Программа APT bug bounty во многом похожа на классический подход. В обоих вариантах речь идет об информационных активах, исследователях кибербезопасности, отчетах и вознаграждении.
Программа APT bug bounty — это привлечение независимых исследователей кибербезопасности и специалистов по анализу защищенности и тестированию на проникновение к проверке всей ИТ-инфраструктуры организации с условием выплаты вознаграждения (или другого поощрения) за реализацию критерия реализации недопустимого события.
Как видно из определения, краеугольным камнем такой программы является тестирование ИТ-инфраструктуры организации на возможность реализации недопустимого события.
В рамках подготовки к запуску bug bounty существует ряд контрольных точек, прохождение которых существенно упростит создание и использование программы.
Формирование цели
Формат APT bug bounty в качестве цели предполагает реализацию одного или нескольких недопустимых событий, определенных в организации. Информационным активом в данном случае является вся ИТ-инфраструктура заказчика, так как злоумышленник может проводить атаки на все доступные ресурсы, а именно:
- внешний сетевой периметр;
- корпоративные беспроводные сети;
- доступные для подключения Ethernet-розетки.
Кроме того, злоумышленники (и, соответственно, потенциальные исследователи) могут использовать методы социальной инженерии (например, фишинг) — такие атаки могут быть направлены на всех сотрудников организации.
Границы работ и критерии реализации недопустимого события
Важный шаг в процессе формирования программы — это определение границ исследования, которые потенциальный исследователь обязан будет соблюдать, и критериев реализации недопустимых событий для достоверной проверки.
Формирование бюджета
Необходимо определить бюджет на проведение программы, а также определиться, в каком формате будут совершаться выплаты: будут ли это прямые выплаты исследователю за каждое реализованное недопустимое событие или выплаты из фонда, который резервируется под соответствующие цели.
Следует помнить, что за реализацию недопустимого события исследователям следует выплачивать повышенное вознаграждение (1–5% от возможного ущерба при реализации недопустимого события) в сравнении с вознаграждением за нахождение критически опасных уязвимостей, так как проверенная на практике возможность его реализации однозначно подтверждает угрозу для выполнения операционных и стратегических целей организации.
Самостоятельная публикация либо использование платформы
На следующем этапе необходимо выбрать формат публикации программы — опубликовать ее самостоятельно или воспользоваться услугами специализированной платформы.
Самостоятельная публикация используется не так часто и обладает своими преимуществами и недостатками:
- преимущества:
- экономия денежных средств благодаря отсутствию сервисных сборов, выплачиваемых платформам;
- полный контроль над процессом;
- недостатки:
- затраты ресурсов внутренних подразделений на выстраивание и поддержание всей программы и сопутствующих процессов;
- много времени затрачивается на поиск и привлечение исследователей;
- формирование подробных отчетов о функционировании программы (сбор и публикация различной статистики, информации о поступивших отчетах, выплатах) может стать проблемой для организаций, не имеющих подобного опыта;
- если организация не очень широко известна, это может затруднить привлечение исследователей с требуемыми навыками и опытом.
Размещение программ bug bounty на специализированных площадках активно набирает популярность. Существуют различные зарубежные и российские платформы bug bounty (BI.ZONE Bug Bounty, HackerOne, Standoff365).
Платформы bug bounty — это электронные площадки, созданные для организации поиска уязвимостей и анализа защищенности сообществом исследователей безопасности. Специалисты платформ предоставляют необходимую инфраструктуру, оказывают поддержку и дают экспертные рекомендации
При выборе этого формата следует учесть:
- преимущества платформы:
- выступает как агрегатор программ от различных организаций, благодаря чему исследователи могут продемонстрировать разнообразие применяемых подходов навыков;
- берет на себя вопросы оформления и сопровождения исследователей;
- разгружает внутренние подразделения заказчика, позволяя службе информационной безопасности сосредоточиться непосредственно на уязвимостях и недопустимых событиях;
- верифицирует результаты исследования и проверяет отчеты;
- предоставляет помощь и экспертную поддержку организации, разместившей программу;
- недостатки:
- сервисные сборы (единоразовая выплата, подписка, комиссии).
Внутренние процессы
Внутри любой организации должен быть сформирован перечень подразделений или ответственных лиц, которые будут отвечать:
- за взаимодействие с исследователями, включая:
- их поиск и привлечение;
- юридическое оформление;
- коммуникацию в рамках программы;
- верификацию отчетов с векторами атак, описывающими реализацию недопустимых событий.
- взаимодействие с платформой, если принято решение работать через нее:
- выбор платформы;
- публикация программы;
- коммуникация с платформой.
- выплату вознаграждения, либо предоставление иного поощрения, принятого в рамках программы.
Как правило, подобные роли и задачи должны быть зафиксированы во внутренней нормативной документации.
Краткий чек-лист подготовки к APT bug bounty
- Определить одно или несколько недопустимых событий, которые подлежат верификации.
- Определить границы работ и критерии реализации недопустимых событий.
- Сформировать бюджет и определить модель выплат потенциальным исследователям.
- Выбрать формат публикации программы: самостоятельно либо с использованием платформы.
- Определить ответственных за программу, область их задач и процесс их взаимодействия между собой.