Bug bounty что это
BUG BOUNTY RU
Bug Bounty — это программа, в ходе которой компания привлекает сторонних специалистов по безопасности для тестирования своего программного обеспечения на уязвимости за вознаграждение или иные бенефиты.
Почему выбирают
Bug Bounty Ru
Для бизнеса:
Для багхантеров:
Выявление уязвимостей
Быстрый доступ к краудфандингу
Валидация и арбитраж
Наличие штатных специалистов
Маркетплейс
Имплементация инструментальных средств
Повышение уровня ИБ
Полный контроль над всеми процессами
bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru bugbounty.ru
Запуск программы
Планирование
Подготовка границ и регламента программы и технического задания (правил); выбор опций программы; подписание договора.
Запуск
Публикация программы; привлечение багхантеров; опциональные сервисы.
Отчетность
Валидация уязвимостей; проверка корректности устранения; арбитраж; выплаты багхантерам.
Что такое баг-баунти
Есть два подхода к тестированию софта. Классический — когда тестировщики проверяют программу до её выхода. И есть второй, необычный — баг-баунти. Это конкурс, где хакерам и программистам предлагают на спор сломать нашу программу во имя будущей безопасности. Вот об этом и расскажем
Перед этой статьёй полезно пролистать наш цикл про тестирование.
Что такое баг-баунти
Баг-баунти (от англ. bug bounty) — открытый конкурс по поиску уязвимостей в продукте. Работает это примерно так:
- Компания делает анонс конкурса, мол, вот наш продукт — найдите в нём проблемы.
- Часто объявляют призы: деньги или приём на работу.
- В назначенное время начинается конкурс — сообщают, что именно нужно проверить и как.
- Айтишники пытаются найти уязвимости и сломать продукт. Найденные проблемы отправляют компании.
- Компания награждает победителей и исправляет ошибки.
У Яндекса подобные штуки называются «Охота за ошибками». В 2023 году за серьёзную уязвимость платят полтора миллиона рублей.
То же самое делает Тинькофф — у них другие критерии, но суть такая же: можно найти ошибку или уязвимость и получить деньги:
На что смотрят во время баг-баунти
Пока проходит баг-баунти, в компании смотрят за продуктом:
- как он справляется с нагрузкой;
- все ли системы работают штатно;
- нет ли сообщений системы о несанкционированном доступе;
- насколько продукт доступен для других пользователей.
Может оказаться так, что до конкурса сайт работал нормально, но первая же попытка найти ошибку уронила все сервисы — а всё потому, что разработчики не предусмотрели такие сценарии.
Зачем это компаниям
Баг-баунти для компаний — это возможность протестировать свой продукт или показать всем, что он надёжный. Иногда компании настолько уверена в своём сервисе, что объявляет баг-баунти для того, чтобы похвастаться своей надёжностью.
С другой стороны, такое часто делают до публичного запуска, когда хотят проверить всё на прочность. В этом случае у компании есть возможность исправить ошибки до публичного релиза.
Сколько платят
Надёргали для вас ещё публичных кейсов, чтобы показать серьёзность намерений:
- Сейчас Microsoft и Apple обещают выплаты до 1 млн долларов за критические уязвимости.
- Intel платит до 100 тысяч долларов за баг, если его найдут в железе, прошивке или софте.
- У Google сейчас можно получить до 30 тысяч долларов. В год компания тратит 3–5 млн на эту программу.
- У LinkedIn есть программа по поиску уязвимости сайта, в прошлом году премии доходили до 18 тысяч долларов.
- Максимальная выплата в программе баг-баунти у Uber — 15 тысяч долларов.
- В прошлом году канадском Квебеке местное Минцифры предлагало до 1500 долларов за баг.
Видно, что разброс большой: от полутора тысяч до миллиона долларов. Понятно, что миллион дадут за самую страшную ошибку, которая может стоить компании миллиардных убытков. Но для тех, кто профессионально тестирует софт, это может быть хорошим дополнительным заработком.
Хочу участвовать в баг-баунти — с чего начать?
Особых требований к участникам баг-баунти нет — попробовать свои силы может кто угодно. Но совсем с нуля, без опыта тестирования или разработки там будет очень сложно. Если хотите подготовиться — вот курсы для старта:
Тестирование — это билет в ИТ
Простой вход в мир ИТ, ваша первая работа и быстрый старт в профессии. Изучите основы — и за дело. Мы поможем с обучением и трудоустройством. Старт бесплатно.
Получите ИТ-профессию
В «Яндекс Практикуме» можно стать разработчиком, тестировщиком, аналитиком и менеджером цифровых продуктов. Первая часть обучения всегда бесплатная, чтобы попробовать и найти то, что вам по душе. Дальше — программы трудоустройства.
Программа Bug bounty — что это
Если вы следите за новостями ИТ и информационной безопасности, то наверняка хотя бы раз слышали о крупных выплатах какому-либо энтузиасту или профессиональному white hacker в рамках Bug bounty. Но что это такое — Bug bounty, как оно работает? Давайте разбираться.
Bug bounty — это инициатива, которая приглашает внешних исследователей безопасности (багхантеров) находить уязвимости в программном обеспечении, веб-приложениях или системах информационной безопасности компании. Багхантеры сообщают об обнаруженных уязвимостях владельцам системы, а затем им предоставляется вознаграждение за их труд и помощь в улучшении безопасности.
Зачастую багхантеры обнаруживают уязвимости, которые могут быть использованы злоумышленниками для несанкционированного доступа к системам, кражи данных или других вредоносных действий. Багхантинг предоставляет компаниям возможность предотвратить такие атаки, улучшив безопасность своих систем. Причём без дополнительной нагрузки на штат собственных специалистов, чьих знаний к тому же может не хватать для обнаружения специфичных уязвимостей.
Преимущества внедрения программы Bug bounty
- Обнаружение новых уязвимостей. Багхантеры, принимающие участие в программе, могут обнаружить уязвимости, которые могли быть упущены внутренней командой разработчиков или тестировщиков. Это помогает предотвратить возможные атаки и снижает риск нарушения безопасности.
- Аудит защитного контура независимыми специалистами. Багхантеры представляют собой независимых экспертов по безопасности, которые имеют возможность взглянуть на систему с другой точки зрения. Они могут заметить проблемы, которые внутренние команды могли упустить.
- Экономическая эффективность. Вместо содержания постоянной команды для проверки безопасности, компании могут использовать программу Bug bounty для привлечения широкого круга специалистов по безопасности. Это позволяет сократить затраты на постоянные рабочие места и обучение персонала.
- Укрепление репутации. Запуск программы Bug bounty свидетельствует о серьёзном отношении компании к безопасности. Это может положительно повлиять на репутацию бренда, так как пользователи и клиенты будут чувствовать себя более защищенными при работе с такой компанией.
- Мотивация для ИБ-специалистов. Багхантеры получают вознаграждение за обнаружение уязвимостей, что помогает привлечь к программе Bug bounty опытных специалистов и повышает шансы на обнаружение критичных уязвимостей.
В целом, программа Bug bounty является эффективным инструментом для повышения безопасности системы и снижения риска возможных атак. Она позволяет компаниям воспользоваться знаниями и опытом широкой общественности, улучшить свою защиту и поддерживать доверие пользователей.
Как работает Bug bounty
Как правило, компании используют публичную платформу и гораздо реже создают собственную программу Bug bounty. Публичная платформа представляет собой онлайн-сервис, который помогает наладить связь между компаниями, заинтересованными в закрытии уязвимостей, и багхантерами, готовыми их искать. Публичный сервис Bug bounty обеспечивает безопасную и структурированную среду для обмена информацией о найденных уязвимостях и процессе вознаграждения. В случае с частными платформами ситуация чуть менее прозрачная, хотя алгоритм взаимодействия остаётся примерно таким же.
Отметим, что на публичных платформах есть приватные программы Bug bounty. Ими пользуются компании, которые не хотят афишировать количество и особенности найденных в их инфраструктуре уязвимостей.
Вот как обычно заводится проект компании на публичной платформе Bug bounty:
- Регистрация. Компании, желающие запустить программу Bug bounty, регистрируются на соответствующей платформе (например, BI.ZONE Bug Bounty — российской платформе для багхантинга за вознаграждение). Они указывают информацию о своей системе, особенностях ИТ-инфраструктуры, правилах и размере вознаграждения за уязвимости разных типов.
- Указание на область тестирования. Компания указывает, какие именно части их системы или приложения доступны для исследования багхантерами и какие типы уязвимостей нужно искать.
- Поиск уязвимостей. Багхантеры, которых заинтересовало предложение, начинают искать уязвимости в системе, приложениях или сайте компании. Они могут использовать различные методы, инструменты и техники для обнаружения потенциальных проблем безопасности. Пентесты, физическое проникновение — возможны разные варианты.
- Сообщение об уязвимостях (bug report). Если багхантер обнаруживает уязвимость, он сообщает о ней компании через платформу Bug bounty. Он предоставляет подробное описание уязвимости, инструкции по ее воспроизведению и другую необходимую информацию.
- Проверка и подтверждение. Компания проверяет информацию о найденных уязвимостях, воспроизводит их, оценивает их серьезность и влияние на безопасность системы. Если уязвимость подтверждается, компания отправляет багхантеру вознаграждение. Это могут быть деньги, призы или что-то в этом роде.
Бесплатный тестовый доступ к облаку на 30 днейПолучить
Самые популярные Bug bounty платформы
В России есть несколько известных Bug bounty платформ. Например, Yandex Bug bounty, Bug Bounty VK и другие. Корпоративный облачный провайдер Cloud4Y также создал собственную платформу. Если смотреть шире, то можно вспомнить следующие международные платформы для поиска уязвимостей за вознаграждение:
- HackerOne (https://www.hackerone.com/). Одна из самых популярных платформ Bug Bounty. Позволяет запускать программы Bug Bounty и привлекать хакеров-исследователей. Большое сообщество исследователей безопасности, готовых находить уязвимости в системах организаций.
- Bugcrowd (https://www.bugcrowd.com/). Платформа Bug Bounty, которая объединяет компании и коммьюнити хакеров-исследователей. Имеет широкий спектр опций для организаций, включая публичные и частные программы Bug Bounty. Обеспечивает поддержку клиентам на всех этапах процесса, включая определение целей, управление программой и расчёт вознаграждений.
- Synack (https://www.synack.com/). Платформа, которая объединяет талантливых хакеров-исследователей со специалистами по безопасности внутри организации. Использует специализированные методы тестирования на проникновение, применяет автоматизацию для обнаружения уязвимостей. Сочетает усилия ИИ и человека для обеспечения высокого качества результатов.
- Cobalt (https://cobalt.io/). Платформа, которая предоставляет компаниям доступ к множеству хакеров-исследователей и специалистов по безопасности. Поддерживает публичные и приватные программы Bug Bounty. Обеспечивает непрерывный процесс пентестов и поддержку экспертов для решения обнаруженных проблем безопасности.
- Open Bug Bounty (https://www.openbugbounty.org/). Платформа, в отличие от остальных, предоставляет возможность хакерам-исследователям находить уязвимости на публичных веб-ресурсах без предварительного разрешения владельцев. Целью является максимальное раскрытие уязвимостей и общественное признание участников. Использует white hacker подход, когда исследователи сообщают компаниям о найденных проблемах для их исправления.
Что такое Bug Bounty?
В последние годы организации запускают программы вознаграждения за обнаружение ошибок, чтобы выявить и устранить уязвимости в своих приложениях. Программа вознаграждения за обнаружение ошибок позволяет этичным хакерам проверить, имеют ли приложения организации проблемы безопасности. Программы Bug Bounty позволяют независимым исследователям безопасности сообщать компании об уязвимостях в ее ИТ-инфраструктуре и получать за предоставленную информацию достойное вознаграждение. Условия программ Bug Bounty в разных организациях могут различаться. Например, некоторые компании могут вообще объявить “сезон открытых дверей”, позволяя этичным хакерам полностью проверить на прочность инфраструктуру организации. Или проверку могут ограничить отдельным приложением или страницей, а также указать какие виды уязвимостей исследователи могут тестировать. Например, разрешается поиск уязвимостей межсайтового скриптинга, однако запрещено использовать атаки типа “отказ в обслуживании”. После обнаружения уязвимости этичный хакер отправляет в организацию отчет, часто это осуществляется через отдельную платформу. Затем организация связывается с белым хакером, проверяет наличие уязвимости, устраняет ее и тестирует, корректно ли работает исправление. Когда все проверки пройдены, удачливый охотник за багами получает заслуженную награду. Сумма вознаграждения обычно зависит от степени опасности и воздействия рассматриваемой уязвимости.
Преимущества программ Bug Bounty
Программы Bug Bounty становятся все более популярными среди государственного и частного секторов. Участие в таких программах дает тестируемым организациям ряд различных преимуществ.
Обнаружение уязвимостей в усиленном режиме
Основное преимущество программы “охоты за ошибками” заключается в том, что организация выявляет и устраняет ряд уязвимостей в своих приложениях. Если уязвимости будут обнаружены и использованы киберпреступником до того, как организация сможет их исправить, то последствия для организации могут быть катастрофическими. Благодаря программе Bug Bounty у организации появляется больше шансов выявить уязвимости еще до того, как они станут использоваться в реальных атаках. В результате программа позволяет защитить репутацию компании и снижает вероятность серьезных взломов.
Снижение стоимости
Программы Bug Bounty позволяют участвующим в них компаниям экономить значительные средства, причем разными способами. Например, выплата вознаграждения за обнаруженный баг обойдется гораздо дешевле, чем устранение инцидента кибербезопасности, вызванного той же уязвимостью. Хотя суммы вознаграждений могут сильно различаться, даже самые крупные вознаграждения часто на порядок меньше, чем последствия хакерского взлома, которые могут привести к утечкам данных, остановке производственных процессов и даже к банкротству компании. По условиям программ Bug Bounty , организации платят исследователям только в том случае, если они обнаружили проблему безопасности. Это гораздо выгоднее, чем платить за тот же уровень тестирования безопасности собственными силами или через подрядчиков. Работа специалистов потребует почасовой оплаты, независимо от того, были ими найдены уязвимости или нет.
Доступ к уникальным талантам
Программы Bug Bounty позволяет организации получить доступ к талантам, которых может быть трудно или невозможно привлечь и удержать внутри компании. Многие участники программы Bug Bounty обладают высокой квалификацией и специализируются на выявлении уязвимостей. Этичные хакеры участвуют в Bug Bounty программах, так как они предлагают огромные вознаграждения опытным исследователям на регулярной основе. Брать в штат подобных исследователей накладно, их опыт и знания требует существенных расходов на заработную плату. С помощью программы Bug Bounty организация может провести тестирование на уязвимости силами большого количества этичных хакеров, обладающих разнообразными навыками, что невозможно осуществить при традиционном тестировании на проникновение или сканировании уязвимостей.
Реалистичная симуляция угроз
Одна из самых больших проблем, связанных с тестированием на проникновение и оценкой уязвимости — сделать проверки максимально реалистичными. Ведь организация хочет в первую очередь найти и устранить уязвимости, которыми с большой вероятностью может воспользоваться злоумышленник. С помощью программы Bug Bounty организация платит охотникам за ошибками, чтобы они действовали точно так же, как злоумышленники. Этичные хакеры и киберпреступники имеют примерно одинаковый уровень знаний о компании и доступ к ее системам. В результате оценки уязвимостей, выполненные охотниками за багами, с большой вероятностью будут более реалистичными.
Используйте программы Bug Bounty максимально эффективно
Программы Bug Bounty предназначены для выявления уязвимостей в системах компании в режиме реального времени. Однако, если организация и ее разработчики не учатся на своих ошибках, вознаграждения за ошибки могут повторяться, поскольку этичные хакеры будут продолжать находить одни и те же уязвимости. Поэтому, чтобы программы Bug Bounty имели максимальный эффект, разработчикам необходимо учиться на своих ошибках. Нужно своевременно проводить обучение разработчиков, чтобы научить их распознавать и исправлять ошибки, которые они допускают при написании кода. По мере того, как разработчики усовершенствуют свои знания и навыки безопасного программирования, количество уязвимостей будет уменьшаться, что приведет к снижению затрат на обеспечение безопасности приложений.