Уязвимости представляют собой недостатки и ошибки проектирования, разработки или администрирования, которые позволяют злоумышленникам реализовать недопустимые для организаций события. Для повышения уровня защиты приложений команда специалистов по ИБ, работающая в организации, должна в кратчайший срок найти и исправить все уязвимости — и сделать это быстрее злоумышленников. Однако их усилий может оказаться недостаточно, а нарушители могут нанести серьезный ущерб, воспользовавшись всего одной критически опасной уязвимостью.
Уязвимости могут появиться в самых неожиданных, а порой и в самых очевидных местах: людям свойственно ошибаться. Разработчики могут ошибаться при проектировании и реализации приложений. По данным нашего исследования, в 2020–2021 годах в 62% веб-приложений были выявлены уязвимости критического уровня опасности, и это с учетом того, что за 2019–2021 годы среднее количество уязвимостей на одно веб-приложение сократилось более чем на треть вследствие развития и внедрения инструментов для выявления уязвимостей, например анализаторов кода, а также подходов безопасной разработки. Автоматизированные решения для выявления уязвимостей по-прежнему актуальны, но не всегда действенны, особенно если дело касается поиска критически опасных уязвимостей, связанных с контролем доступа, или, например, уязвимостей бизнес-логики. Рост числа кибератак и выявление неизвестных ранее уязвимостей затрудняет защиту информационных активов: в I полугодии 2022 года было совершено на 16% больше кибератак, чем за аналогичный период прошлого года. С учетом постоянного обновления версий приложений анализ защищенности вручную становится слишком трудозатратным и дорогим. Выявление наиболее опасных для бизнеса уязвимостей в максимально сжатые сроки с небольшими затратами звучит как несбыточная мечта.
Но что будет, если объединить поиск уязвимостей с помощью автоматических средств и ручной анализ защищенности и если эти мероприятия будут проводиться не несколькими экспертами по ИБ в течение рабочего дня, а целым сообществом исследователей безопасности со всего мира — круглосуточно и без выходных? Мы проанализировали 24 платформы, на которых собрано множество программ bug bounty, чтобы рассказать для чего нужны такие платформы, какие задачи они помогают решать, какова стоимость их использования для организации и на какое вознаграждение могут претендовать исследователи безопасности. Методика исследования подробно описана в конце отчета.
Краудсорсинговый подход к обеспечению кибербезопасности является одним из лучших решений вышеописанных проблем для бизнеса: он позволяет непрерывно тестировать и выявлять уязвимости ПО, сайтов и инфраструктуры, привлекая неограниченное число исследователей безопасности. Лучший способ реализовать данный подход — объявить о программе bug bounty.
Ключом к успеху краудсорсинговой программы безопасности является привлечение как можно большего числа квалифицированных исследователей.
Программа bug bounty — это процесс привлечения бизнесом внештатных исследователей кибербезопасности и специалистов по анализу защищенности и тестированию на проникновение к проверке своего программного обеспечения, веб-приложений и инфраструктуры с условием выплаты вознаграждения за выявленные уязвимости.
Программы bug bounty дают компаниям возможность протестировать свои информационные активы под разными углами: любой исследователь может принять участие в тестировании, используя разные подходы и инструменты для поиска уязвимостей. Компании сами определяют границы работ и полностью контролируют бюджет, проверку отчетов о найденных уязвимостях и стоимость вознаграждения за каждую уязвимость.
Bug bounty — это подход, ориентированный на результат. При классическом подходе к анализу защищенности организациям приходится платить за время, затраченное на поиск уязвимостей, вне зависимости от того, будут ли они обнаружены. При использовании bug bounty организации выплачивают награду исследователям за обнаруженные и подтвержденные уязвимости в зависимости от уровня их опасности. Кроме того, конкуренция в сообществе и вознаграждение за результат мотивируют исследователей мыслить нестандартно и выявлять уязвимости, наиболее опасные для бизнеса.
В программах bug bounty исследователи получают вознаграждение за найденную уязвимость, а не за время, затраченное на ее поиск.
Привлечение внешних специалистов позволяет более эффективно выявлять слабые места и разгрузить собственных IT-специалистов, чтобы они могли сосредоточиться на укреплении слабых мест и дальнейшем развитии продуктов и сервисов. Оплата только за обнаруженные уязвимости позволяет рационально использовать бюджет компании.
Несмотря на преимущества bug bounty, не все организации могут позволить себе проведение подобных программ, и на то есть несколько причин:
Для того чтобы помочь бизнесу справиться с этими и другими сложностями, стали появляться платформы bug bounty — своего рода агрегаторы, которые собирают программы различных организаций и позволяют исследователям безопасности выбрать интересующий их проект. Такие платформы предоставляют организациям всю необходимую инфраструктуру для эффективного проведения программ bug bounty, а также помощь во взаимодействии с исследователями и экспертную поддержку в верификации уязвимостей.
В платформах bug bounty удачно объединены два элемента:
После того как организация вместе с представителями платформы определяет границы исследований, недопустимые события (в случае со Standoff 365), ценовую политику и форму отчета о выявленных уязвимостях, платформа публикует программу на своих ресурсах и продвигает ее в сообществе (в зависимости от типа программы), тем самым привлекая исследователей к участию в ней. Исследователи находят уязвимости и отправляют отчеты команде платформы, которая проверяет наличие уязвимости в исследуемом приложении, ее уникальность и соответствие границам исследования.
Рисунок 1. Реализация программы bug bounty с помощью платформы
Стоимость услуг платформ bug bounty складывается из нескольких составляющих:
16 000 $ — средняя стоимость подписки на услуги платформ bug bounty в год. 20% от каждой выплаты — средняя комиссия платформ.
Существует две модели оплаты труда исследователей платформы компаниями:
Ценовая политика может быть установлена в зависимости от опасности той или иной уязвимости для бизнеса, например исходя из оценки уязвимости по методике CVSS 3.1.
Таблица 1. Оценка степени опасности уязвимости по CVSS 3.1
Опасность уязвимости по CVSS 3.1 | Значение вектора CVSS 3.1 | Примеры уязвимостей |
---|---|---|
Критическая | от 9 до 10 | Внедрение XXE- и SQL-кода со значительным воздействием на приложение; удаленное выполнение произвольного кода и повышение привилегий |
Высокая | от 7 до 8,9 | IDOR, Stored XSS и CSRF со значительным воздействием на приложение; SSRF и обход аутентификации |
Средняя | от 4 до 6,9 | IDOR, Reflective XSS и CSRF со средним воздействием на приложение |
Низкая | от 0,1 до 3,9 | Неверные параметры SSL; XSS и CSRF с незначительным воздействием на приложение |
В среднем за критически опасные уязвимости компании готовы платить исследователям более 7000 долларов. Например, за выявление уязвимости для внедрения SQL-кода и несанкционированное получение данных в Twitter исследователь может получить 12 000 долларов. За выявление уязвимостей, связанных с некорректной авторизацией и аутентификацией, исследователь может в среднем рассчитывать на 3000 долларов на различных платформах. А выплата за самую распространенную уязвимость межсайтового выполнения сценариев (cross-site scripting, XSS), которая была выявлена в 13% приложений, по данным Zerocopter, может составить от 250 до 700 долларов в зависимости от степени воздействия.
Рисунок 2. Средняя сумма вознаграждения в зависимости от опасности уязвимости
Рисунок 3. Средние суммы вознаграждений за одну уязвимость
Но для того чтобы точнее определить степень опасности, каждой организации необходимо знать, как возможная эксплуатация уязвимостей может повлиять на ее деятельность и может ли эксплуатация уязвимости привести к недопустимым для бизнеса последствиям. Платформа Standoff 365 предлагает исследователям попробовать новый подход: помимо обычного поиска уязвимостей и предоставления отчетов, исследователям предлагается не просто найти уязвимость, но и продемонстрировать реализацию недопустимого события на основе найденных брешей. Если отчет с четким исчерпывающим описанием полного вектора атаки и использованных уязвимостей будет верифицирован командой платформы, то исследователь может рассчитывать на вознаграждение, которое в разы превышает выплаты за обычные уязвимости.
Недопустимое событие — это событие, возникающее в результате действий злоумышленников, которое делает невозможным достижение операционных и стратегических целей или приводит к длительному нарушению основной деятельности организации.
На мировом рынке платформы bug bounty представлены неравномерно, и не в каждой стране можно найти крупные и заслуживающие доверия платформы. Лидером по количеству крупных платформ bug bounty является Азиатский регион, в котором размещены 38% исследованных платформ. На втором месте Европейский регион, в котором находится треть исследованных платформ, в том числе одни из наиболее крупных, например Intigriti, YesWeHack, Zerocopter и Standoff 365. Доля платформ Североамериканского и Ближневосточного регионов составила 21% и 8% соответственно.
Рисунок 4. Распределение платформ bug bounty по регионам
1. Открытые программы позволяют любому исследователю получить к ним доступ и приступить к поиску уязвимостей.
2. Закрытые программы ориентированы на определенную группу исследователей, которые получают к ним доступ по приглашению.
Рисунок 5. Распределение платформ bug bounty в зависимости от проводимых программ
Рисунок 6. Отраслевое распределение участников платформ bug bounty
Программы и платформы bug bounty находят все большее распространение среди организаций, заинтересованных в обеспечении кибербезопасности своих ресурсов. Аналитики платформы HackerOne отмечают, что в 2021 году количество программ bug bounty увеличилось на 34% по сравнению с 2020 годом, а исследователи безопасности выявили на 21% больше уязвимостей за аналогичный период. Данные исследования AllTheResearch предсказывают рост рынка bug bounty до 5,4 млрд долларов к 2027 году. Драйверами роста рынка bug bounty выступают:
Краудсорсинговый подход к обеспечению безопасности является одним из наиболее перспективных, а его реализация в виде программ bug bounty обеспечивает множество преимуществ над классическими решениями: ориентацию на результат, непрерывность тестирования, гибкость и масштабирование программы, а также прозрачную систему вознаграждений.
Однако реализация программ bug bounty доступна далеко не всем: одни организации не могут точно определить границы исследования, другим не хватает опыта или ресурсов для проведения собственных программ, а третьи сталкиваются с дефицитом доверия со стороны исследователей безопасности.
Для решения вышеописанных проблем были созданы платформы bug bounty — агрегаторы, которые собирают программы различных организаций. Платформы позволяют исследователям безопасности самостоятельно выбрать интересующий их проект, помогают компаниям-клиентам выбрать целевые приложения, системы тестирования и границы исследования. Также они берут на себя всю основную работу по взаимодействию с исследователями и проверке их отчетов. Это разгружает IT-отделы компаний, которые могут сосредоточиться на доработке приложений и систем в соответствии с отчетами о выявленных уязвимостях.
За умеренную плату организации получают всю необходимую инфраструктуру, поддержку, возможность платить только за результат, а самое главное — исследователей, которые готовы различными способами выявлять уязвимые места в режиме 24/7. На платформе Standoff 365 у компаний-клиентов есть уникальный шанс проверить свои продукты на возможность реализации недопустимых событий. Такой подход позволяет получить представление о последствиях атаки на приложение, максимально соответствующей реальной угрозе, и подробный отчет для оперативного устранения выявленных недостатков.
Не останутся в обиде и исследователи: оперативная обратная связь с представителями платформы, справедливые вознаграждения за обнаруженные уязвимости, значительно увеличивающиеся в случае реализации недопустимых событий, рейтинговая система, позволяющая принимать участие в более прибыльных закрытых программах, — все это повышает конкуренцию в сообществе и стимулирует его развитие.
В этом отчете содержатся результаты исследования 24 наиболее крупных и активных на момент исследования платформ bug bounty из разных регионов мира, из которых были собраны данные о следующих показателях: географическом расположении, типах программ, реализуемых платформами, отраслевом распределении участников, средних суммах вознаграждения в зависимости от степени опасности уязвимости и отрасли, средней стоимости вхождения на платформу, средней комиссии, взимаемой с каждой выплаты исследователю. В табл. 2 приведен список исследованных платформ bug bounty с указанием их географического расположения.
Информация получена с официальных сайтов платформ и не содержит данных, находящихся в ограниченном доступе. Средние значения вознаграждений по отраслям рассчитаны на основе среднего максимального и среднего минимального значений по каждой отрасли и платформе. Средние значения вознаграждений в зависимости от степени риска рассчитаны на основе среднего максимального и среднего минимального значений выплат в зависимости от уровня опасности и платформы. Все суммы приведены в долларах США.
Степень опасности уязвимостей оценивалась по системе Common Vulnerability Scoring System (CVSS) версии 3.1. На основе полученных значений определялись качественные оценки критической, высокой, средней и низкой опасности.
Таблица 2. Исследованные платформы bug bounty
Платформа | Страна |
---|---|
Intigriti | Бельгия |
Huntr | Великобритания |
Hackrate | Венгрия |
WhiteHub | Вьетнам |
BugRank | Вьетнам |
Safevuln | Вьетнам |
Zerocopter | Голландия |
Bugbase | Индия |
BugsBounty | Индия |
Redstorm | Индонезия |
Ravro | Иран |
Vulbox | Китай |
thebugbounty | Малайзия |
Bugbounty.sa | Саудовская Аравия |
Bugcrowd | США |
Synack | США |
Cobalt | США |
HackerOne | США |
Federacy | США |
YesWeHack | Франция |
Yogosha | Франция |
Cyscope | Швейцария |
HackenProof | Эстония |
Bugbounty.jp | Япония |