Методология

Расчет размера вознаграждения в рамках программы bug bounty

Ядро методологии
akravchenko.jpgАлександр Кравченко

Любая программа bug bounty предполагает выплату исследователям финансового вознаграждения либо иное поощрение. Расчет величины вознаграждения должен выполняться экспертами службы информационной безопасности, обладающими компетенциями, которые позволяют найти правильный баланс между опасностью уязвимости и размером вознаграждения за нее.

Заказчику стоит определить свои финансовые возможности и ресурсы, которые он готов выделить на программу bug bounty. Бюджет обязательно должен включать:

  • оплату сервисных сборов, которые взымает платформа, или иные накладные расходы на публикацию программы;
  • выплату комиссии с оплаты исследователям за найденные уязвимости (если платформа взымает такую комиссию);
  • непосредственно сумму выплат за найденные уязвимости;
  • накладные расходы на денежные переводы исследователям в соответствии с законодательством РФ.

Далее необходимо ввести шкалу или таблицу, отображающую уровень опасности уязвимости (например, критически опасный, высокий, средний, низкий). Для каждого уровня, как правило, устанавливается финансовый диапазон, в рамках которого эксперты определяют размер вознаграждения. Ценовая политика может быть установлена в зависимости от опасности той или иной уязвимости для бизнеса, например исходя из оценки уязвимости по методике CVSS 3.1.

Размер вознаграждения может и должен повышаться с учетом следующих факторов:

  • Специфика отрасли (организации): например, использование большого количества веб-приложений, принадлежность к критической информационной инфраструктуре, распределенная офисная сеть;
  • Помощь исследователя в устранении уязвимости (если исследователь оказывает содействие по устранению уязвимости или делится дополнительной информацией и опытом);
  • Полнота и подробность отчета по найденным уязвимостям: чем подробнее будет составлен отчет по итогу исследования, тем выше его значимость для заказчика;
  • Найдена одна, несколько или целая цепочка уязвимостей: например, исследователь может выявить цепочку уязвимостей, эксплуатация которых может привести к значительному ущербу.

Основываясь на этих факторах, следует разработать дополнительную шкалу для каждого типа уязвимости, в соответствии с которой будет повышен размер вознаграждения.

Расчет вознаграждения за реализацию недопустимых событий производится по другому принципу. В случае реализации недопустимого события на основе сформированного вектора атаки вознаграждение должно быть существенно выше, чем за выявление уязвимостей (1–5% от ущерба в случае реализации недопустимого события), так как ущерб от события такого уровня подрывает операционную деятельность компании. В этом случае отчет исследователя должен содержать подробное описание вектора атаки, эксплуатируемых уязвимостей, недостатков конфигурации оборудования и ПО заказчика. Каждые полгода следует пересматривать сумму вознаграждения в сторону увеличения, для поддержания мотивации и привлечения дополнительного количества исследователей.

Стоит учитывать, что размер вознаграждения по программе bug bounty должен соответствовать текущим средним значениям по рынку, на который вы ориентируетесь. Если предложение организации ниже среднего значения, то вероятность привлечь качественных исследователей будет существенно меньше. С данными о средней сумме вознаграждения за 2020–2021 год можно ознакомиться в исследовании, проведенном компанией Positive Technologies.