Чтобы повысить защищённость своих систем, компании запускают на специальных платформах программы баг-баунти и платят белым хакерам за найденные уязвимости. Как получить максимальную пользу от каждого отчёта исследователя безопасности? Обсудили этот вопрос с Анатолием Ивановым, руководителем направления Standoff Bug Bounty в Positive Technologies.
- Каким компаниям может понадобиться триаж
- Как мы анализируем отчёты и воспроизводим уязвимости
- Как мы помогаем исследователю, службе ИБ и команде разработки найти общий язык
Метод триажа (фр. triage — сортировка) больше знаком врачам, а не специалистам по информационной безопасности. В медицине триаж нужен в тех случаях, когда количество пострадавших превышает возможности принимающего лечебного учреждения. В такой ситуации триаж помогает определить пациентов, которым нужно помочь в первую очередь.
В менеджменте этот термин используют в похожих ситуациях: если все задачи невозможно выполнить в срок, нужно выбрать самые важные и завершить их вовремя. В кибербезопасности специалисты по триажу занимаются верификацией уязвимостей. Сортировка и приоритизация брешей особенно важны в программах баг-баунти, в которых могут участвовать сотни исследователей. Как определить проблемы, которыми нужно заниматься в первую очередь, и не утонуть в потоке баг-репортов?
Программы баг-баунти — популярный современный инструмент информационной безопасности, который позволяет бизнесу платить только за найденные уязвимости, а не за время работы по поиску недостатков.
На платформе Standoff Bug Bounty исследователи ищут проблемы безопасности в сервисах Ozon, «Т-Банка», Минцифры (включая «Госуслуги»), Wildberries, VK и ещё более 50 компаний и организаций. Дополнительную услугу триажа заказывают компании, которым важна профессиональная и оперативная экспертиза найденных уязвимостей.
В результате работы команды триажа компании получают заключение о каждом подтверждённом отчёте, составленное опытными специалистами: описание уязвимости, уровень её опасности для бизнес-процессов, сценарии использования, причины возникновения, влияние на дополнительные компоненты системы, потенциальные регуляторные и репутационные риски при эксплуатации, а также способы исправления.
Каким компаниям может понадобиться триаж
Услугой сортировки уязвимостей пользуются самые разные организации. К нему прибегают даже те компании, в которых подразделения по управлению уязвимостями уже сложились и имеют большой опыт. В числе наших заказчиков, например, Минцифры с её ресурсами электронного правительства. Есть и другие известные компании, которые разместили свои программы в приватном режиме. Такие компании отдают этот процесс на аутсорсинг проверенным специалистам, чтобы снизить нагрузку на своих сотрудников.
Есть категории клиентов, которым триаж нужен по другим причинам. Например, это компании, в которых процессы по управлению уязвимостями и продуктовой безопасностью пока только формируются. Триаж также нужен небольшим компаниям, в которых безопасники не только занимаются управлением уязвимостями, но и внедряют практики безопасной разработки, пишут и совершенствуют правила анализа защищённости, помогают командам моделировать угрозы и т. д. У таких небольших, но многозадачных команд может быть недостаточно времени для полноценной верификации уязвимостей.
Если команда ИБ в компании не справляется с обработкой отчётов и последние остаются без ответа по несколько месяцев, то баг-хантеры редко сохраняют лояльность к таким программам и быстро теряют интерес к ним. Команда триажа Standoff Bug Bounty помогает ускорить процесс обработки отчётов. Мы верифицируем уязвимость в течение нескольких дней, после чего передаём заключение клиенту. Кроме того, во время сортировки мы отсеиваем дубликаты, закрываем отчёты, в которых не было описано доказанное негативное влияние на инфраструктуру заказчика, либо корректируем оценку опасности уязвимости, если она была завышена или занижена.
Компаниям, которые впервые выходят на баг-баунти, мы также рекомендуем воспользоваться услугой триажа. На начальном этапе может возникать недопонимание с исследователями — например, из-за оценки уровня опасности уязвимости, скорости рассмотрения отчётов или качества верификации. Без практики разрешения таких ситуаций сотрудники из службы ИБ могут совершить действия, которые негативно повлияют на репутацию компании в глазах экспертного сообщества. Если у компании есть укомплектованный штат подразделения по безопасности приложений с опытом сопровождения программ баг-баунти, триаж может быть внутренним. Но такие компании в России сегодня можно пересчитать по пальцам.
Как мы анализируем отчёты и воспроизводим уязвимости
Когда компания подключается к платформе Standoff Bug Bounty, мы знакомимся с её ресурсами, изучаем бизнес-процессы и возможные уязвимости, чтобы подготовиться к анализу отчётов исследователей.
Когда баг-хантер сдаёт отчёт об уязвимости, мы сообщаем ему, что получили документ, после чего проверяем, были ли аналогичные отчёты, чтобы отсеять дубликаты. Далее определяем, достаточно ли информативен отчёт. Если он неполон, говорим баг-хантеру, чего не хватает.
После этого необходимо понять, насколько та или иная уязвимость опасна для конкретного приложения или ПО, определить, какая технология используется, и разобраться с архитектурой уязвимого приложения.
Иногда баг-хантеры присылают отчёты, в которых отсутствует дополнительная информация — например, пошаговое описание процесса нахождения бага. Поэтому мы пытаемся одновременно воспроизвести уязвимость и понять, как можно её обнаружить и на каком этапе произошла ошибка. Обязательно анализируем ограничения, корректность всех необходимых данных и настроек: бывает, что в теории эксплойт должен работать, а на практике гипотеза не подтверждается. К анализу некоторых отчётов подключается вся команда.
В итоге мы предоставляем информацию, которая помогает команде информационной безопасности клиента понять, в каком компоненте находится уязвимость и к чему может привести её эксплуатация. Мы предлагаем сценарии её устранения и подсказываем, с каким подразделением в команде разработки стоит связаться для скорейшего исправления бага.
Количество баг-хантеров активно растёт, а качество сдаваемых ими отчётов напрямую зависит от опыта. Наличие триажа ограждает компании от отчётов начинающих «охотников». Совсем молодым баг-хантерам, которые зачастую присылают очень сырые отчёты, мы стараемся объяснить, как устроено баг-баунти и где можно найти информацию, чтобы в следующий раз сдать уязвимость более высокого уровня опасности. Наши подопечные быстро учатся и через несколько месяцев уже приносят пользу ИБ-сообществу.
Как мы помогаем исследователю, службе ИБ и команде разработки найти общий язык
На этапе анализа в отдельных случаях наши специалисты могут запросить дополнительные данные как у клиента, так и у баг-хантера. В этот период важна скорость их реакции.
После отправки отчёта клиенту мы сообщаем исследователю, что его отчёт передан в работу команде безопасности вендора. Дальше команда безопасности клиента проводит свой анализ, после чего возможны несколько вариантов развития событий. Как правило, клиент согласен с нашей экспертизой и быстро выносит заключение. Мы сообщаем об этом исследователю, все остаются довольны, и наша работа над уязвимостью завершается. В некоторых случаях у баг-хантера появляются уточняющие вопросы. Тогда мы помогаем команде безопасности клиента их разъяснить.
Если баг-хантер в своём отчёте квалифицировал уязвимость как критически опасную, а наши эксперты пришли к выводу, что её уровень опасности — высокий, в заключении мы отдельно укажем, какие аргументы нужно будет привести исследователю и как объяснить ему решение о понижении уровня опасности. Большинство клиентов прислушиваются к нам и не испытывают проблем в коммуникации с баг-хантерами.
Не менее важно взаимодействие между службой ИБ клиента и его командой разработки. Поэтому мы стараемся составлять своё заключение об уязвимости так, чтобы его мог понять и разработчик, и специалист по ИБ. Это помогает упростить их совместную работу по устранению бага.
Если у команды безопасности клиента или у баг-хантера возникают дополнительные вопросы, их можно задать нам не только на Standoff Bug Bounty, но и на других площадках, например в Telegram. Мы стараемся отвечать в течение рабочего дня.
Разбирать отчёты об уязвимостях — ответственная и трудоёмкая работа, которая усложняется ещё и тем, что ни один отчёт не похож на другой. Например, по программе баг-баунти Wildberries за год было отправлено более 500 отчётов, а по программе VK — свыше 300. Триаж с помощью экспертов Positive Technologies позволяет ускорить верификацию уязвимостей и в целом управлять ими более эффективно. Это помогает компаниям быстрее исправлять недостатки и направлять ресурсы внутренних подразделений кибербезопасности на более приоритетные задачи.
