Александр КравченкоПодготовка к запуску классической программы bug bounty
Александр КравченкоАлександр КравченкоАлександр КравченкоBug bounty можно и следует считать одним из этапов развития процессов управления уязвимостями и анализа защищенности в организации. Выявление уязвимостей силами внутренней команды специалистов информационной безопасности, аудит, привлечение подрядчиков для проведения тестирования на проникновение, использование автоматизированных средств поиска уязвимостей — все это является неотъемлемой частью кибербезопасности и характеризует зрелость организации с точки зрения защищенности.
Программа bug bounty — это процесс привлечения внештатных исследователей кибербезопасности и специалистов по анализу защищенности и тестированию на проникновение к проверке программного обеспечения, веб-приложений и ИТ-инфраструктуры организации с условием выплаты вознаграждения за выявленные уязвимости или получения иного поощрения
Приступать к формированию собственной программы bug bounty следует после выстраивания классических методов и процессов информационной безопасности, так как программа потребует вовлечения в процесс различных подразделений, отвечающих не только за информационную безопасность, но и за поддержку ИТ-инфраструктуры и обеспечение финансовых операций.
Нельзя сказать, что существует универсальный процесс, следуя которому можно быстро и эффективно сформировать программу bug bounty и предложить ее исследователям. Однако существует ряд контрольных точек, направленных на выстраивание всего процесса, прохождение которых существенно упростит создание программы.
Запуская программу bug bounty, организации, как правило, преследуют конкретную цель — сократить возможное количество уязвимостей разного уровня опасности в тех информационных активах, которые они предоставили для исследования.
Необходимо определить размер бюджета на проведение программы, а также определиться, в каком формате будут происходить возможные выплаты: будут ли это прямые выплаты исследователю за каждую обнаруженную уязвимость или выплаты из фонда, который резервируется под соответствующие цели.
Следует помнить, что чем более ограничен бюджет, тем меньше выплаты за найденные уязвимости, а значит и привлекательность такой активности для исследователей кибербезопасности будет ниже.
На следующем этапе необходимо выбрать формат публикации программы — опубликовать ее самостоятельно или воспользоваться услугами специализированной платформы.
Самостоятельная публикация используется не так часто и имеет свои преимущества и недостатки:
Размещение программ bug bounty на специализированных площадках активно набирает популярность. Существуют различные зарубежные и российские платформы bug bounty (BI.ZONE Bug Bounty, HackerOne, Standoff365).
Платформы bug bounty — это электронные площадки, созданные для организации поиска уязвимостей и анализа защищенности сообществом исследователей безопасности. Специалисты платформ предоставляют необходимую инфраструктуру, оказывают поддержку и дают экспертные рекомендации
При работе с платформами bug bounty следует учитывать их преимущества и недостатки.
Внутри любой организации должен быть сформирован перечень подразделений или ответственных лиц, которые будут отвечать:
Как правило, подобные роли и задачи должны быть зафиксированы во внутренней нормативной документации.
Важный шаг в процессе формирования программы — определение информационных активов, подлежащих тестированию. Это может быть ПО, веб-приложение или часть ИТ-инфраструктуры. Тестировать можно каждую новую версию ПО, функциональность продукта или группу приложений.
Наравне с перечнем информационных активов внутренней команде организации необходимо определить границы тестирования, правила и ограничения, которые потенциальный исследователь обязан будет соблюдать.
Нельзя забывать и о подготовке испытательного стенда, на котором будут выполняться работы. Не во всех случаях оптимально проводить тестирование продуктивных систем.