Платформы bug bounty: исследование мирового рынка

Содержание

• Резюме
• Введение
• Bug bounty: программы и платформы
  • Сложности реализации программ bug bounty
  • Платформы bug bounty
  • За что нужно платить и сколько это стоит
  • Как оценить опасность уязвимости и от чего зависит вознаграждение
  • Сводная статистика платформ bug bounty
• Перспективы развития и проблемы рынка bug bounty
• Выводы
• Методика исследования

Резюме

• Программа bug bounty — процесс, в рамках которого привлекается множество внештатных исследователей кибербезопасности для поиска уязвимостей в программном обеспечении, веб-приложениях и IT-инфраструктуре.
• Программы bug bounty нацелены на результат, поэтому вознаграждение выплачивается только за обнаруженную уязвимость, а не за время, которое было затрачено на ее поиск.
• Условия успеха программы bug bounty: необходимые инфраструктура и кадры, опыт, известность компании, умение точно определить целевые информационные активы, подлежащие тестированию, и границы исследования.
• Для помощи в проведении программ bug bounty созданы платформы bug bounty, предназначенные для организации поиска уязвимостей, предоставления необходимой инфраструктуры, поддержки и экспертных рекомендаций, но в первую очередь для анализа защищенности сообществом исследователей безопасности.
• Открытые программы платформ bug bounty предназначены для всех участников сообщества вне зависимости от уровня подготовки; закрытые программы — только для определенного круга исследователей по приглашению компании-клиента. Большинство платформ (88%) публикуют и открытые, и закрытые программы, 8% — только закрытые, 4% — только открытые.
• Наиболее востребованными услуги платформ bug bounty оказались в следующих отраслях: IT-компании (16%), онлайн-сервисы (14%), сфера услуг (13%), торговля (11%), финансовые организации (9%) и блокчейн-проекты (9%).
• 7200 долларов — средняя сумма вознаграждения за найденную уязвимость критического уровня опасности, 3000 — высокого, 1100 — среднего, 254 доллара — за уязвимость низкого уровня опасности.
• Наибольшие средние суммы вознаграждений за уязвимости критического и высокого уровня опасности выплачиваются в программах bug bounty блокчейн-проектов (13 000 и 5300 долларов соответственно) и IT-компаний (6600 и 2200 долларов соответственно). Тройку лидеров замыкают медицинские учреждения: 5500 долларов за уязвимость критического уровня опасности и 1600 долларов — высокого.
• Итоговая стоимость услуг платформ складывается из нескольких составляющих. Во-первых, это стоимость первичного размещения, которая рассчитывается для каждого клиента индивидуально. Во-вторых, стоимость подписки на услуги платформы, в число которых входят использование инфраструктуры, взаимодействие с исследователями, верификация уязвимостей. Средняя цена годовой подписки на услуги платформ bug bounty составляет 16 000 долларов. В-третьих, в зависимости от плана подписки или опасности уязвимости платформа удерживает комиссию, которая составляет в среднем 20% от каждой выплаты исследователям и не вычитается из награды исследователя.

Введение

Уязвимости представляют собой недостатки и ошибки проектирования, разработки или администрирования, которые позволяют злоумышленникам реализовать недопустимые для организаций события. Для повышения уровня защиты приложений команда специалистов по ИБ, работающая в организации, должна в кратчайший срок найти и исправить все уязвимости — и сделать это быстрее злоумышленников. Однако их усилий может оказаться недостаточно, а нарушители могут нанести серьезный ущерб, воспользовавшись всего одной критически опасной уязвимостью.

Уязвимости могут появиться в самых неожиданных, а порой и в самых очевидных местах: людям свойственно ошибаться. Разработчики могут ошибаться при проектировании и реализации приложений. По данным нашего исследования, в 2020–2021 годах в 62% веб-приложений были выявлены уязвимости критического уровня опасности, и это с учетом того, что за 2019–2021 годы среднее количество уязвимостей на одно веб-приложение сократилось более чем на треть вследствие развития и внедрения инструментов для выявления уязвимостей, например анализаторов кода, а также подходов безопасной разработки. Автоматизированные решения для выявления уязвимостей по-прежнему актуальны, но не всегда действенны, особенно если дело касается поиска критически опасных уязвимостей, связанных с контролем доступа, или, например, уязвимостей бизнес-логики. Рост числа кибератак и выявление неизвестных ранее уязвимостей затрудняет защиту информационных активов: в I полугодии 2022 года было совершено на 16% больше кибератак, чем за аналогичный период прошлого года. С учетом постоянного обновления версий приложений анализ защищенности вручную становится слишком трудозатратным и дорогим. Выявление наиболее опасных для бизнеса уязвимостей в максимально сжатые сроки с небольшими затратами звучит как несбыточная мечта.

Но что будет, если объединить поиск уязвимостей с помощью автоматических средств и ручной анализ защищенности и если эти мероприятия будут проводиться не несколькими экспертами по ИБ в течение рабочего дня, а целым сообществом исследователей безопасности со всего мира — круглосуточно и без выходных? Мы проанализировали 24 платформы, на которых собрано множество программ bug bounty, чтобы рассказать для чего нужны такие платформы, какие задачи они помогают решать, какова стоимость их использования для организации и на какое вознаграждение могут претендовать исследователи безопасности. Методика исследования подробно описана в конце отчета.

Краудсорсинговый подход к обеспечению кибербезопасности является одним из лучших решений вышеописанных проблем для бизнеса: он позволяет непрерывно тестировать и выявлять уязвимости ПО, сайтов и инфраструктуры, привлекая неограниченное число исследователей безопасности. Лучший способ реализовать данный подход — объявить о программе bug bounty.

Ключом к успеху краудсорсинговой программы безопасности является привлечение как можно большего числа квалифицированных исследователей.

Bug bounty: программы и платформы

Программа bug bounty — это процесс привлечения бизнесом внештатных исследователей кибербезопасности и специалистов по анализу защищенности и тестированию на проникновение к проверке своего программного обеспечения, веб-приложений и инфраструктуры с условием выплаты вознаграждения за выявленные уязвимости.

Программы bug bounty дают компаниям возможность протестировать свои информационные активы под разными углами: любой исследователь может принять участие в тестировании, используя разные подходы и инструменты для поиска уязвимостей. Компании сами определяют границы работ и полностью контролируют бюджет, проверку отчетов о найденных уязвимостях и стоимость вознаграждения за каждую уязвимость.

Bug bounty — это подход, ориентированный на результат. При классическом подходе к анализу защищенности организациям приходится платить за время, затраченное на поиск уязвимостей, вне зависимости от того, будут ли они обнаружены. При использовании bug bounty организации выплачивают награду исследователям за обнаруженные и подтвержденные уязвимости в зависимости от уровня их опасности. Кроме того, конкуренция в сообществе и вознаграждение за результат мотивируют исследователей мыслить нестандартно и выявлять уязвимости, наиболее опасные для бизнеса.

В программах bug bounty исследователи получают вознаграждение за найденную уязвимость, а не за время, затраченное на ее поиск.

Привлечение внешних специалистов позволяет более эффективно выявлять слабые места и разгрузить собственных IT-специалистов, чтобы они могли сосредоточиться на укреплении слабых мест и дальнейшем развитии продуктов и сервисов. Оплата только за обнаруженные уязвимости позволяет рационально использовать бюджет компании.

Сложности реализации программ bug bounty

Несмотря на преимущества bug bounty, не все организации могут позволить себе проведение подобных программ, и на то есть несколько причин:

1. Все отчеты, присылаемые исследователями, подлежат первичной сортировке для выявления дубликатов, некорректных отчетов, для определения уровня опасности обнаруженной уязвимости и для отсева отчетов об уязвимостях с крайне низким уровнем опасности. Кроме того, необходимо организовать эффективное взаимодействие с исследователями, постоянную обратную связь и верификацию обнаруженных уязвимостей. Все эти действия требуют от организации дополнительных ресурсов.
2. Самостоятельное создание подробных отчетов о показателях программы bug bounty для оценки эффективности, обеспечения прозрачности, формирования и мониторинга ключевых показателей может оказаться затруднительным для организаций, которые не имеют достаточного опыта в проведении подобных программ.
3. Чтобы получить наибольший эффект от программы bug bounty нужно заранее максимально четко определить границы проведения работ и те информационные активы, которые будут тестироваться исследователями, что может оказаться нетривиальной задачей для некоторых организаций.
4. Известность организации играет важную роль. Объявление программы bug bounty может не найти отклика в сообществе исследователей, так как, работая с малоизвестной организацией, они должны учитывать возможные риски. Стоит ли тратить время на поиск уязвимостей в системах этой организации, будут ли вовремя и справедливо выплачиваться вознаграждения, насколько профессионально выстроена программа bug bounty — вот первые вопросы, которые возникают у исследователей.

Платформы bug bounty

Для того чтобы помочь бизнесу справиться с этими и другими сложностями, стали появляться платформы bug bounty — своего рода агрегаторы, которые собирают программы различных организаций и позволяют исследователям безопасности выбрать интересующий их проект. Такие платформы предоставляют организациям всю необходимую инфраструктуру для эффективного проведения программ bug bounty, а также помощь во взаимодействии с исследователями и экспертную поддержку в верификации уязвимостей.
В платформах bug bounty удачно объединены два элемента:

• Сообщество исследователей безопасности. Сообщество — это основная ценность платформы: чем больше в нем участников и чем выше их уровень подготовки, тем эффективнее поиск уязвимостей. Платформы прикладывают большие усилия для развития и поддержки своего сообщества, и на его формирование могут потребоваться годы. В среднем компании, оказывающие услуги анализа защищенности, задействуют для проверки приложения от пяти до пятнадцати сотрудников. За это же время ваше приложение могут протестировать сотни или даже тысячи специалистов и исследователей со всего мира, зарегистрированных на платформе. Исследователи могут активно тестировать приложения месяцами или годами, в отличие от классического анализа защищенности, который длится около месяца. Это позволяет снизить шанс появления необнаруженных уязвимостей и обеспечить непрерывный анализ защищенности приложений.
• Высококвалифицированная команда специалистов по кибербезопасности, занимающаяся проверкой отчетов исследователей и верификацией обнаруженных ими уязвимостей. Также в задачи команды платформы входят поддержка клиентов и взаимодействие с исследователями.
  Все исследователи, приступившие к поиску уязвимостей, обязуются придерживаться принципа ответственного разглашения, который гарантирует организациям, что об обнаруженной уязвимости не узнает никто, кроме платформы и исследователя, а организация получит достаточно сведений об уязвимости и времени для ее устранения.
  Наиболее крупные мировые платформы bug bounty: HackerOne, BugCrowd, Intigrity, Synack, YesWeHack.

За что нужно платить и сколько это стоит

После того как организация вместе с представителями платформы определяет границы исследований, недопустимые события (в случае со Standoff 365), ценовую политику и форму отчета о выявленных уязвимостях, платформа публикует программу на своих ресурсах и продвигает ее в сообществе (в зависимости от типа программы), тем самым привлекая исследователей к участию в ней. Исследователи находят уязвимости и отправляют отчеты команде платформы, которая проверяет наличие уязвимости в исследуемом приложении, ее уникальность и соответствие границам исследования.

Рисунок 1. Реализация программы bug bounty с помощью платформы

В случае соблюдения трех перечисленных выше условий отчет засчитывается, исследователю выплачивается вознаграждение и начисляются рейтинговые баллы, а организация получает подробный отчет об обнаруженной уязвимости.

Стоимость услуг платформ bug bounty складывается из нескольких составляющих:

• Стоимость первичного размещения программы на платформе. За эту сумму компания получает помощь в определении границ исследования, недопустимых событий, ценовой политики и формы отчета об уязвимостях. Стоимость первичного размещения зависит от множества факторов, например от рода деятельности компании-клиента, ее размера и капитализации, и рассчитывается индивидуально.
• Подписка на услуги платформы. В стоимость подписки входит привлечение сообщества к размещенной программе, использование инфраструктуры платформы для получения отчетов от исследователей и формирования аналитики по идущей программе, проверка отчетов исследователей, верификация уязвимостей (триаж) и взаимодействие с исследователями.
• Комиссия платформы от сумм выплат. Размер комиссии зависит от плана подписки (чем дороже подписка, тем ниже комиссия) или от уровня опасности уязвимости, за которую производится выплата (чем опаснее уязвимость, тем выше комиссия).

16 000 $ — средняя стоимость подписки на услуги платформ bug bounty в год. 20% от каждой выплаты — средняя комиссия платформ.

Существует две модели оплаты труда исследователей платформы компаниями:

• Прямые выплаты. Компании-клиенты могут выплачивать единовременное вознаграждение исследователям через платформу за каждую обнаруженную уязвимость. Такая модель больше подходит для краткосрочных программ, при этом финансовое взаимодействие с исследователями осуществляет клиент, что может быть сопряжено с определенными трудностями.
• Выплаты из фонда программы, который заранее резервируется компанией-клиентом. Такая модель больше подходит для долгосрочных программ. Она позволяет организациям уйти от прямого взаимодействия с исследователями по финансовым вопросам и дает возможность платформам действовать более автономно.

Как оценить опасность уязвимости и от чего зависит вознаграждение

Ценовая политика может быть установлена в зависимости от опасности той или иной уязвимости для бизнеса, например исходя из оценки уязвимости по методике CVSS 3.1.

Таблица 1. Оценка степени опасности уязвимости по CVSS 3.1

В среднем за критически опасные уязвимости компании готовы платить исследователям более 7000 долларов. Например, за выявление уязвимости для внедрения SQL-кода и несанкционированное получение данных в Twitter исследователь может получить 12 000 долларов. За выявление уязвимостей, связанных с некорректной авторизацией и аутентификацией, исследователь может в среднем рассчитывать на 3000 долларов на различных платформах. А выплата за самую распространенную уязвимость межсайтового выполнения сценариев (cross-site scripting, XSS), которая была выявлена в 13% приложений, по данным Zerocopter, может составить от 250 до 700 долларов в зависимости от степени воздействия.

Рисунок 2. Средняя сумма вознаграждения в зависимости от опасности уязвимости

Исследователи могут получить дополнительное вознаграждение за оперативную помощь организации в устранении выявленных уязвимостей. Подобный подход применяется на платформе Huntr.

Рисунок 3. Средние суммы вознаграждений за одну уязвимость

Вознаграждения за уязвимости среднего и низкого уровня риска достаточно невысоки, в отличие от уязвимостей критического и высокого уровня, которые могут стать источником наиболее опасных для бизнеса угроз — утечек конфиденциальной информации, несанкционированного доступа к приложению или атак на локальные ресурсы. Бизнес понимает последствия реализации опасных уязвимостей и готов платить значительно больше за выявление уязвимостей высокого и критического уровня опасности. Например, участившиеся в последние месяцы случаи атак на блокчейн-проекты вынуждают разработчиков тщательнее выявлять уязвимости в своих продуктах, а за уязвимости критического и высокого уровня опасности предлагается максимальное вознаграждение — 13 100 и 5300 долларов соответственно. Особо опасные уязвимости могут оцениваться в 100 000 долларов и более. Решения IT-компаний также должны быть защищены от атак. Такие компании, как Sony и Intel, предлагают не менее достойные награды: 50 000 и 100 000 долларов соответственно за уязвимости критического уровня риска.

Но для того чтобы точнее определить степень опасности, каждой организации необходимо знать, как возможная эксплуатация уязвимостей может повлиять на ее деятельность и может ли эксплуатация уязвимости привести к недопустимым для бизнеса последствиям. Платформа Standoff 365 предлагает исследователям попробовать новый подход: помимо обычного поиска уязвимостей и предоставления отчетов, исследователям предлагается не просто найти уязвимость, но и продемонстрировать реализацию недопустимого события на основе найденных брешей. Если отчет с четким исчерпывающим описанием полного вектора атаки и использованных уязвимостей будет верифицирован командой платформы, то исследователь может рассчитывать на вознаграждение, которое в разы превышает выплаты за обычные уязвимости.

Недопустимое событие — это событие, возникающее в результате действий злоумышленников, которое делает невозможным достижение операционных и стратегических целей или приводит к длительному нарушению основной деятельности организации.

Такой подход выгоден для всех взаимодействующих сторон. Компания-клиент получает подробный отчет об эксплуатации целого ряда уязвимостей, которые привели к реальной атаке и недопустимому событию, возможность оперативно исправить уязвимости и реальное представление о последствиях и сценариях атаки. Исследователь получает значительно большее вознаграждение и продвигается в рейтинге, а платформа может одновременно проверить цепочку уязвимостей вместо разрозненных отчетов.

Сводная статистика платформ bug bounty

На мировом рынке платформы bug bounty представлены неравномерно, и не в каждой стране можно найти крупные и заслуживающие доверия платформы. Лидером по количеству крупных платформ bug bounty является Азиатский регион, в котором размещены 38% исследованных платформ. На втором месте Европейский регион, в котором находится треть исследованных платформ, в том числе одни из наиболее крупных, например Intigriti, YesWeHack, Zerocopter и Standoff 365. Доля платформ Североамериканского и Ближневосточного регионов составила 21% и 8% соответственно.

Рисунок 4. Распределение платформ bug bounty по регионам

Одно из главных преимуществ краудсорсингового подхода к обеспечению безопасности — это число участников. Однако не все исследователи обладают требуемой квалификацией или являются специалистами в определенной сфере (в сфере веб-приложений, блокчейна и т. п.), а организации не всегда готовы сразу обрабатывать большое количество обнаруженных уязвимостей. Поэтому на платформах реализуются два типа программ — открытые и закрытые.

 

1. Открытые программы позволяют любому исследователю получить к ним доступ и приступить к поиску уязвимостей.
2. Закрытые программы ориентированы на определенную группу исследователей, которые получают к ним доступ по приглашению.

Открытые программы позволяют получить больший охват, расширить категории и увеличить количество обнаруживаемых уязвимостей благодаря разнообразным навыкам и опыту исследователей. Но стоит учесть, что квалификация участников открытых программ может существенно различаться, что не способствует выявлению уязвимостей критического и высокого уровня опасности. Закрытые программы позволяют отбирать специалистов, которые соответствуют заданным требованиям, или приглашать наиболее продвинутых исследователей, чтобы повысить шансы обнаружения серьезных уязвимостей. Такие платформы, как Synack и Cobalt, проводят только закрытые программы, в которых принимают участие члены сообщества, прошедшие строгий квалификационный отбор.

Рисунок 5. Распределение платформ bug bounty в зависимости от проводимых программ

Бизнес не упускает возможности прибегнуть к таким перспективным способам обеспечения кибербезопасности, как программы bug bounty, и пробует внедрять их в свои процессы. IT-компании, постоянно работающие над улучшением своих приложений, являются наиболее частыми клиентами таких платформ (16%). Каждое десятое приложение на платформах bug bounty предоставлено финансовым или торговым секторами: согласно отчету платформы HackerOne, прирост числа клиентов из этих секторов в 2021 году составил 62% и 51% соответственно. Недавние взломы ([1], [2]) криптовалютных площадок (9%) выявили потребность в создании программ bug bounty для поиска уязвимостей в протоколах и смарт-контрактах.

Рисунок 6. Отраслевое распределение участников платформ bug bounty

Перспективы развития и проблемы рынка bug bounty

Программы и платформы bug bounty находят все большее распространение среди организаций, заинтересованных в обеспечении кибербезопасности своих ресурсов. Аналитики платформы HackerOne отмечают, что в 2021 году количество программ bug bounty увеличилось на 34% по сравнению с 2020 годом, а исследователи безопасности выявили на 21% больше уязвимостей за аналогичный период. Данные исследования AllTheResearch предсказывают рост рынка bug bounty до 5,4 млрд долларов к 2027 году. Драйверами роста рынка bug bounty выступают:

• распространение интернета во всем мире;
• растущая осведомленность о необходимости обеспечения информационной безопасности;
• привлекательные суммы вознаграждения за найденные ошибки;
• широкое применение онлайн-сервисов в организациях в связи с тем, что сотрудники все чаще используют портативные и другие устройства, подключенные к интернету;
• высокий спрос на средства обеспечения кибербезопасности среди организаций;
• технологические достижения и тенденции, такие как IoT, IIoT, облачные вычисления, искусственный интеллект, машинное обучение и «Индустрия 4.0».
  Однако достижению прогнозируемых показателей могут помешать следующие факторы:
• отсутствие расширения рынка в менее развитых странах;
• сложность поиска уязвимостей без приобретения дополнительного специализированного программного обеспечения;
• жесткая конкуренция в отрасли;
• сложность поиска уязвимостей из-за мер безопасности при разработке веб-приложений.

Выводы

Краудсорсинговый подход к обеспечению безопасности является одним из наиболее перспективных, а его реализация в виде программ bug bounty обеспечивает множество преимуществ над классическими решениями: ориентацию на результат, непрерывность тестирования, гибкость и масштабирование программы, а также прозрачную систему вознаграждений.

Однако реализация программ bug bounty доступна далеко не всем: одни организации не могут точно определить границы исследования, другим не хватает опыта или ресурсов для проведения собственных программ, а третьи сталкиваются с дефицитом доверия со стороны исследователей безопасности.

Для решения вышеописанных проблем были созданы платформы bug bounty — агрегаторы, которые собирают программы различных организаций. Платформы позволяют исследователям безопасности самостоятельно выбрать интересующий их проект, помогают компаниям-клиентам выбрать целевые приложения, системы тестирования и границы исследования. Также они берут на себя всю основную работу по взаимодействию с исследователями и проверке их отчетов. Это разгружает IT-отделы компаний, которые могут сосредоточиться на доработке приложений и систем в соответствии с отчетами о выявленных уязвимостях.

За умеренную плату организации получают всю необходимую инфраструктуру, поддержку, возможность платить только за результат, а самое главное — исследователей, которые готовы различными способами выявлять уязвимые места в режиме 24/7. На платформе Standoff 365 у компаний-клиентов есть уникальный шанс проверить свои продукты на возможность реализации недопустимых событий. Такой подход позволяет получить представление о последствиях атаки на приложение, максимально соответствующей реальной угрозе, и подробный отчет для оперативного устранения выявленных недостатков.

Не останутся в обиде и исследователи: оперативная обратная связь с представителями платформы, справедливые вознаграждения за обнаруженные уязвимости, значительно увеличивающиеся в случае реализации недопустимых событий, рейтинговая система, позволяющая принимать участие в более прибыльных закрытых программах, — все это повышает конкуренцию в сообществе и стимулирует его развитие.

Методика исследования

В этом отчете содержатся результаты исследования 24 наиболее крупных и активных на момент исследования платформ bug bounty из разных регионов мира, из которых были собраны данные о следующих показателях: географическом расположении, типах программ, реализуемых платформами, отраслевом распределении участников, средних суммах вознаграждения в зависимости от степени опасности уязвимости и отрасли, средней стоимости вхождения на платформу, средней комиссии, взимаемой с каждой выплаты исследователю. В табл. 2 приведен список исследованных платформ bug bounty с указанием их географического расположения.

Информация получена с официальных сайтов платформ и не содержит данных, находящихся в ограниченном доступе. Средние значения вознаграждений по отраслям рассчитаны на основе среднего максимального и среднего минимального значений по каждой отрасли и платформе. Средние значения вознаграждений в зависимости от степени риска рассчитаны на основе среднего максимального и среднего минимального значений выплат в зависимости от уровня опасности и платформы. Все суммы приведены в долларах США.

Степень опасности уязвимостей оценивалась по системе Common Vulnerability Scoring System (CVSS) версии 3.1. На основе полученных значений определялись качественные оценки критической, высокой, средней и низкой опасности.

Таблица 2. Исследованные платформы bug bounty