Bug bounty для бизнеса: как сделать программу максимально эффективной
Мы расскажем об одном из таких инструментов — bug bounty, или программах поиска уязвимостей за вознаграждение. Они позволяют оценить защищенность IT‑ресурсов с привлечением независимых экспертов: только за 2021 год багхантеры нашли более 70 тысяч валидных уязвимостей.
Почему компаниям стоит присмотреться к bug bounty, как создать свою программу и извлечь из нее максимум пользы — в нашей статье.
Вот несколько преимуществ bug bounty, которые могут сделать бизнес устойчивее.
Оперативное обнаружение проблем. С bug bounty анализ защищенности ведется постоянно, а не раз в полгода‑год, как это происходит при проектах по классическому пентесту. Это значит, компания сможет сразу узнавать о проблемах и устранять их.
Разнообразие независимых исследователей. Платформы bug bounty развивают комьюнити белых хакеров. Для компаний это — возможность привлекать багхантеров с разными подходами, а не ограничиваться проектной командой.
Снижение затрат на кибербезопасность. В рамках bug bounty компания платит не за факт проверки защищенности IT‑активов, как при пентесте, а за конкретную обнаруженную уязвимость. В долгосрочной перспективе это дает качественный результат при меньших затратах.
Улучшение репутации. Вовлеченность клиентов, а значит, и развитие бизнеса тесно связаны со скоростью обновления приложений. Если своевременно не исправить уязвимость, выкатив патч, пользователь и даже злоумышленник могут обнаружить ее раньше самой компании, что негативно отразится на репутации. Участие в программах bug bounty само по себе способствует формированию имиджа компании, заботящейся о продуктах, процессах и пользователях. Особенно актуально это для B2C‑сегмента, где аудитория активно взаимодействует с компанией через формы обратной связи, онлайн‑витрины.
На рынке существует два типа программ bug bounty: приватные и публичные.
Приватные. В этом случае компании контролируют уровень компетентности и количество приглашенных экспертов: состав участников определяется по заданным критериям. Тем, кто впервые запускает bug bounty, имеет смысл начать именно с этого типа программ, поскольку они позволяют постепенно выстроить процесс работы с найденными уязвимостями и шаг за шагом улучшать его.
Приватные программы не могут полностью заменить пентест, но хорошо дополняют его независимой оценкой.
Публичные. Принять участие в такой программе может любой независимый исследователь. Она рассчитана на широкую аудиторию: опытные багхантеры соревнуются за обнаружение самой дорогой уязвимости, а новички — прокачивают скилы.
Публичные программы особенно хороши для компаний с большой IT‑инфраструктурой. Если у вас давно действует приватная программа с максимально возможными размерами выплат и вы перестали получать отчеты — это один из сигналов, что вам можно запускать публичную программу.
Нюансов, которые надо предусмотреть, много. Среди них и особенности коммуникации с исследователями, и параметры раскрытия информации о подтвержденных уязвимостях. Но на практике все не так страшно — к тому же упростить задачу помогают специальные платформы bug bounty.
Интересы независимых исследователей. Хакеры участвуют в программах bug bounty по разным причинам: заработок, получение опыта и повышение статуса в рейтингах. Учитывать эти цели необходимо, чтобы привлекать исследователей. Например, если в вашей программе не регистрируются или вы получаете мало отчетов, попробуйте пересмотреть условия. Возможно, вознаграждение за уязвимости слишком низкое, а границы исследования — узкие, что сокращает перспективы дополнительного заработка.
Чтобы разработать программу, которая будет одновременно привлекательна для багхантеров и полезна для бизнеса, можно использовать платформу bug bounty от профильных организаций. Она подскажет, чего не хватает и как скорректировать условия.
Формирование имиджа в комьюнити независимых исследователей. При разработке программы bug bounty нужно проработать условия программы, грамотно выстроить процессы обработки информации и исправления уязвимостей. Компания может за короткий срок получить огромное количество отчетов багхантеров, которые не успеет оперативно верифицировать. Это негативно скажется на отношении независимых исследователей к бренду.
Чтобы избежать ключевых ошибок при запуске первой программы bug bounty, можно привлечь внешних экспертов к ее оформлению. В этом случае компания очерчивает бизнес‑цели и бюджет программы, а эксперты формируют оптимальные условия: предлагают шкалу вознаграждений и выставляют границы исследования.
Скорость обратной связи. Багхантеры часто заинтересованы в том, чтобы рассказать о своих находках как можно быстрее, поскольку это повышает их экспертность внутри комьюнити. Со стороны компании решение о публикации принимают специалисты не только отдела безопасности, но и PR‑службы, поэтому обратная связь может затянуться.
Чтобы избежать негатива, стоит в каждой конкретной программе обговаривать срок, который должен пройти после устранения уязвимости, прежде чем багхантер сможет рассказать о ней в публичном пространстве.
Взаимодействие с независимыми исследователями. Большое значение имеет выстраивание коммуникации с багхантером. Например, если обнаруженная уязвимость оказалась дубликатом или в компании было известно о ней раньше, важно иметь возможность доказать этот факт. Обычно для этого исследователя добавляют в отчет, который ранее прислал другой багхантер. Если компания непрозрачна в своем взаимодействии с независимым исследователем, есть риск, что в дальнейшем ее репутация и привлекательность программ в комьюнити багхантеров будет невысокой.
Упростить коммуникацию с багхантерами помогают платформы bug bounty — они выступают гарантом и посредником между независимыми исследователями и компаниями, а также делают прозрачным оформление вознаграждения за уязвимости. Это позволяет IT‑специалистам компании сосредоточиться на устранении багов.
На мировом рынке программы bug bounty используются давно и уже успели доказать свою эффективность. Для российских компаний, в том числе тех, которые не могли пользоваться зарубежными платформами вроде HackerOne и Bugcrowd, сейчас появляются альтернативные отечественные площадки. Привлечь экспертов к разработке программы можно, оставив заявку на платформе BI.ZONE Bug Bounty. Специалисты BI.ZONE ответят на вопросы и помогут подготовить оптимальные условия, чтобы ваша bug bounty была интересна исследователям и выгодна вам.
Мы встречали случаи, когда под багом понималась любая ошибка на сайте: неработающая кнопка или неправильно поставленная запятая. Но в рамках багбаунти речь идет только об уязвимостях с точки зрения кибербезопасности. Например, это ошибки, приводящие к удаленному выполнению кода на узлах API. Где такие искать и какими еще они могут быть, подробно описано в каждой из программ, представленных в свободном доступе на платформе.
Здорово, что получилось найти уязвимости, которые влияют на кибербезопасность компании! Но напоминаем: приносить баги в ресурсах вне скоупа — это риск. Компания может не платить за такие отчеты, так как не закладывала это в бюджет. А ваше время уже потрачено.
В конфликтных ситуациях лучше приводить аргументы, а не давить на эмоции. Можно предложить пересмотреть размер награды. В любом случае не бойтесь обратиться в нашу поддержку к специалистам с независимой экспертизой в сфере ИБ. Мы поможем разобраться, ведь одна из целей площадки BI.ZONE Bug Bounty — построить максимально выгодное для всех взаимодействие. Для этого мы и выступаем арбитром в непростых ситуациях.
Мы часто получаем этот вопрос от исследователей. Если багхантер действует так, как оговорено в программе, то все легально. А вот взлом инфраструктуры компании с использованием DDoS-атак или методов социальной инженерии запрещен в подавляющем большинстве случаев, это зафиксировано в условиях.
Наши разработчики постарались продумать все инструменты, необходимые для формирования отчета мечты. Используйте маркдаун-разметку, чтобы описывать найденные уязвимости понятно и красиво. А еще в вашем распоряжении готовые шаблоны, которые сэкономят время. Обязательно вместе с репортом отправьте все подтверждения работы: скриншот, видеозапись PoC, скрипт или файл бурпа, который поможет компании проверить наличие уязвимости. Они покажут, что вы действительно проэксплуатировали уязвимость, причем сделали это как белый хакер. Чем больше таких доказательств, тем больше вероятность заработать вознаграждение. За теоретическую возможность эксплуатации вендор не платит, увы.
Нет. На выбор предлагаем три налоговых статуса. Можешь заключить с нами договор гражданско‑правового характера как физическое лицо. Но выгоднее быть самозанятым или ИП.
ИП проходят государственную регистрацию, выбирают систему налогообложения и платят страховые взносы.
Самозанятость проще. Она подходит тем, у кого уже есть основная работа, а багхантинг занимает свободное от нее время. Тут есть существенные плюсы:
- Простое и быстрое оформление при помощи платежного провайдера «Консоль» займет всего 10 минут. Подробное описание процесса — в блоге платформы.
- Для получения выплат подойдет обычный счет в банке — специальный расчетный счет не нужен.
- Процесс уплаты налога автоматизирован благодаря интеграции с «Консолью».
Если изначально вы зарегистрировались в «Консоли» как физическое лицо, а позже решили получать вознаграждение в другом статусе, не нужно удалять аккаунт или учетную запись. Дополнительное заявление на смену налогового статуса тоже писать не нужно. А вот обратиться в поддержку стоит. Опишите ситуацию, укажите Ф. И. О., отправьте письмо на почту bb@bi.zone или сообщение в Telegram @BizoneBugBountySupport. Мы поможем.
В целом на нашей площадке процесс получения вознаграждения за баг выглядит так:
- Вы находите баг и через платформу отправляете компании репорт.
- Компания подтверждает баг и назначает награду в зависимости от его критичности.
- Когда вы получаете уведомление о том, что компания готова выплатить вам баунти, регистрируетесь в сервисе «Консоль» и указываете реквизиты счета. Сделать это можно через настройки профиля на платформе или по ссылке.
- После того как платежный провайдер вас верифицирует, вы через «Консоль» подписываете договор с BI.ZONE Bug Bounty, а также акт выполненных работ.
- Выплата оказывается у вас на счете (обычно в течение 30 часов), а узнаете вы об этом (и не только) благодаря push-уведомлениям.
Нет предела совершенству. Мы стараемся рассказать все, но если вы прочитали наши рекомендации и не нашли ответ, то напишите в поддержку на почту bb@bi.zone или в Telegram @BizoneBugBountySupport.