Bug bounty для бизнеса: как сделать программу максимально эффективной
Мы расскажем об одном из таких инструментов — bug bounty, или программах поиска уязвимостей за вознаграждение. Они позволяют оценить защищенность IT‑ресурсов с привлечением независимых экспертов: только за 2021 год багхантеры нашли более 70 тысяч валидных уязвимостей.
Почему компаниям стоит присмотреться к bug bounty, как создать свою программу и извлечь из нее максимум пользы — в нашей статье.
Вот несколько преимуществ bug bounty, которые могут сделать бизнес устойчивее.
Оперативное обнаружение проблем. С bug bounty анализ защищенности ведется постоянно, а не раз в полгода‑год, как это происходит при проектах по классическому пентесту. Это значит, компания сможет сразу узнавать о проблемах и устранять их.
Разнообразие независимых исследователей. Платформы bug bounty развивают комьюнити белых хакеров. Для компаний это — возможность привлекать багхантеров с разными подходами, а не ограничиваться проектной командой.
Снижение затрат на кибербезопасность. В рамках bug bounty компания платит не за факт проверки защищенности IT‑активов, как при пентесте, а за конкретную обнаруженную уязвимость. В долгосрочной перспективе это дает качественный результат при меньших затратах.
Улучшение репутации. Вовлеченность клиентов, а значит, и развитие бизнеса тесно связаны со скоростью обновления приложений. Если своевременно не исправить уязвимость, выкатив патч, пользователь и даже злоумышленник могут обнаружить ее раньше самой компании, что негативно отразится на репутации. Участие в программах bug bounty само по себе способствует формированию имиджа компании, заботящейся о продуктах, процессах и пользователях. Особенно актуально это для B2C‑сегмента, где аудитория активно взаимодействует с компанией через формы обратной связи, онлайн‑витрины.
На рынке существует два типа программ bug bounty: приватные и публичные.
Приватные. В этом случае компании контролируют уровень компетентности и количество приглашенных экспертов: состав участников определяется по заданным критериям. Тем, кто впервые запускает bug bounty, имеет смысл начать именно с этого типа программ, поскольку они позволяют постепенно выстроить процесс работы с найденными уязвимостями и шаг за шагом улучшать его.
Приватные программы не могут полностью заменить пентест, но хорошо дополняют его независимой оценкой.
Публичные. Принять участие в такой программе может любой независимый исследователь. Она рассчитана на широкую аудиторию: опытные багхантеры соревнуются за обнаружение самой дорогой уязвимости, а новички — прокачивают скилы.
Публичные программы особенно хороши для компаний с большой IT‑инфраструктурой. Если у вас давно действует приватная программа с максимально возможными размерами выплат и вы перестали получать отчеты — это один из сигналов, что вам можно запускать публичную программу.
Нюансов, которые надо предусмотреть, много. Среди них и особенности коммуникации с исследователями, и параметры раскрытия информации о подтвержденных уязвимостях. Но на практике все не так страшно — к тому же упростить задачу помогают специальные платформы bug bounty.
Интересы независимых исследователей. Хакеры участвуют в программах bug bounty по разным причинам: заработок, получение опыта и повышение статуса в рейтингах. Учитывать эти цели необходимо, чтобы привлекать исследователей. Например, если в вашей программе не регистрируются или вы получаете мало отчетов, попробуйте пересмотреть условия. Возможно, вознаграждение за уязвимости слишком низкое, а границы исследования — узкие, что сокращает перспективы дополнительного заработка.
Чтобы разработать программу, которая будет одновременно привлекательна для багхантеров и полезна для бизнеса, можно использовать платформу bug bounty от профильных организаций. Она подскажет, чего не хватает и как скорректировать условия.
Формирование имиджа в комьюнити независимых исследователей. При разработке программы bug bounty нужно проработать условия программы, грамотно выстроить процессы обработки информации и исправления уязвимостей. Компания может за короткий срок получить огромное количество отчетов багхантеров, которые не успеет оперативно верифицировать. Это негативно скажется на отношении независимых исследователей к бренду.
Чтобы избежать ключевых ошибок при запуске первой программы bug bounty, можно привлечь внешних экспертов к ее оформлению. В этом случае компания очерчивает бизнес‑цели и бюджет программы, а эксперты формируют оптимальные условия: предлагают шкалу вознаграждений и выставляют границы исследования.
Скорость обратной связи. Багхантеры часто заинтересованы в том, чтобы рассказать о своих находках как можно быстрее, поскольку это повышает их экспертность внутри комьюнити. Со стороны компании решение о публикации принимают специалисты не только отдела безопасности, но и PR‑службы, поэтому обратная связь может затянуться.
Чтобы избежать негатива, стоит в каждой конкретной программе обговаривать срок, который должен пройти после устранения уязвимости, прежде чем багхантер сможет рассказать о ней в публичном пространстве.
Взаимодействие с независимыми исследователями. Большое значение имеет выстраивание коммуникации с багхантером. Например, если обнаруженная уязвимость оказалась дубликатом или в компании было известно о ней раньше, важно иметь возможность доказать этот факт. Обычно для этого исследователя добавляют в отчет, который ранее прислал другой багхантер. Если компания непрозрачна в своем взаимодействии с независимым исследователем, есть риск, что в дальнейшем ее репутация и привлекательность программ в комьюнити багхантеров будет невысокой.
Упростить коммуникацию с багхантерами помогают платформы bug bounty — они выступают гарантом и посредником между независимыми исследователями и компаниями, а также делают прозрачным оформление вознаграждения за уязвимости. Это позволяет IT‑специалистам компании сосредоточиться на устранении багов.
На мировом рынке программы bug bounty используются давно и уже успели доказать свою эффективность. Для российских компаний, в том числе тех, которые не могли пользоваться зарубежными платформами вроде HackerOne и Bugcrowd, сейчас появляются альтернативные отечественные площадки. Привлечь экспертов к разработке программы можно, оставив заявку на платформе BI.ZONE Bug Bounty. Специалисты BI.ZONE ответят на вопросы и помогут подготовить оптимальные условия, чтобы ваша bug bounty была интересна исследователям и выгодна вам.