На PHDays 19 мая была представлена платформа The Standoff 365 Bug Bounty, которая объединит компании и исследователей безопасности для поиска уязвимостей и оценки защищенности организаций. За первые два дня на платформе зарегистрировались 366 белых хакеров. Первыми на ней разместили свои программы «Азбука вкуса» и Positive Technologies. Спустя всего 20 минут после запуска был получен первый отчет об уязвимости.
Запуск публичных программ bug bounty, которые позволяют на практике испытать надежность любой системы силами большого числа исследователей безопасности с разным опытом и умениями, стало логичным ответом на резкий рост киберугроз. Платформа позволит компаниям со зрелыми процессами информационной безопасности достоверно и объективно оценить защищенность бизнеса. Впервые исследователи безопасности смогут получать награду не только за найденные недопустимые для бизнеса события, но и за их реализацию.
Ярослав Бабин
CPO The Standoff 365.
В целом программы bug bounty представляют собой набор условий — правил, политик, цен и границ поиска, в соответствии с которыми белые хакеры получают от организаций вознаграждение за уязвимости, найденные в их IT-сетях, системах и приложениях. Компании объявляют bug bounty, чтобы независимо и достоверно оценить свою защищенность и своевременно устранить проблемы в сфере безопасности, пока злоумышленники ими не воспользовались.
Платформа же bug bounty — это агрегатор, объединяющий на своей площадке сотни программ от различных организаций и исследователей безопасности, поэтому компаниям не нужно привлекать исследователей, а исследователи сразу видят, какие организации проводят bug bounty и сколько платят за найденные уязвимости. При размещении на платформе компании соглашаются на то, чтобы их «ломали», а тысячи сильнейших белых хакеров со всего мира, заинтересованных в решении интересных задач, публичном признании и получении награды, обеспечивают эффективный поиск уязвимых мест, независимость и достоверность исследований. Платформа позволяет им вносить свой вклад в безопасность и честно зарабатывать.
В мире много платформ, однако все их программы направлены на поиск уязвимости в приложениях или сервисах, специалисты находят много уязвимостей низкой значимости, а компании не всегда их устраняют. The Standoff 365, помимо традиционного формата поиска уязвимостей, впервые предложит новый механизм вознаграждения для выхода из этой ситуации.
«Главное отличие нашей платформы — возможность создания программ по принципу результативной кибербезопасности, когда белые хакеры не просто ищут отдельные уязвимости в системе, а реализуют недопустимые для нее сценарии. Мы предложим компаниям самим определить риски, реализация которых может привести к неприемлемым последствиям, и платить белым хакерам за отчет с последовательностью ведущих к ним действий. Исследователь должен не только найти уязвимость, но и проэксплуатировать ее, повысить привилегии в системе, предпринять другие шаги, в результате которых, например, можно получить данные пользователей. Такой подход имеет ряд преимуществ как для исследователей, поскольку суммы вознаграждений будут выше, так и для компаний, которые будут платить только за то, что хакеру удалось реализовать», — говорит Ярослав Бабин.
На платформе The Standoff 365 компании смогут устанавливать свои правила bug bounty: сроки, границы исследований, форматы отчетов, суммы вознаграждений и права доступа. Программы могут длиться 3, 6 и 12 месяцев, до исчерпания бюджета проекта и даже непрерывно в течение нескольких лет. Отчеты об уязвимостях можно получать напрямую от исследователей или после их верификации специалистами Positive Technologies. Этичные хакеры заранее смогут выбрать, где искать уязвимость или сценарий реализации недопустимого события, — компании предварительно оценивают их и публикуют расценки на платформе. В перспективе компании смогут сделать программу публичной для всех или дать к ней доступ только определенным группам таких хакеров, например тем, кто ранее выявил уязвимости в приложениях и системах конкретной организации.
Впервые запуская программу bug bounty, компания сталкивается с рядом вопросов, например: как сформировать правила, сколько платить участникам и как привлечь их искать уязвимости именно в ваших приложениях и сервисах? Платформа The Standoff 365 поможет их решить.
«За 11 лет существования форума PHDays и шесть лет организации кибербитвы The Standoff было сформировано комьюнити исследователей кибербезопасности. Многие из этих сильнейших специалистов в практической оценке защищенности приложений, систем и инфраструктур станут участниками новой платформы bug bounty», — добавил Ярослав Бабин.
К концу 2022 года создатели рассчитывают привлечь 500–1000 исследователей. То есть компании не нужно искать способы рассказать о себе белым хакерам — достаточно разместить программу на The Standoff 365.
В презентации платформы принял участие Руслан Верхоланцев, руководитель отдела по информационной безопасности «Азбуки вкуса». Фуд-ретейлер запустил программу bug bounty еще в 2020 году, став первой в сегменте компанией с собственной публичной программой вознаграждений за найденные уязвимости.
«Первый отчет мы получили всего через час после запуска, а подтвержденную уязвимость — спустя три часа. Эффективность повысилась, когда мы перешли на специализированную площадку, так как еще больше исследователей узнали о нашей программе. От The Standoff 365 Bug Bounty мы ожидаем активного участия багхантеров и качественных отчетов. Вместе с Positive Technologies мы хотим повысить интерес к программам bug bounty, улучшить свои сервисы, дать исследователям возможность честно работать и получать вознаграждение за свои старания. Мы призываем соблюдать этику сообщества и ответственно относиться ко всем действиям в рамках программы», — рассказал Руслан Верхоланцев.
«Азбука вкуса» планирует проверять сервисы, которые находятся в общем доступе на доменах av.ru, azbukavkusa.ru и их субдоменах, а также сервисы, расположенные на внешних сетевых адресах компании. Исследователей ждут как веб-приложения, так и мобильное приложение.
Компания Positive Technologies, которая уже проводила открытые киберучения на своей инфраструктуре, также разместила собственную программу bug bounty на новой платформе.
Алексей Новиков
Директор экспертного центра безопасности Positive Technologies
Мы проводим публичные киберучения, запускаем bug bounty — все это с одной целью: сделать недопустимые для нас события невозможными, получить объективную и достоверную оценку защищенности компании.
Компания планирует проверить безопасность корпоративных сайтов ptsecurity.com и partners.ptsecurity.com. За найденные уязвимости Positive Technologies будет платить исследователям безопасности от 20 тыс. до 393 тыс. руб.
По прогнозам создателей новой платформы, уже в 2022 году свои программы bug bounty на ней запустят 10–20 организаций, к 2025 году их число может достичь 100 и даже больше. Positive Technologies создает международную платформу и уникальные возможности для рынка, которые будут интересны как российским, так и зарубежным компаниям.