Баг на длинную дистанцию
Сколько стоят программы по поиску уязвимостей Bug Bounty
Нанять независимых «белых хакеров» для защиты бизнеса — в целом новый опыт для большинства российских компаний. Впрочем, в мировой практике и во многих российских публичных многопользовательских сервисах — банках, интернет-магазинах, IT-компаниях — это уже стало нормой. Объективно и достоверно оценить защиту бизнеса и сформировать доверие к новым продуктам и сервисам помогают программы Bug Bounty («охота за багами»). В ходе них компании выплачивают вознаграждение «белым хакерам» за найденные уязвимости в их информационных системах, сервисах или приложениях. Во сколько они могут обойтись заказчикам, какие есть способы для оценки Bug Bounty и какой сервис предлагают платформы-агрегаторы по поиску дыр в IT-контуре?
Зарубежные агрегаторы Bug Bounty объединяют тысячи компаний — к примеру, только на платформе HackerOne опубликовано около 4 тыс. программ. Взаимодействуют с исследователями безопасности (багхантерами) и отечественные компании с сильными IT-подразделениями: на начало текущего года около 30 компаний из России имели свои программы по «отлову» уязвимостей, среди них: «Яндекс», Ozon, «Тинькофф», Wildberries и другие.
В среднем за найденную уязвимость такие программы платят от $50, стоимость же критической уязвимости на HackerOne в 2021 году составила $3 тыс. В отдельных случаях сумма может быть значительно выше: совсем недавно за найденную уязвимость в Instagram компания Meta (Meta и соцсети компании Facebook и Instagram признаны экстремистскими и запрещены в РФ) заплатила исследователю $49,5 тыс., или почти 3 млн руб., а российская VK готова платить за найденную уязвимость критического уровня опасности до 1,8 млн руб.
Весной зарубежные агрегаторы Bug Bounty отказались работать с российскими компаниями и исследователями, но в России уже появились собственные платформы: The Standoff 365 Bug Bounty (standoff365.com) от Positive Technologies, bugbounty.ru, BI.Zone Bug Bounty. На них переходят как работавшие ранее на иностранных платформах компании, так и новые заказчики, чья зрелость в области кибербезопасности возросла. Одни платформы сосредоточены на копировании западного функционала, другие привносят новые возможности, которых нет ни в одном международном агрегаторе. Например, на The Standoff 365 исследователям предлагается не только находить уязвимости в продуктах и сервисах, но и демонстрировать пути к реализации недопустимых событий целиком — иными словами, показывать, что могло бы произойти, если бы уязвимость не была обнаружена. Это позволяет обращать внимание заинтересованных пользователей на бреши в безопасности, которые могут привести к остановке бизнеса.
Компания, которая только начинает осваивать практику Bug Bounty, сразу сталкивается с рядом вопросов. Как грамотно оценить проект? Как не «слить» напрасно весь бюджет и получить максимальный эффект от взаимодействия с багхантерами? Об этом сотрудники Positive Technologies поговорили с руководителями служб информационной безопасности компаний, имеющих большой опыт в запуске подобных программ.
Сюрприз из пентеста
Пожалуй, самым быстрым способом оценить стоимость программы Bug Bounty станет экспертная оценка стоимости пентеста. Пентест, или тестирование на проникновение,— комплекс мер, которые имитируют реальную атаку на сеть или приложение, его цель — понять, может ли гипотетический злоумышленник взломать систему. Для этого «белые хакеры» сами пытаются ее взломать или получить контроль над данными. Такой тест проводится непублично, а его цели могут совпадать с ожиданиями от Bug Bounty: найти уязвимые места и пробить систему защиты сервиса.
Именно так поступила на запуске Bug Bounty «Азбука вкуса» в 2020 году. «Перед публичным запуском программы мы обратились в ряд российских компаний для оценки защищенности в режиме "черного ящика" (заключаются в проведении работ по анализу и оценке защищенности без каких-либо исходных данных, кроме его адреса.— “Ъ”),— рассказывает технический директор "Азбуки вкуса" Дмитрий Кузеванов.— В оценку вошли домены av.ru, azbukavkusa.ru, сервисы в беспроводных сетях "Азбуки вкуса". Получив несколько разных оценок, на программу Bug Bounty в итоге заложили сумму, аналогичную оценке одного из сильнейших игроков на рынке пентеста».
Как любой другой подход, этот обладает своими преимуществами и недостатками. К числу первых относится то, что он подходит для новых на рынке продуктов и сервисов, а также его скорость и простота. К недостаткам же подхода стоит отнести его невысокую точность: компании оценивают сложность работ и объем задачи, но не ущерб от реализуемых бизнес-рисков.
Критический уровень
Критические уязвимости в Bug Bounty оцениваются наиболее высоко, именно за них компании платят сотни тысяч и даже миллионы рублей. Такие уязвимости больше всего влияют на бизнес и могут наделать много шума, если будут проданы на черном рынке. Например, атака шифровальщика на американскую трубопроводную компанию Colonial Pipeline в 2021 году привела к введению чрезвычайного положения в 17 штатах. За восстановление доступа к компьютерной сети компания заплатила хакерам выкуп $5 млн, сообщало Bloomberg со ссылкой на источники. Это произошло 7 мая 2021 года — в день кибератаки, которая привела к приостановке работы трубопровода. Но происходит такое нечасто: на одну критическую уязвимость приходятся десятки или даже сотни уязвимостей низкого и среднего уровня.
Компании, которые назначают стоимость критической уязвимости исходя из оценки потенциального ущерба, могут оценить стоимость выплат «белым хакерам» по программе Bug Bounty за первый год как 20–30 стоимостей критических уязвимостей. «При оценке бюджета мы стараемся заложить максимальную сумму — обычно это 15–20 критичных уязвимостей,— рассуждает директор по кибербезопасности Rambler & Co Евгений Руденко.— Однако это наша собственная формула расчета, которая учитывает предварительный динамический аудит и регулярное автоматическое сканирование, например, DAST-решением (от англ. "dynamic application security testing" — "динамическое тестирование безопасности приложений"; автоматическое сканирование, которое имитирует вредоносные внешние атаки с попытками эксплуатации распространенных уязвимостей, задача — обнаружить незапланированные результаты раньше, чем это сделают злоумышленники.— “Ъ”). Таким образом можно отсеять большинство простых уязвимостей и не платить за них деньги».
Это значит, что такой способ подойдет, только если вы регулярно анализируете защищенность альтернативными инструментами и уверены, что багхантеры не принесут огромное количество уязвимостей низкой критичности, которые съедят весь бюджет. Плюсы подхода в том, что он подходит для давно существующих сервисов и продуктов, также это просто и быстро, а минусы: он подходит только для компаний с выстроенными процессами автоматического и ручного анализа защищенности.
Поэтапная разбивка
Управление уязвимостями в любой компании состоит из нескольких частей: выявления брешей, приоритизация и контроль их устранения. В зависимости от зрелости этого процесса искать уязвимости можно автоматизированно, с помощью коммерческих и open source решений, а также используя пентесты или открытое сообщество исследователей безопасности (Bug Bounty). На российском рынке встречаются разные варианты.
По словам вице-президента и директора по информационной безопасности VK Алексея Волкова, компания уже более девяти лет практикует взаимодействие с независимыми исследователями безопасности посредством Bug Bounty: «Мы применяем различные инструменты, чтобы укрепить киберзащиту, и давно используем Bug Bounty для проверки качества наших сервисов, видим в этом реальную, практическую пользу». С 2013 года, продолжает он, VK получила более 15 тыс. отчетов, что позволило «усилить защиту данных пользователей и исправить уязвимые места». Всего за время действия программы на выплаты было направлено более 185 млн руб.
Размер выплат по программе Bug Bounty напрямую зависит от того, насколько успешно компания работает с другими инструментами поиска уязвимостей. Процедура строится по принципу слоеного пирога. В его основе — автоматический анализ сканером уязвимостей. В результате анализа вы получите большое количество уязвимостей, без знания которых запускать Bug Bounty нет смысла: самые хитрые хакеры в первую очередь «натравят» сканер на вашу инфраструктуру, а регулярно платить за каждый неустановленный патч исследователям будет куда дороже, чем купить сканер.
Затем следует пентест. Если продолжать аналогию с пирогом, это «начинка», самая «вкусная» часть, которая помогает найти как точки проникновения в инфраструктуру, так и более глубокие проблемы в архитектуре, настройках и работе с IT-инфраструктурой вплоть до оценки возможности реализации недопустимых для компании событий. Пентест проводят исследователи безопасности, и обычно он связан с жизненным циклом продукта или сервиса. Наибольший эффект компания получает на этапе запуска нового продукта или обновления, получая усредненную оценку его защищенности. Клиент при этом платит за факт проведения такого рода тестирования, а не за полученный результат.
Наконец, Bug Bounty — непрерывный процесс исследования защищенности на всех этапах жизненного цикла продукта. В этом формате исследователи разного уровня будут присылать уязвимости различной критичности и ожидать оперативного подтверждения и выплат. Важно, что в случае Bug Bounty клиент платит только за результат, сколько бы времени багхантер ни потратил на поиски уязвимости. Это позволяет значительно экономить. Однако если в компании не выстроен процесс работы с уязвимостями с помощью автоматических сканеров, а новые релизы не проверяются пентестерами, высоки шансы просто «слить» бюджет на поиск дырок: багхантеры будут приносить отчеты об уязвимостях пачками, а закрыть их вы не успеете.
В ряде случаев бизнес использует Bug Bounty как экономичную альтернативу пентесту: «Bug Bounty при той же эффективности может быть выгоднее пентеста и по бюджету, и по формату,— считает Евгений Руденко.— В программе может одновременно участвовать огромное количество специалистов: ни один подрядчик не предложит такого разнообразия хакеров с разными профильными знаниями. Платит компания при этом только за фактически найденные уязвимости, а не за факт поиска».
Таким образом, если резюмировать: в компаниях с выстроенным процессом управления уязвимостями (vulnerability management) уже есть понимание влияния уязвимостей разной критичности на бизнес, поэтому бюджет на Bug Bounty можно рассчитать как 30–50% от суммарных затрат на автоматическое выявление уязвимостей и проведение пентестов.
К преимуществам этого метода можно отнести то, что процессы нетрудно наладить, а работа с уязвимостями Bug Bounty сразу интегрируется в общее управление уязвимостями. К тому же он лучше всего подойдет для оценки вывода дополнительных сервисов и продуктов в Bug Bounty. Изъянами же можно считать то, что такой подход чреват все еще низкой точностью, к тому же он не подойдет для компаний с только строящимися процессами управления уязвимостями.
Оценка step by step
Менее быстрый, но последовательный способ оценить стоимость Bug Bounty для компании заключается в постепенном открытии программы все большему числу исследователей с параллельным управлением стоимостью уязвимостей.
Например, на первом этапе можно реализовать закрытую программу Bug Bounty, отобрав для участия в ней наиболее сильных багхантеров. Выплаты для них обычно ставятся выше рынка, чтобы привлечь максимальный интерес специалистов за короткий период. По результатам этапа компании нужно оценить, во-первых, сколько отчетов и какого уровня критичности уязвимости были найдены, а во-вторых, сколько времени уходит на обработку отчетов и исправление уязвимостей.
Опытные исследователи обычно приносят небольшое количество уязвимостей, но их критичность довольно высока. Это нормально: на следующем этапе этот показатель значительно снизится. Однако если багхантеры на закрытом исследовании приносят множество уязвимостей низкой и средней критичности, компании стоит повременить с запуском открытой программы и усилить внутренние процессы поиска и устранения уязвимостей. Если этого не сделать, можно потратить бюджет очень быстро. На этот этап можно выделить бюджет в размере пяти-десяти критических уязвимостей, закрыв его по истечении срока (один-три месяца) или по окончании бюджета.
После проведения закрытого этапа компания может приступить к открытой публикации программы. Стоимость уязвимостей вначале может быть в три-пять раз ниже рынка: после первой волны интереса привлечь багхантера к программе можно, постепенно повышая выплаты и к концу года делая их выше рынка. Общая же сумма выплат за месяц в открытой и закрытой программе может быть близка.
Чтобы оценить годовую стоимость проекта, необходимо посчитать стоимость закрытой программы как среднюю за период и продлить ее на год. Например, если бюджет на нее закончился через 3 месяца, то за год (12 месяцев) общий бюджет на Bug Bounty можно рассчитать, как четыре стоимости закрытой программы.
Такой подход позволяет оценить сразу не только бюджет (причем точнее, чем у других способов), но и процессы управления уязвимостями как для новых, так и для давно существующих сервисов. Впрочем, и длится он дольше других.
«Бюджетные» маневры
Запуск Bug Bounty не обходится без принятия решения о справедливой стоимости уязвимости. Важно соблюсти баланс: при слишком высоких вознаграждениях опять же есть риск исчерпать бюджет на самом старте, а при низких — не привлечь исследователей и не достичь целей программы.
При этом стоимость одного и того же типа уязвимости может отличаться в тысячи раз для разных сервисов: уязвимость произвольного исполнения кода в сайте-визитке может привести к дефейсу сайта (то есть к его взлому, при котором главная, как правило, страница заменяется на другую — обычно вызывающего вида) и репутационным издержкам, а в платежном сервисе — к краже денег клиентов и потере доверия клиентов к компании.
Оценивать нужно двумя способами: с помощью анализа конкурентов и стоимости недопустимых событий. Например, в Positive Technologies проанализировали, сколько российские компании готовы платить за найденные уязвимости: уязвимости низкой критичности стоят до 34 тыс. руб., средней критичности — до 116 тыс. руб., критические — в среднем 393 тыс. руб. Это средние по рынку показатели. Клиенты платформы The Standoff 365 Bug Bounty, в свою очередь, ориентируются на стоимость уязвимостей у прямых конкурентов, ведь здесь и влияние на бизнес будет максимально схожим, и в программу придут исследователи со схожей специализацией.
По словам директора экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексея Новикова, оперировать только средними ценами на рынке недостаточно: важно учесть потенциальный ущерб от уязвимости, то есть стоимость реализации недопустимого события. «Если это событие может привести к остановке бизнеса, отчет багхантера конкретно для этой компании о последовательном наборе действий, включая уязвимость, ее эксплуатацию, повышение привилегий, может оцениваться значительно выше конкурентов,— продолжает он.— Сегодня немногие платформы работают с отчетами о полной цепочке атаки, однако именно подход на основе реализации наиболее критичных для компании рисков значительно повышает бизнес-ценность программ Bug Bounty».
Из чего состоит бюджет
Стоимость программы Bug Bounty складывается из следующих компонентов: выплаты багхантерам, стоимость закрытия найденных уязвимостей и привлечение исследователей на программу (маркетинг). О выплатах багхантерам говорили выше, а стоимость закрытия уязвимостей полностью зависит от сервиса и его бизнес-процессов.
Неочевидной денежной нагрузкой для компании, которая только планирует запуск Bug Bounty, может стать построение взаимоотношений с багхантерами и привлечение их интереса к программе. Общение с багхантерами, анализ отчетов (иногда багхантер присылает «пачку» уязвимостей, которые увидел сканером), проведение выплат — задача для целого отдела. В то же время компании необходимо найти каналы коммуникаций с хакерами, рассказать им о своей программе, заинтересовать и постоянно напоминать о себе — по сути, выстроить полноценную PR-кампанию проекта. Чтобы не заниматься этим самостоятельно, существуют платформы-агрегаторы Bug Bounty. За определенную часть от стоимости выплат они возьмут на себя весь пул задач по взаимодействию с хакерским сообществом и привлечению исследователей.
Например, The Standoff 365 Bug Bounty предлагает заказчикам полный комплекс работ по взаимодействию с багхантерами: от публикации программы на платформе до предпроверки отчетов, проведения выплат и привлечения сотен исследователей с профильным опытом.
«Positive Technologies имеет большой опыт работы в индустрии кибербезопасности, авторитет в сообществе и одну из сильнейших на рынке экспертиз, что является дополнительной гарантией в привлечении специалистов и решении возможных спорных ситуаций,— объясняет Евгений Руденко из Rambler & Co.— На отечественном рынке платформа The Standoff 365 Bug Bounty выглядит наиболее зрелым решением, поэтому от участия в программе мы ожидаем вовлечения большого числа "белых хакеров", сильной экспертизы и, как следствие, дополнительного повышения уровня защищенности наших проектов и сервисов».
Резюме
Найти единый и подходящий для всех способ оценки бюджета на программу Bug Bounty непросто: в зависимости от зрелости процессов управления безопасностью и критичности сервисов для бизнеса, новизны и частоты обновления продукта стоимость двух разных сервисов для одной и той же компании может отличаться в разы. Каждый из вышеперечисленных вариантов не раз опробован различными компаниями и доказал свою эффективность для них. Оценка бюджета — необходимый и важный этап запуска Bug Bounty, если решение взаимодействовать с багхантерами и открыто и доверительно работать над повышением безопасности своих клиентов принято. А это значит, что первый, но самый важный шаг уже сделан.