Новости / май 2022
Краудсорсингом по багам

Мнения участников рынка Bug Bounty в отношении перспектив российской государственной платформы, создание которой анонсировало Минцифры, разделились. Одни считают, что этой платформе не удастся привлечь специалистов, другие же не видят в решении данной задачи больших сложностей.
© ComNews
13.05.2022

На площадке AM Live прошла конференция, посвященная Bug Bounty. Такие программы поиска ошибок и уязвимостей за вознаграждение с широким привлечением специалистов со стороны открывают все больше компаний, в том числе и российских. При этом, как отметил руководитель продукта The Standoff Positive Technologies Ярослав Бабин, данный процесс невозможен без наличия некоего набора правил, по которым ресерчеры будут работать внутри компании. Как подчеркнул технический директор компании "Синклит" Лука Сафонов, Bug Bounty не является заменой для аудита информационной безопасности. Более того, применение таких программ возможно только при условии достижения определенного уровня зрелости ИБ.

Руководитель программы Bug Bounty холдинга VK Алексей Гришин также назвал задачей процесса не обнаружение единичных ошибок, а получение "потока багов". Вместе с тем количество выявленных проблем является плохой метрикой, поскольку далеко не все из них могут привести к критическому инциденту. По мнению руководителя отдела безопасности ПО "Лаборатории Касперского" Дмитрия Шмойлова, Bug Bounty является инструментом проверки себя на зрелость. Также это краудсорсинговый инструмент поиска возможных проблем, но при этом компания должна быть готова за это платить.

Также Bug Bounty нельзя путать с пентестом. Bug Bounty позволяет найти более широкий перечень проблем, также отличается модель оплаты. Как отметил Лука Сафонов, в случае Bug Bounty оплата идет по результату, тогда как за пентест платить придется в любом случае. Плюс ко всему, Bug Bounty охватывает всю компанию, тогда как пентест проводится на заданном ресурсе. По мнению Дмитрия Шмойлова, пентесты и Bug Bounty не исключают друг друга. Более того, проведение пентеста перед запуском программы Bug Bounty будет полезным.

Но при этом, как предупредил Лука Сафонов, у участников Bug Bounty есть риск попасть под уголовную статью о вымогательстве. Тем более что соответствующая культура пока в России не сложилась. Именно по этой причине специалисты по поиску ошибок и уязвимостей будут опасаться работать на госплощадке, создание которой недавно анонсировано Минцифры. Однако Ярослав Бабин обратил внимание, что, помимо материального интереса, могут быть и другие мотивы участия в программах Bug Bounty, тем более что значительная часть ИБ-специалистов готовятся в учебных заведениях ФСБ, ФСО, Минобороны и прочих весьма серьезных структурах, для которых важной задачей является получение комплекса соответствующих навыков, необходимых для дальнейшей работы. Да и гражданским специалистам часто нужен материал для исследований.

Bug Bounty для многих является основным источником заработка. Хотя, по оценке Ярослава Бабина, обычно все же это, скорее, подработка в свободное от основной работы или учебы время. Также участие в соответствующих программах для многих является одним из способов направить свои способности в легальное русло, а значит, несет важную социальную функцию. Также Ярослав Бабин обратил внимание, что в рамках Bug Bounty платят и за такие уязвимости, которые неликвидны на теневом рынке.

По мнению Луки Сафонова, лучшие специалисты по Bug Bounty получаются из разработчиков и администраторов старой школы, которые имеют глубокие знания в области построения и функционирования ПО и сетей. Как отметил CISA Delivery Club Илья Сафонов, лучшие специалисты по поиску проблем в B2B-приложениях получаются из тех, кто их внедряет и настраивает.

Роль платформ участники дискуссии оценили очень высоко. Прежде всего платформа должна на себя брать функции арбитра между заказчиками и исполнителями. Тем более что конфликты между обеими сторонами возникают регулярно. Как правило, они связаны с оплатой. Впрочем, по единодушному мнению участников дискуссии, если обманывать с оплатой, то заказчик быстро потеряет репутацию и его заказы будут игнорировать. Вместе с тем, как напомнил Алексей Гришин, существует несколько обстоятельств, позволяющих не платить за обнаруженные проблемы. Это, например, дубликаты, когда одну и ту же проблему обнаружили несколько специалистов или команд. Тут на вознаграждение может претендовать только тот, кто найдет проблему первым. Также не принято оплачивать обнаружение уже известных, но еще незакрытых уязвимостей.

Участники дискуссии посетовали на проблемы, связанные с тем, что зарубежные площадки после начала украинского кризиса оборвали связи с российскими компаниями и командами ресерчеров, в том числе и крупнейшая HackerOne, которая контролировала 40% рынка. При этом интерес к привлечению российских специалистов по поиску уязвимостей сохраняется. Как отметил Дмитрий Шмойлов, который работал на HackerOne, диалог с этой площадкой сохраняется. А отечественные площадки испытывают серьезные сложности с оплатой услуг зарубежных команд, в том числе за уже выполненные работы.

Новости из связанных рубрик