Специальность – поиск уязвимостей

Каковы перспективы российских платформ Bug Bounty

Боксеры говорят: «ринг покажет», а исследователи кибербезопасности проверяют надежность систем на площадках по поиску уязвимостей. По заверениям экспертов, Telegram и Apple могут выложить багхантерам до 200 тыс. долларов, а некоторые криптобиржи – до миллиона долларов. Сколько в среднем платят белому хакеру в России, каковы перспективы отечественной национальной платформы Bug Bounty и как оценить бюджет этой программы для компании – в материале RSpectr.

МЕСТО ВСТРЕЧИ

На прошедшем в Москве форуме Positive Hack Days компания Positive Technologies представила собственную платформу Bug Bounty – The Standoff 365. Ее концепция заключается в привлечении независимых исследователей безопасности и в использовании их навыков «во благо бизнеса», отметил на презентации руководитель проекта Ярослав Бабин.

Ярослав Бабин, The Standoff 365 Bug Bounty:

– Хакеров на новой площадке будут направлять на поиск недопустимых событий, а не просто отдельных ошибок. Им нужно будет искать не просто критичную уязвимость, а довести ее до цепочки, которая может привести к неприемлемым для бизнеса последствиям.

По оценке Positive Technologies,

в настоящее время на российском рынке работают около двух тысяч опытных белых хакеров высокой квалификации

Сейчас на платформе зарегистрировались 366 специалистов, а до конца года их число может возрасти до тысячи человек, добавил Я.Бабин. По его словам, сейчас в России этичный взломщик получает в среднем:

• 393 тысячи рублей за выявленные критичную уязвимость;
• 116 тысяч рублей за ошибку среднего уровня;
• 34 тысячи рублей – низкого уровня.

The Standoff 365 Bug Bounty рассчитана на внутренний рынок РФ и выплаты будут происходить на рублевые счета.

Создатели платформы The Standoff 365 ожидают, что в нынешнем году свои программы Bug Bounty на ней запустят 10–20 организаций, а к 2025 году их число возрастет до сотни.

Компании смогут устанавливать на платформе свои условия: формат исследований, суммы вознаграждений и права доступа. Positive Technologies также разместила собственную программу Bug Bounty на новой площадке. Она намерена выплачивать исследователям от 20 тыс. до 393 тыс. рублей.

ПРОВЕРКА НА ЗРЕЛОСТЬ

Участие в программе Bug Bounty укрепляет престиж компании, показывает ее уверенность в собственных продуктах, отметил Я.Бабин на конференции «Bug Bounty: как белым хакерам заработать в России на поиске уязвимостей». Подобный подход борьбы с программными ошибками подходит крупным организациям со зрелыми процессами информационной безопасности и выстроенными внутренними регламентами, отметил на конференции технический директор компании «Синклит» Лука Сафонов.

Лука Сафонов, «Синклит»:

– До использования Bug Bounty нужно дорасти, ведь подобный метод – это не просто аудит безопасности, а своего рода признак зрелости инфраструктурных систем.

Я.Бабин отметил, что существуют публичные и непубличные программы, помогающие свести специалистов по поиску уязвимостей и заказчиков.

Ярослав Бабин, The Standoff 365 Bug Bounty:

– Суть первых в том, что на них может зайти любой желающий. Нужно понимать, что не все исследователи обладают высоким профессионализмом. По большей части это новички, которые научились включать сканеры безопасности, которые выдают огромные отчеты.

Одновременно есть закрытые платформы, куда вендор может добавить хакеров с репутацией на рынке в надежде, что они быстро найдут большинство «дыр» в системе.

Bug bounty – это хороший инструмент для проверки новых разработок, считает руководитель отдела безопасности программного обеспечения в «Лаборатории Касперского» Дмитрий Шмойлов.

Дмитрий Шмойлов «Лаборатория Касперского»:

– Очень помогает механизм краудсорсинга, когда множество свежих глаз оценят выстроенные системы. Для проверки на устойчивость своих продуктов «Лаборатория Касперского» начинает с приватной программы Bug Bounty. Только после этого новинки могут быть переданы в более массовое сообщество исследователей.

Но по мнению Л.Сафонова,

современная культура белого хакинга в РФ еще не сложилась, взаимоотношения «багхантер-компания» зачастую скатываются в банальное вымогательство со стороны отдельных персонажей

С ним соглашается руководитель программы Bug Bounty в холдинге VK Алексей Гришин. По его словам, необходимо создать условия, при которых эти же хакеры будут охотно сотрудничать с бизнесом и находить не единичные случаи, а целые потоки ошибок.

КТО, ЧТО И СКОЛЬКО

По словам Я.Бабина, очень часто багхантерами становятся молодые люди в возрасте примерно 20-25 лет, специализирующиеся на пентестах (penetration test – моделирование кибератаки для оценки кибербезопасности – прим. RSpectr).

Ярослав Бабин, The Standoff 365 Bug Bounty:

– Вечерами они работают на платформах Bug Bounty и отлично зарабатывают, решают интересные задачи и круто прокачивают свои навыки, ведь участвуя там можно ломать в свое удовольствие все, что хочешь.

Но основную долю исследователей составляют зрелые люди с техническим образованием и многопрофильным опытом работы, подчеркивает Л.Сафонов.

Лука Сафонов, «Синклит»:

– Как правило, они когда-то своими руками писали коды, «пощупали» инфраструктуру и сейчас уже по строению архитектуры могут определить, где будут искать ошибки.

По результатам пентестов заказчики получают отчет, в котором указано, найдены или нет какие-то уязвимости. При этом оплатить такой аудит нужно в любом случае.

Если используется программа Bug Bounty, то вознаграждение полагается только в случае положительного результата

Такой подход не может не нравится бизнесу, отметил директор по информационной безопасности Delivery Club Илья Сафронов.

Уровень гонораров за услуги багхантеров сравнительно высок: во входящей в группу VK компании Delivery Club готовы платить до 70 тыс. долларов за найденные баги. Л.Сафонов рассказал, что в его профессиональной деятельности встречались «двухминутные уязвимости», за которые платили по 800 долларов. «При этом могут встречаться дубли, когда несколько человек могут обнаружить одну ошибку. В этом случае приз получает первый, кто о ней объявит», – отметил он.

В целом размер призовых очень сильно зависит от того, где именно найдены слабые места и степени их критичности, подчеркивают эксперты. При этом существуют социально значимые проекты, такие как «Бессмертный полк», за чистку которых деньги не выплачиваются, но начисляются баллы репутации.

По словам А.Гришина,

аудит с применением Bug Bounty проводится человеческими руками, а не сканером. Только так можно найти конкретные места, в которых вас пытаются сломать

Представитель VK поделился формулой, с помощью которой можно заложить в бюджет средства для борьбы с уязвимостями.

Алексей Гришин, VK:

– Спросите у руководства сколько, по его мнению, стоит одна угроза RCE (remote code execution – способ взлома сайтов и веб-приложений в сервисе – прим. RSpectr), умножайте на четыре и получите бюджет на год.

Эксперты подчеркивают, что

сервисы Bug Bounty – это отличный механизм для того, чтобы избежать криминализации молодых программистов

«Таким образом у молодежи будет канал, где они могут тренироваться без нарушения законодательства и легально получить деньги, без поисков заработка в даркнете», – отметил Л. Сафонов.

В апреле Минцифры заявило о намерении создать до конца года национальную платформу Bug Bounty. Однако по мнению Л.Сафонова, вряд ли багхантеры захотят получать тюремный срок вместо вознаграждения. Я.Бабин считает, что свою аудиторию среди белых хакеров министерство может найти.

Изображение: RSpectr, Adobe Stock