Всем BUG BOUNTY!

Всем BUG BOUNTY!

В России появился агрегатор программ вознаграждения за поиск уязвимостей.

image

Год от года во всем мире растет количество кибератак. При этом, согласно статистике Positive Technologies, 86% киберпреступлений направлены на организации, и 74% от общего числа атак — целевые.

Факт: весной 2022 года российские компании захлестнула волна кибератак, так что даже самые беспечные убедились, что взломать можно всё, и что в любом программном обеспечении находятся баги, ведущие к убыткам и репутационным потерям. В первые три недели марта, на пике кибератак, число обращений в Positive Technologies за сервисами защиты равнялось трети от всех запросов в 2021 году. При этом объем работ по анализу защищенности увеличился в два раза, а по расследованию инцидентов — в три.

Вот еще пугающие цифры: согласно новому исследованию Positive Technologies, в 98% веб-приложений возможны атаки на пользователей, в 84% случаев есть угроза несанкционированного доступа, а в 91% возможны утечки важных данных.

Так как же достоверно и объективно оценить защищенность IT-инфраструктуры бизнеса? Где искать нужных специалистов и какой бюджет необходим?

Испытать на практике надежность любой IT-системы силами большого числа исследователей безопасности с разным опытом и умениями позволяют публичные программы bug bounty. И теперь запустить такую программу в России проще, чем когда-либо прежде.

Платформа-агрегатор

Positive Technologies представила на 11-м форуме практической кибербезопасности PHDays платформу The Standoff 365 Bug Bounty, которая объединяет компании и исследователей безопасности, чтобы сделать недопустимое невозможным.

Bug bounty — программа вознаграждения за нахождение багов и уязвимостей. Собственные программы bug bounty обычно объявляют многопользовательские сайты, сервисы и разработчики программного обеспечения, чтобы поощрить исследователей безопасности сообщать об уязвимостях, особенно о таких критически опасных, как RCE.

В то время как платформа Bug Bounty — это агрегатор, объединяющий на своей площадке программы самых разных компаний и позволяющий исследователям безопасности выбирать себе проект. При размещении на платформе компании публикуют список ресурсов, за отчет о недостатках защищенности в которых они готовы платить. А белые хакеры, заинтересованные в решении интересных задач, публичном признании и получении награды, обеспечивают объективность и достоверность исследований.

Платформа открылась публично 18 мая с программами bug bounty от «Азбуки вкуса» и Positive Technologies. За две первые недели на ней зарегистрировались более 670 исследователей безопасности, и уже сданы 33 отчета.

Одна голова хорошо, но лучше — больше

Впервые запуская программу bug bounty, компания сталкивается со множеством вопросов: как сформировать правила? сколько платить участникам? как привлечь их именно к этой программе?

Новая платформа дает ответы на каждый из них, помогая компаниям взаимодействовать с исследователями: от формирования правил для хакеров до процессов оплаты физлицам и фильтрации отчетов при необходимости.

Здесь уже есть хакерский трафик: за 11 лет существования форума PHDays и 6 лет кибербитвы The Standoff организаторы собрали вокруг себя сообщество сильнейших исследователей в области кибербезопасности, имеющих опыт участия в bug bounty.

Специалисты Positive Technologies сами ежегодно находят сотни уязвимостей в продуктах мировых технологических лидеров. Они знают всё о том, как работают программы bug bounty и как привлечь хакеров к участию в них.

Недопустимое невозможно

Еще совсем недавно bug bounty в основном запускали банки, площадки онлайн-торговли и IT-компании — то есть организации, чей бизнес связан с публичными сервисами для большого количества пользователей.

С всеобщей цифровизацией и к остальным компаниям пришло понимание, что их бизнес-процессы целиком зависят от информационных технологий, а киберпреступники могут вывести из строя предприятие, систему или объект критической инфраструктуры. Теперь представителям службы безопасности важно не только увидеть уязвимости на периметре, но и понять, как именно хакер может, например, остановить оборудование или украсть чертежи и планы.

Вот почему The Standoff 365 Bug Bounty, помимо традиционного формата поиска уязвимостей, предлагает новый механизм вознаграждения, ставя перед исследователями более сложную и амбициозную задачу — реализовать недопустимое событие. Ни одна другая платформа bug bounty в мире такой возможности не дает.

«Главное отличие нашей платформы — возможность создания программ в соответствии с принципами результативной кибербезопасности, когда белые хакеры не просто ищут отдельные уязвимости в системе, а реализуют недопустимые для нее сценарии. Мы предложим компаниям самим определить риски, реализация которых может привести к неприемлемым последствиям, и платить белым хакерам за отчет с последовательностью ведущих к ним действий. Исследователь должен не только найти уязвимость, но и проэксплуатировать ее, повысить привилегии в системе, предпринять другие шаги, в результате которых, например, можно получить данные пользователей. Такой подход имеет ряд преимуществ как для исследователей, поскольку суммы вознаграждений будут выше, так и для компаний, которые будут платить только за то, что хакеру удалось реализовать», — говорит Ярослав Бабин, CPO The Standoff 365.

Как всё устроено

На платформе The Standoff 365 компании могут устанавливать свои правила bug bounty: выбирать сроки, форматы отчетов и суммы вознаграждений, а также обозначать границы исследований и права доступа:

  • Программы могут длиться 3, 6 и 12 месяцев, до исчерпания бюджета проекта и даже непрерывно в течение нескольких лет.
  • Отчеты об уязвимостях можно получать напрямую от исследователей или после их верификации специалистами Positive Technologies.
  • Компании выбирают, что именно будут искать хакеры: уязвимости или пути к бизнес-рискам.
  • В будущем компании смогут выбрать, делать ли программу публичной или дать к ней доступ только определенным хакерам — например, с релевантным опытом.

В свою очередь, исследователи выбирают, с чем работать, исходя из правил и расценок, опубликованных компаниями.

Кейсы

Компания «Азбука вкуса» была первой в сегменте продуктового ретейла — она запустила программу bug bounty еще в 2020 году.

«Первый отчет мы получили всего через час после запуска, а подтвержденную уязвимость — спустя три часа. Эффективность повысилась, когда мы перешли на специализированную площадку, так как еще больше исследователей узнали о нашей программе.

От The Standoff 365 Bug Bounty мы ожидаем активного участия багхантеров и качественных отчетов. Вместе с Positive Technologies мы хотим повысить интерес к программам bug bounty, улучшить свои сервисы, дать исследователям возможность честно работать и получать вознаграждение за свои старания. Мы призываем соблюдать этику сообщества и ответственно относиться ко всем действиям в рамках программы», — рассказал Руслан Верхоланцев, руководитель отдела по информационной безопасности «Азбуки вкуса».

Запущенная фуд-ретейлером на новой платформе программа bug bounty предлагает исследователям проверить сервисы в общем доступе на доменах av.ru, azbukavkusa.ru и их субдоменах, а также сервисы, расположенные на внешних сетевых адресах компании. Искать уязвимости можно как в браузерных, так и в мобильном приложении.

Positive Technologies также предлагает свою программу bug bounty. Компания и прежде проводила открытые киберучения на своей инфраструктуре; на этот раз хакерам предлагается испытать безопасность корпоративных сайтов ptsecurity.com и partners.ptsecurity.com. За найденные уязвимости Positive Technologies готова платить от 20 тыс. до 393 тыс. руб.

Что дальше

По прогнозам создателей, в 2022 году на новой платформе свои программы bug bounty запустят 10–20 организаций, а к 2025 году их число может перевалить за 100. Может быть, одна из них будет ваша? Узнайте больше про платформу The Standoff 365 Bug Bounty или оставьте заявку на участие.

В дальнейшем Positive Technologies планирует развивать платформу как международную, создавая уникальные возможности как для российских, так и для зарубежных компаний.




Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!