22 Июля, 2015

СОИБ. Анализ. Платформы для Bug Bounty

Сергей Борисов
Каждая приличная западная ИТ-компания или вендор (Google, Microsoft, Twitter, Tesla, Github, Blogger , Drupal, eBay, Facebook, Instagram и многие другие) обязательно проводит программы выплаты вознаграждений за найденные уязвимости – BugBounty, в дополнение к внутреннему и внешнему аудиту ИБ. Это позволяет максимально уменьшить риски для их клиентов.  


Последнее время программы BugBountyзапускают также многие российские компании такие, как  Вконтакте, Yandex, Mail.ru, QIWI, Telegram, Anistar.ru, Ok.ru, Крайинвестбанк, Рокетбанк и т.п.

Когда принимается решение о запуске программы выплаты вознаграждений за найденные уязвимости, компании необходимо определится будут ли они самостоятельно проводить организовывать программу или использовать готовую специализированную под BugBountyплощадку.  

При проведении открытого конкурса своими силами, на компания должна быть готова взять на себя дополнительные организационные мероприятия:
·         разработать программу вознаграждения
·         разработать программу ответственного разглашения
·         привлечь исследователей ИБ
·         организовать взаимодействие с исследователями ИБ
·         отфильтровывать спам отчеты, некорректные отчеты, неправильно оформленные отчеты, дублирующийся отчеты об уязвимостях
·         юридически оформлять выплаты
·         готовить сводные отчеты для руководства об эффективности программы

Если используется готовая площадка BugBounty, то она берет эти мероприятия на себя за небольшой процент.  Есть достаточно большое количество англоязычных площадок – самые популярные hackerone.com и bugcrowd.com и единственная Российская http://bughunt.ru/

Преимущества западных площадок, таких как hackerone.com: большое количество зарегистрированных исследователей (более 1600), публичная история участия исследователей, удобные для исследователей программы разглашения, удобная система онлайн взаимодействия площадки, спецов заказчика и исследователей.

Преимущества Российской площадки bughunt.ru: только русскоязычные исследователи и отчеты об уязвимостях (как следствие легче обрабатывать отчеты и устранять уязвимости), возможность более детальной проверки участников и проведение программ с ограниченным доступом по усмотрению заказчика, независимость от санкций и западных экспортных ограничений, инвестиции в развитие русскоязычного сообщества ИБ специалистов, более простое оформление договора об оплате вознаграждений, возможность получения сводного отчета от лицензиата ФСТЭК, ФСБ по результатам программы BugBounty.

Призываю всех владельцев серьёзных ИТ продуктов, ИС и онлайн сервисов планировать и запускать правильные программы поиска уязвимостей. Но не забывать при этом и про другие варианты тестирования защищённости и поиска ошибок.

Другие публикации в блогах на тему BugBounty: