СОИБ. Анализ. Платформы для Bug Bounty

Каждая приличная западная ИТ-компания или вендор (Google, Microsoft, Twitter, Tesla, Github, Blogger, Drupal, eBay, Facebook, Instagram и многие другие) обязательно проводит программы выплаты вознаграждений за найденные уязвимости – Bug Bounty, в дополнение к внутреннему и внешнему аудиту ИБ. Это позволяет максимально уменьшить риски для их клиентов.  

Последнее время программы Bug Bounty запускают также многие российские компании такие, как  Вконтакте, Yandex, Mail.ru, QIWI, Telegram, Anistar.ru, Ok.ru, Крайинвестбанк, Рокетбанк и т.п.

Когда принимается решение о запуске программы выплаты вознаграждений за найденные уязвимости, компании необходимо определится будут ли они самостоятельно проводить организовывать программу или использовать готовую специализированную под Bug Bounty площадку.  

При проведении открытого конкурса своими силами, на компания должна быть готова взять на себя дополнительные организационные мероприятия:

·         разработать программу вознаграждения

·         разработать программу ответственного разглашения

·         привлечь исследователей ИБ

·         организовать взаимодействие с исследователями ИБ

·         отфильтровывать спам отчеты, некорректные отчеты, неправильно оформленные отчеты, дублирующийся отчеты об уязвимостях

·         юридически оформлять выплаты

·         готовить сводные отчеты для руководства об эффективности программы

Если используется готовая площадка Bug Bounty, то она берет эти мероприятия на себя за небольшой процент.  Есть достаточно большое количество англоязычных площадок – самые популярные hackerone.com и bugcrowd.com и единственная Российская http://bughunt.ru/

Преимущества западных площадок, таких как hackerone.com: большое количество зарегистрированных исследователей (более 1600), публичная история участия исследователей, удобные для исследователей программы разглашения, удобная система онлайн взаимодействия площадки, спецов заказчика и исследователей.

Преимущества Российской площадки bughunt.ru: только русскоязычные исследователи и отчеты об уязвимостях (как следствие легче обрабатывать отчеты и устранять уязвимости), возможность более детальной проверки участников и проведение программ с ограниченным доступом по усмотрению заказчика, независимость от санкций и западных экспортных ограничений, инвестиции в развитие русскоязычного сообщества ИБ специалистов, более простое оформление договора об оплате вознаграждений, возможность получения сводного отчета от лицензиата ФСТЭК, ФСБ по результатам программы Bug Bounty.

Призываю всех владельцев серьёзных ИТ продуктов, ИС и онлайн сервисов планировать и запускать правильные программы поиска уязвимостей. Но не забывать при этом и про другие варианты тестирования защищённости и поиска ошибок.

Другие публикации в блогах на тему Bug Bounty:

·         У Алексея Лукацкого про финансовую эффективность bug bounty

·         УАртема Агеева несколько заметок

·         У Сергея Гордейчика про bug bounty для правительства

·         У Ирины Черновой по итогам security meetup натему bug bounty