Статьи

BugHunt

24.03.2014

/

Новый проект компании РосИнтеграция. Сервис публикации программ вознаграждения за найденные уязвимости BugHunt.

Как сказал Папа Римский Франциск, интернет есть дар Божий. Интернет дал человеку ту степень информационной свободы, которую он не знал никогда. Но с большей свободой приходят и большие опасности. В том виде, в котором Интернет существует сегодня, он, фактически, анонимен. Это свойство всемирной сети привлекает многих злоумышленников, которые надеются остаться безнаказанными, прячась в глобальной паутине. Трансграничный характер киберпреступлений в значительной мере усложняет фазу расследования: объект преступления может быть в одной части света, а субъект – в другой. Все это приводит к тому, что Интернет-ресурсы подвергаются постоянным атакам, и на переднем крае обороны оказывается не армия, не правоохранительные органы, а владелец сайта и его пользователи.

К сожалению, любое программное обеспечение имеет уязвимости. Даже обладая, фактически, неограниченными ресурсами, такие компании, как Microsoft, Google, Apple допускают ошибки в своих программных продуктах, что уж говорить об остальных производителях! Поэтому в сегодняшних условиях владельцам Интернет-ресурсов необходимо применять превентивные меры по поиску уязвимостей, а не дожидаться, когда их ресурс взломают.

В качестве таких мер могут выступать:

  • оценка эффективности/аудит своими силами, либо с привлечением сторонней организации-лицензиата;
  • аттестация информационных систем;
  • запуск программы вознаграждения за найденные уязвимости (англ. bug bounty).

Наиболее надежным способом оценки защищённости сайта является, конечно, аудит (пентест). Но за участие сильной команды экспертов, вам придется заплатить семизначную сумму, что просто не по карману многим организациям. Аттестация информационных систем по требованиям ФСТЭК/ФСБ рассчитана, главным образом, на регуляторов, и не отражает реального состояния информационной безопасности, так как угрозы в глобальной сети меняются постоянно, а руководящие документы регуляторов – в лучшем случае раз в 5 лет.

Перспективным направлением оценки эффективности безопасности Интернет-ресурсов организации является программа вознаграждения за найденные уязвимости.

Программа вознаграждения –это публичное обещание награды на установленных организацией условиях за предоставление информации об уязвимостях Интернет-ресурсов организации.
Программы вознаграждения за найденные уязвимости есть у многих компании, таких как Яндекс, Qiwi, Facebook, Google и многих других (полный перечень можно посмотреть здесь).
Преимуществом программы вознаграждения за найденные уязвимости, по сравнению с другими методами оценки, является то, что оплата осуществляется за найденные уязвимости, а не за затраченные исследователем человеко-часы.
Кроме того, программа вознаграждения за найденные уязвимости позволяет привлечь к сотрудничеству большее количество специалистов по информационной безопасности, чем под силу даже крупной организации-аудитору.

Как правило, организации, имеющие программы вознаграждения за найденные уязвимости, пользуются большим доверием со стороны клиентов и партнёров, так как открытая оценка эффективности системы информационной безопасности даёт бо́льшие гарантии.

Таблица 1. Сравнение различных форм проведения оценки эффективности СОИБ.

Аттестация/АудитТестирование на проникновениеПрограмма вознаграждения
Кем проводится?Организацией-аудиторомГруппой специалистовСообществом специалистов
Чем гарантирован результат?Репутацией аудитораРепутацией специалистаНезависимой оценкой и открытостью программы
От чего зависит стоимость работ?От затраченных человеко-днейОт затраченных человеко-днейОт количества и опасности найденных дыр

Эффективность программы вознаграждения за найденные уязвимости напрямую зависит от качества организации процесса и количества привлеченных к оценке специалистов. Сложности программы связаны с большим количеством «ложных срабатываний», дублирующихся отчетов, постоянной техподдержкой и так далее. Чтобы решить все эти проблемы, мы создали сервис BugHunt.

BugHunt (https://bughunt.ru) – это единая площадка для агрегации программ вознаграждения и отчетов исследователей о найденных дырах. Наш сервис позволяет любой организации на своих условиях запустить программу вознаграждения за найденные уязвимости, привлечь к участию в программе независимых исследователей и получить подробный отчет о найденных дырах.

При этом наши специалисты

  • разработают программу вознаграждения за найденные уязвимости с учётом особенностей Вашей организации,
  • вместе с Вами определят размеры вознаграждения, сроки проведения и общий призовой фонд,
  • опубликуют Вашу программу на едином портале BugHunt.ru,
  • будут продвигать Вашу программу среди сообщества исследователей безопасности,
  • будут принимать и обрабатывать все поступающие отчёты о найденных уязвимостях,
  • и по результатам проделанной работы предоставят Вам итоговый отчёт с рекомендациями по устранению выявленных дыр.

Если Вас заинтересовал наш новый сервис, Вы можете запросить дополнительные материалы по электронной почте bughunt@rosint.net, или оформить заявку на сайте Сервиса.