинова . Но это уже совсем другая история.

Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

InfoWatch

Блог компании infowatch infowatch.livejournal.com