Количество кибератак растет ежегодно. Если говорить про весь мир, то в 2021 году их число увеличилось на 50 процентов. Эта проблема актуальна и для России. В нашей стране только за первые три месяца текущего года количество кибератак возросло в 10 раз, если сравнивать с таким же периодом 2021 года. Злоумышленники изобретают все новые способы обхода систем безопасности, что рождает новые методы борьбы с ними. В последнее время все больше интереса вызывают программы Bug Bounty. Для чего они нужны и в чем их преимущества? Об этом и предлагаем поговорить.
Что такое Bug Bounty?
Bug Bounty называются специальные площадки, которые служат своего рода хабом между заказчиком и независимыми исследователями, которых принято называть багхантерами или белыми хакерами. То есть конкретная компания размещает программу для поиска уязвимых мест в своей инфраструктуре. Багхантеры, которые зарегистрированы на этой же площадке, могут искать баги по условиям этой программы. В случае обнаружения и подтверждения компанией уязвимости багхантер получает денежное вознаграждение.
Главная задача багхантера – найти уязвимостьв рамках заданных границ исследования. Принцип работы Bug Bounty довольно прост: заказчик публикует программу на bug bounty площадке, где дана вся информация о границах исследования, сумме вознаграждений и правилах, что багхантер может делать, а что нет. Исследователь может работать только в рамках озвученных правил, приступить к работе он может в любое удобное для него время. В одной программе могут искать баги одновременно неограниченное количество независимых исследователей. Но деньги за работу получит только тот багхантер, который первым представит отчет о нахождении уязвимости, а компания его подтвердит.
Программы Bug Bounty бывают двух типов: публичные и приватные. Какой из них выбрать – личная инициатива компании-заказчика.
- Публичными называются те программы, где заняться поиском багов может любой желающий независимый исследователь. Публичные программы позволяют привлечь к работе большое число белых хакеров, которые зарегистрированы на этой площадке. Более опытные из них «охотятся» на дорогостоящие баги, новички для прокачивания скилов берутся за поиски более простых уязвимостей.
- Приватные программы отличаются тем, что компания-заказчик может сама отбирать исполнителей, например, по опыту или рейтингу. В этом случае заняться поиском уязвимостей могут не все багхантеры, а только те специалисты, которые соответствуют заявленным требованиям заказчика.
Для компаний, которые хотят в первый раз попробовать запустить Bug Bounty программу, специалисты рекомендуют приватные программы, поскольку это позволяет постепенно наладить процесс работы с выявленными багами. Что касается публичных программ, то они отлично подходят для компаний с большой IT-инфраструктурой. Особенно если ранее уже запускались приватные программы.
В чем преимущества Bug Bounty?
В последнее время Bug Bounty программы все больше привлекают внимание различных компаний. Они могут применяться как в частном, так и в государственном секторе, поскольку обладают целым рядом преимуществ:
- Проверка на прочность. После того как заказчик размещает bug bounty программу, различные независимые исследователи приступают к ее исполнению. Багхантеры могут проживать в разных часовых поясах, обладать разным уровнем умений и опыта. Они все одновременно начинают искать уязвимости, то есть проверяют ресурсы компании в режиме нон-стоп. Это позволяет компании провести всестороннее тестирование, что после устранения обнаруженных уязвимостей снижает риск реальных взломов.
- Сокращение стоимости. Багхантер получает вознаграждение исключительно за нахождение подтвержденной уязвимости и только в том случае, если он прислал отчет первым. Некоторые компании предлагают и весьма солидные вознаграждения. Но заказчику в любом случае будет дешевле и выгодней заплатить багхантеру, чем устранять последствия реальной кибератаки, которые могут быть очень дорогостоящими и крайне негативно сказаться на репутации.
- Уникальные специалисты. Bug Bounty позволяет компании привлечь к работе над своей IT-инфраструктурой разнопрофильных и высококвалифицированных исследователей с большим опытом в области анализа защищенности.
Кроме того, программы bug bounty позволяют проводить поиск уязвимостей постоянно, в отличие от пентестов, которые, как правило, организовывают раз в полгода или год. Во всем мире многие компании уже давно оценили преимущества работы таких программ, есть и известные международные платформы, например, HackerOne. Сейчас активно внедряют подобные платформы и отечественные разработчики. Например, собственную платформу bug bounty в России запустила компания по управлению цифровыми рисками BI.ZONE.
Платформа BI.ZONE Bug Bounty предлагает компаниям различные возможности. Например, можно запустить как публичное, так и приватное тестирование. Но самое главное сотрудники BI.ZONE возьмут на себя все рутинные вопросы: помогут определить сумму вознаграждения, пригласят багхантеров, сообщат о программе в социальных сетях и СМИ, проведут работы по верификации обнаруженных уязвимостей. Если у вас остались вопросы, то вы их всегда можете задать специалистам BI.ZONE.
