Каждая организация в процессе своего развития создает и развивает свой подход к анализу защищенности. Одним из аспектов такого анализа является процесс управления уязвимостями. Для повышения уровня защищенности специалисты службы информационной безопасности должны в кратчайший срок найти и исправить все уязвимости, причем сделать это быстрее злоумышленников. Однако их усилий может оказаться недостаточно, и нарушители могут нанести серьезный ущерб, воспользовавшись всего одной критически опасной уязвимостью. В этом случае логичным развитием процесса управления уязвимостями и подхода к анализу защищенности в целом является использование программы bug bounty.
Программа bug bounty
Программа bug bounty — это привлечение внештатных исследователей кибербезопасности и специалистов по анализу защищенности и тестированию на проникновение к проверке программного обеспечения, веб-приложений или ИТ-инфраструктуры организации с условием выплаты вознаграждения (или иного поощрения) за выявленные уязвимости.
В рамках bug bounty компания выставляет для тестирования свои информационные активы:
- веб-приложения;
- ПО;
- отдельные сервисы и системы;
- часть ИТ-инфраструктуры или всю ее целиком.
Принять участие в программе в качестве исследователя потенциально может каждый, ограничений в подходах и используемых инструментах нет. Основными условиями стоит считать границу проведения работ, установленную заказчиком, и время для тестирования, определенное длительностью программы.
Важно понимать, что bug bounty — это подход, ориентированный на результат, так как вознаграждение или поощрение выдается только за найденные уязвимости, а не за затраченное на их поиск время, и только первому исследователю, приславшему соответствующий отчет. Сами программы бывают двух видов: классическая и APT bug bounty.
Классический подход
Используя программу bug bounty, организации, как правило, преследуют конкретную цель — сократить возможное количество уязвимостей разного уровня опасности в тех информационных активах, которые предоставлены для исследования.
ИТ-инфраструктура и иные информационные активы, предоставляемые на тестирование в рамках bug bounty, могут быть не связаны между собой и предоставляться в определенной ротации. Важно предоставлять актуальные версии систем, поэтому обновления должны устанавливаться своевременно.
Все это ведет к тому, что уязвимости выявляются точечно по отношению к каждой системе, нет возможности выстроить вектор атаки на глубину в несколько шагов, и самое главное — сложно однозначно определить, приведет ли эксплуатация уязвимости к наступлению недопустимого для организации события.
APT bug bounty
APT bug bounty предполагает выполнение ряда определенных действий на стороне заказчика, направленных на выявление недопустимых событий.
Основные шаги заключаются в следующем:
- сформировать перечень недопустимых событий с участием руководства организации, функциональных руководителей и узких специалистов;
- смоделировать сценарии реализации недопустимых событий;
- наложить сценарии реализации на уровень ИТ-инфраструктуры;
- определить целевые и ключевые системы, атака на которые может привести к реализации недопустимого события.
Перечень недопустимых событий и список целевых систем, в которых потенциально заинтересованы злоумышленники, позволяет использовать программы bug bounty как инструмент для решения более масштабных задач.
Организация, предлагая исследователям протестировать всю инфраструктуру, получает возможность проверить следующие аспекты:
- защищенность сетевого периметра;
- готовность службы информационной безопасности выявлять инциденты ИБ и реагировать на них;
- эффективность работы систем мониторинга;
- эффективность внедренных систем и средств защиты.
В подходе с реализацией недопустимого события на bug bounty всегда выставляется вся ИТ-инфраструктура заказчика, по аналогии с тем, что злоумышленник может проводить атаки на весь сетевой периметр организации. Вместо поиска отдельных уязвимостей исследователям предлагается построить вектор атаки от преодоления сетевого периметра до реализации недопустимого события. Вектор атаки может быть основан на эксплуатации нескольких уязвимостей разного уровня опасности. Описание этого вектора атаки должно стать основой для отчета по APT bug bounty.
Если отчет с четким исчерпывающим описанием полного вектора атаки и проэксплуатированных уязвимостей будет верифицирован специалистами по ИБ, то исследователям стоит рассчитывать на вознаграждение, которое в разы превышает выплаты за обычные уязвимости.
Такой подход выгоден для всех взаимодействующих сторон. Организация получает подробный отчет об эксплуатации цепочки уязвимостей и недостатков конфигурации систем, которые привели к реализации недопустимого события, возможность оперативно исправить уязвимости и понимание реализуемости недопустимых событий. Исследователь получает значительно большее вознаграждение и опыт, а специалисты по ИБ могут одновременно проверить цепочку уязвимостей вместо разрозненных отчетов.