Программы bug bounty еще не слишком широко распространены в России, однако внимание к ним растет из года в год. В то же время в других странах возможность заработать на поиске уязвимостей стала настоящим клондайком для исследователей информационной безопасности. ИБ-эксперты и «белые хакеры» могут неплохо заработать, занимаясь любимым делом, а IT-компаниям bug bounty позволяет привлечь больше рабочих рук к модернизации своих продуктов.
Что же такое bug bounty? Это программа, в рамках которой различные компании и сервисы предлагают независимым экспертам и исследователям в сфере информационной безопасности денежные вознаграждения за ошибки и уязвимости, обнаруженные в продукции этих организаций.
Редакция SecureNews не могла обойти стороной данное явление и решила обсудить с экспертами место bug bounty в сфере информационной безопасности, в том числе в российских реалиях.
Какую роль bug bounty играет в современной архитектуре информационной безопасности?
По мнению руководителя направления информационной безопасности компании «Системный софт» Якова Гродзенского, к bug bounty следует относится с осторожностью:
«Bug bounty может быть довольно эффективным и относительно дешевым средством обнаружения уязвимостей, но полагаться полностью на этот метод нельзя. Профессионалы несут ответственность за свою работу, в отличие от сторонних «белых хакеров». Были случаи, когда информация о найденных уязвимостях выкладывалась на общедоступные ресурсы. Правда, как правило, это происходит при отсутствии реакции со стороны владельцев ресурсов».
Руководитель отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет» Андрей Янкин также указывает на один из недостатков bug bounty:
«Программы bug bounty актуальны, в первую очередь, для производителей ПО и компаний, чей бизнес тесно связан с интернетом. В число вторых входит все больше организаций, которые раньше работали исключительно офлайн. И если многие из них уже пришли к пониманию необходимости пентестов, то такой дешевый и эффективный механизм, как bug bounty, освоили единицы. Минусом программ bug bounty является необходимость разбирать большое число обращений, львиная доля которых является информационным мусором. Это останавливает многие компании, не имеющие больших ресурсов, выделенных на информационную безопасность».
Менеджер по продуктам Guardant компании «Актив» Тимофей Матреницкий рассматривает bug bounty как полезное дополнение к корпоративным защитным механизмам:
«Bug bounty – довольно интересный и прогрессивный подход к информационной безопасности. Однако, учитывая специфику, сложно опираться на эту программу, как что-либо гарантирующий элемент архитектуры.
Программа безусловно помогает вендорам сэкономить большие деньги и сохранить репутацию. Но ее использование никак не отменяет необходимости держать в штате собственных специалистов по безопасности, иначе ни о какой экономии речи не пойдет. То есть bug bounty – это серьезное дополнение к собственным защитным мерам, но только дополнение».
Менеджер по продукту Shell Control Box компании Balabit Чаба Краснаи обращает внимание на важность подготовки к реализации программы bug bounty:
«Программы bug bounty могут быть полезны для вендоров услуг или ПО, которые достаточно компетентны в вопросах кибербезопасности, чтобы суметь правильно использовать информацию об уязвимостях. Перед запуском bug bounty нужно выполнить несколько подготовительных шагов: открыть Security Development Lifecycle, повысить общий уровень осведомленности в вопросе безопасности среди разработчиков и операторов (например, провести встречу и разобрать положения ИБ-политики компании) и оценить внутренние и внешние уязвимости. Если компания уверена, что со своей стороны сделала всё возможное для обеспечения безопасности, то тогда она может позволить «охотникам за уязвимостями», так называемым «белым шляпам», поискать баги. В противном случае запуск программы bug bounty может привести вас к шантажу с выкупом: компания выкупает информацию об уязвимостях у хакера, пока он не продал их на черном рынке. Таким образом, без надлежащей подготовки bug bounty скорее повысит риски возникновения нарушений безопасности, чем поможет усовершенствовать продукты компании».
Михал Салат, ведущий вирусный аналитик Avast:
«Сегодня у хакеров есть возможность предоставить компании информацию о багах и уязвимостях в обмен на компенсацию. Достойное вознаграждение мотивирует хакеров рассказывать об обнаруженных ошибках компаниям, вместо того, чтобы продавать данные киберпреступникам в даркнете. В свою очередь, запуская программы bug bounty, бизнес может быстрее исправить ошибки и защитить конфиденциальные данные компании и клиентов, прежде чем «плохие парни» воспользуются существующими уязвимостями».
Алексей Качалин, заместитель директора по развитию бизнеса в России компании Positive Technologies:
«Программа bug bounty – это, во-первых, механизм достижения целей в обнаружении уязвимостей при помощи «коллективного разума». В отличие от внутреннего или внешнего заказного исследования, она позволяет максимально мотивировать широкий круг специалистов, каждый из которых рассматривает исследуемую систему «свежим» взглядом, что положительно влияет на результат. Во-вторых, программа позволяет производителям обнаружить и устранить ошибки, прежде чем о них узнает широкая общественность».
Какие перспективы есть у bug bounty в целом и, в частности, в России?
По мнению Андрея Янкина, в будущем программы bug bounty получат большое распространение в России:
«Определенно, программы bug bounty будут расширяться, в том числе и в России. Сейчас вполне обычной реакцией российской компании на информацию об уязвимости, найденной исследователем, являются угрозы отправить хакера в тюрьму. Не самое дальновидное поведение. Если и платятся вознаграждения, то о публичном описании багов после исправления большинство и слышать не хотят. Все это приводит к тому, что описание бага вместе с копией переписки оказывается на Хабре или хакерском форуме. Bug bounty – это не просто вознаграждение за информацию об уязвимостях. Это комплексный подход к работе с исследователями защищенности, позволяющий снизить репутационные и финансовые риски. Думаю, у bug bounty большое будущее».
С ним согласен и Яков Гродзенский:
«Россия прочно удерживает первое место в мире по количеству обнаруженных атак. Это может свидетельствовать, в том числе, и о наличии серьезной проблемы с уязвимостями. А это значит, что есть и рынок для анализа уязвимостей. Что касается bug bounty в России, то этот подход уже используется в нашей стране такими компаниями как Яндекс, Mail.Ru и другими частными и государственными организациями, в том числе Минкомсвязи».
Михал Салат выразил надежду, что к bug bounty будут прибегать больше компаний:
«Программы bug bounty должны стать постоянной практикой не только для компаний, занимающихся информационной безопасностью, но и производителей девайсов и разработчиков ПО. Не только компании по защите безопасности должны проводить программы bug bounty на регулярной основе, но и компании, осуществляющие разработку программного обеспечения или производство устройств, включающих ПО. Сегодня множество компаний специализируются исключительно на продаже информации об уязвимостях компаниям в области защиты данных. Они просто платят хакерам, которые ищут эти баги и уязвимости. К сожалению, немного компаний практикуют корпоративную программу bug bounty. Исследователи могут хорошо зарабатывать на поиске багов, и, если компания не заплатит за обнаруженные уязвимости, всегда найдется щедрый покупатель на черном рынке. Мы надеемся, что все больше компаний будут перенимать опыт запуска bug bounty, особенно разработчики IoT-устройств. И это нужно делать заранее, а не ждать очередной крупной утечки информации».
Генеральный директор компании «Фаст Лейн» в России и СНГ Владимир Княжицкий указывает на отсутствие среди большинства ИБ-специалистов энтузиазма в отношении bug bounty:
«Программа bug bounty имеет право на существование, но в России большинство специалистов стараются избегать участия в ней. Есть целый ряд моментов, которые делают программу bug bounty малопривлекательной.
Например, бывают прецеденты, когда действия по поиску уязвимостей квалифицируют как хакерскую атаку. Нужно очень детально задокументировать, что можно и что нельзя делать в рамках bug bounty, какие инструменты применяются и так далее. Но даже если все описать подробно, в любом случае можно найти уязвимость с использованием взлома стороннего ресурса: такие действия могут быть расценены уже как противозаконные.
Многие специалисты, которые могут обнаружить уязвимости, являются хакерами и им не нужна публичность. Мало того, зачастую размер вознаграждения таков, что не способен мотивировать хорошего специалиста.
Участие в программах bug bounty – это в некотором смысле соревнование вслепую. Одну и ту же уязвимость могут найти несколько специалистов, но приз достанется только одному. Поэтому для многих настоящих специалистов – это, скорее, потерянное время».
Алексей Качалин:
«Применение bug bounty в России имеет свои нюансы: многие сервисы и инфраструктурные продукты совсем недавно находились в непростом состоянии с точки зрения информационной безопасности, значит, провокация пристального интереса исследователей может привести как большим расходам на вознаграждения, так и к повышению рисков информационной безопасности для потребителей.
Тем не менее, bug bounty играет важную роль в развитии рынка анализа защищенности и исследований безопасности. Она позволяет установить правила, по которым исследователи могут получить вознаграждение, не выбирая между полулегальной бесплатной работой и рискованной оплачиваемой преступной деятельностью. На наш взгляд, такой тип работы должен быть включен в практики, проводимые и рекомендуемые регуляторами рынка».
Тимофей Матреницкий:
«Перспективы программы в России напрямую зависят от того, как будут развиваться наши ИТ-проекты. Продукты, которые используют программу несколько лет, уже прошли через многих хантеров и залатали все относительно легко заметные дырки. Поэтому поиск уязвимостей в таких продуктах постепенно будет становиться все более и более сложным делом, хотя и очень хорошо оплачиваемым. Компаний-новичков, запускающих эту программу, пока не так много, и перспективы развития bug bounty в России будут во многом зависеть от их желания делать по-настоящему защищенный продукт и готовности за это платить.
Угрозой для bug bounty, как источника заработка, могут стать сервисы, автоматически сканирующие ресурсы на предмет уязвимостей. И хотя полностью заменить профессионального специалиста такие системы в обозримом будущем не смогут, их развитие и распространение отнимет хлеб у хантеров, как минимум, в части поиска дешевых уязвимостей».