Гайд из 8 шагов: как запустить программу багбаунти

Перед тем, как отдать поиск багов внешним экспертам, желательно найти и «пофиксить» простые уязвимости, самостоятельно просканировав инфраструктуру.

Также лучше проверить, не дублируются ли найденные баги в других программах или сервисах компании, для чего коллегам, ответственным за информационную безопасность, можно привлечь к сотрудничеству администраторов и разработчиков.

Определившись с тем, какие ресурсы/сервисы вы хотите разместить на багбаунти (обычно — это самые защищенные приложения), нужно решить, насколько глубоко их надо проверять. Помимо классической модели «нашел баг — получил вознаграждение», на рынок информационной безопасности потихоньку приходит комплексное отслеживание ошибок в системах — АРТ Bug Bounty.

В таком случае предлагается не только поиск уязвимости, но и реализация дальнейшей цепочки, которая может привести к нежелательным для компании последствиям. Уровень вознаграждения за поиск целого недопустимого сценария существенно выше, чем за единичные баги.

Пример программы:

В феврале 2024 года Positive Technologies запустила программу, нацеленную на внедрение условно вредоносного кода в продукты вендора. За реализацию такого сценария компания была готова заплатить 60 млн руб. Также в этом году аналогичные программы на реализацию недопустимых событий запустили компании Rambler&Co и Innostage.

Развернуть

По данным платформы Standoff Bug Bounty, среднее вознаграждение за обнаружение критической уязвимости — 590 000 руб., при этом таких ошибок будет около 12%. Но на старте вознаграждение в 100 тыс. рублей за самые опасные баги уже будет интересным для багхантеров. Гораздо больше находится «дыр» высокого (20%) и среднего (20-25%) уровня опасности, остальные баги — либо низкой критичности и стоимости, либо могут быть вообще не оплачены (в следующем шаге расскажем про это чуть подробнее).

Пример формирования бюджета:

Эти цифры вариативны, единой системы расчета нет: все зависит от правил платформы и сферы деятельности компании (по данным Positive Technologies, за самый критичный баг могут дать от нескольких тысяч до 4 млн руб.). Для этого достаточно ознакомиться с предложениями от релевантных компаний на багбаунти-платформах. При поквартальном планировании эксперты советуют заложить 40% бюджета на вознаграждения на первый квартал, так как программа в первые месяцы пользуется наибольшей популярностью, и объем отчетов велик, а на остальные три квартала распределить по 20%.

Развернуть

Багхантеры должны четко понимать, что нужно проверять и каков прайс за успешное нахождение уязвимости. Специалисты Standoff Bug Bounty помогут написать правила. Ниже — обязательные пункты.

• Какую область сервиса нужно проверять. Речь идет, к примеру, о всем сайте, или же только о разделах, с которыми работает клиент?
• Размер вознаграждения за разные уровни уязвимостей и сроки/условия их выплаты.
• Требования к формированию отчетов. Вы можете попросить не только указать информацию о найденной «дыре» и представить доказательство ее существования в удобном формате (скриншоты, запись экрана и др.), но и запросить предложения по ее устранению.

Внутри платформы есть возможность вести как открытый поиск багов, так и разместить ресурс на закрытую проверку.

На закрытых площадках круг исследователей ограничен, и информация о «дырах» в безопасности будет видна только вашим разработчикам, что приводит к более высокому качеству отчетов и большей конфиденциальности. Но тогда нужно быть уверенным, что ваш ресурс будет интересен этому ограниченному кругу экспертов. Мы рекомендуем новичкам в багбаунти сначала запускать приватную программу.

Традиционно, размещая ресурс на проверку в открытую, проще привлечь заинтересованных багхантеров, но и риск менее квалифицированных отчетов сохраняется, ведь прислать их может любой зарегистрированный специалист.

Ничего лучше быстрых выплат для повышения мотивации работать с компанией еще не придумали. Если есть возможность, можно выплатить гонорар после подтверждения обнаружения бага, не дожидаясь его устранения. Кроме того, если багхантер нашел критичную уязвимость вне объявленной зоны поиска, хорошим тоном будет все равно ему заплатить.

Конечно, ключевой мотиватор работы над поиском багов — финансовое вознаграждение. Но есть и дополнительные возможности привлечь внимание к своему проекту.

Пример формирования бюджета:

Признание профессионализма и заслуг — важный фактор для багхантеров. Можно предложить успешному эксперту повышение рейтинга на площадке, возможность разместить информацию о решении вашего кейса в публичном поле, выдать официальную благодарность от руководства компании или фирменный «мерч». Также необходимо помнить, что работа с багхантерами — это взаимовыгодное сотрудничество. Поэтому важно разбирать все недопонимания с исследователями и стараться развернуто отвечать, например, почему отчет не приняли или понизили уровень критичности уязвимости. Комьюнити багхантеров довольно узкое, поэтому слухи о недобросовестных компаниях разойдутся в нем довольно быстро.

Развернуть

Если в вашей команде достаточно опытных коллег, а объем поступающих отчетов приемлемый, то можно обрабатывать их самостоятельно. В таком случае важно прописать процесс фиксации всех отчетов и статуса обработки в единой системе (к примеру, в трекере задач), своевременно вычленять дубликаты, предоставлять багхантерам обратную связь в разумные сроки и др.

В качестве альтернативного варианта можно попросить экспертов платформы о триаже. Например, в рамках этой услуги, специалисты платформы Standoff Bug Bounty готовят подробный отчет, котором содержится подтвержденный уровень опасности уязвимостей для бизнес-процессов, сценарии их использования и возможные причины возникновения, влияние недостатков на дополнительные компоненты системы, потенциальные регуляторные и репутационные риски при эксплуатации, а также способы исправления.