Алексей Гришин, VK: Не стоит считать, что все хакеры одержимы только деньгами и личной выгодой

Алексей Гришин, руководитель направления Bug Bounty ИБ VK, рассказал порталу Cyber Media о том, как развивается рынок Bug Bounty в России, специфике ведения багбаунти-программ со стороны компаний и лучших практиках взаимодействия с багхантерами.

Cyber Media: У VK, без малого, десятилетний опыт участия в разных программах Bug Bounty. В августе 2022 года ваша программа появилась и на российских площадках. Если сравнивать Bug Bounty с другими offsec-инструментами (внутренний или внешний пентест, автоматический анализ), насколько он эффективен и в чем его преимущества перед другими видами анализа защищенности?

Алексей Гришин: VK — одна из первых компаний в России, которая начала платить внешним исследователям безопасности. С 2013 года VK получила более 16 000 отчетов, что позволило усилить защиту данных наших пользователей. Всего за время действия программы на выплаты было направлено более 185 миллионов рублей. Поиск уязвимостей благодаря услугам независимых исследователей выходит для компании дешевле пентеста примерно в 7-7,5 раз.

Сравнивать Bug Bounty с автоматическими анализаторами и сканами не совсем корректно, потому что процесс автоматизированной проверки всегда проходит до выхода продукта или сервиса на Bug Bounty. Если выводить программу без исследования этими инструментами, то первое, что сделают независимые исследователи – это протестируют продукт с помощью своих автоматизированных решений сканирования. Но это будет неэффективный и финансово невыгодный результат. Компании всегда важно получить более изощренные и интеллектуальные баги, а не автоматизированный результат.

Помимо основной функции по выявлению уязвимостей у Bug Bounty есть и вторичная – тренировочно-педагогическая, потому что с помощью внешних исследователей внутренние службы ИБ оттачивают свои навыки максимально быстрого устранения инцидентов. Мы обрабатываем критические уязвимости по единому регламенту, не разделяя подходы в устранении по источникам проблем или лояльности атакующей стороны.

Cyber Media: Исходя из Вашего опыта, если компания приняла решение выйти на Bug Bounty платформу, какие подготовительные действия ей стоит произвести, чтобы избежать сложностей на запуске?

Алексей Гришин: Первое, что необходимо сделать – это проверить готовность сервиса или продукта к выходу на Bug Bounty платформу по формальным признакам:

1. Наличие общих точек коммуникации с командами продукта/сервиса: создан ли чат, в котором будут общаться все участники программы по Bug Bounty; выделены ли ответственные, в том числе, от администрирования и разработки. Затем важно проверить, что есть возможность постановки задач на исправление (доступ в локальный таск-трекер) у аналитиков ИБ и руководителя Bug Bounty программ для контроля исполнения.
2. Многокритериальный анализ технической готовности выхода на Bug Bounty: как давно проводились пентесты, когда был внутренний аудит, запущено ли сканирование инфраструктуры изнутри и снаружи, работают ли системы статического и динамического анализа кода, ведется ли поиск утечек, а также установлены ли на серверы все средства защиты и насколько они соответствуют корпоративному стандарту.

Такой подход отвечает требованиям крупных организаций и холдингов – его отличает наличие централизованного процесса поддержки. В VK есть единая Bug Bounty, которая объединяет множество различных программ, но при этом синхронизированных между собой по ценам и подходам к обработке отчетов.

Второе – установить размер вознаграждения за найденные типы ошибок. В зависимости от уровня защищенности сервиса цена за типовую уязвимость ранжируется – чем выше уровень защиты, тем дороже оплата произвольного исполнения кода (RCE) в сервисе.

Третье – составить маркетинговое описание проекта, указать логотипы и ссылки. Проект должен быть привлекателен, актуален и верно позиционироваться на всех Bug Bounty платформах. От момента старта проекта до анонса в комьюнити исследователей в среднем уходит порядка двух недель.

Cyber Media: Bug Bounty – это не только техническое, но и социальное взаимодействие, причем с самыми разными людьми. Регулярно случаются споры относительно оценки уязвимости, скорости рассмотрения репортов, появления дубликатов. Как компании эффективно разрешать эти ситуации, оставаясь привлекательными для комьюнити багхантеров?

Алексей Гришин: Процесс взаимодействия с независимыми исследователями – один из самых сложных в Bug Bounty. Поэтому первое, что мы делаем, когда получаем отчет, – стараемся максимально критично отнестись к своей работе, поставив себя на место самого исследователя, и проявить максимум эмпатии к нему.

Конфликты мнений могут периодически возникать, и аналитики ИБ должны быть к этому морально и профессионально готовы. Важно уметь хорошо и аргументированно доказывать свою позицию, опираясь на четко прописанные правила и таблицу вознаграждений.

Помогают также единая механика и типовые ответы на приходящие запросы. Такой подход подсознательно сделает диалог более прогнозируемым и спокойным. В программах VK мы всегда выражаем нашу благодарность за каждый из сданных отчетов и отмечаем, к какому пункту из таблицы вознаграждений была причислена выплата и/или же она была бонусной.

Наконец, мы минимум два раза в неделю собираемся всей командой Bug Bounty внутри и оцениваем найденные уязвимости. Чаще всего обсуждается сам факт наличия проблемы в том или ином отчете и/или размер вознаграждения хакеру. Такое вовлечение аналитиков в процесс обсуждения помогает им получить важные знания и аргументы, которые они в дальнейшем смогут транслировать исследователю.

Cyber Media: Как, на Ваш взгляд, должна быть выстроена работа с репортами в компании с момента их получения до устранения выявленной уязвимости?

Алексей Гришин: В VK уже давно сформирован четкий процесс от момента получения репорта до его полного закрытия и финальной коммуникации с исследователем. Я бы выделил несколько важных шагов.

Первое, что оценивает аналитик, когда получает новый отчет на обработку, это его применимость и понятность. Если отчет не полный, к исследователю нужно вернуться за уточнениями. В случаях, когда все описано подробно и доступно, репорт валидируется и проверяется на соответствие правилам программы. Валидные отчеты проверяются на статус дубликата, и если проблема оказывается уникальной, то она берется в работу.

На общей внутренней встрече принимается решение будет данный отчет оплачен или нет, после чего мы информируем исследователя об этом. Для ускорения процесса присуждение оплаты и исправление уязвимости часто проходят параллельно.

После мы возвращаемся к исследователю с просьбой о повторном тестировании. Если он подтверждает, что все было исправлено, то получает свою выплату (если этого не было сделано ранее) и может начать с нами диалог о разглашении отчета для личного PR и/или обучения других участников сообщества.

Cyber Media: Российский рынок за последний год очень сильно изменился: появились не только отечественные платформы, но и выраженный интерес государства к такому формату тестирования инфраструктуры. На Ваш взгляд, как будет развиваться этот рынок дальше?

Алексей Гришин: Рынок Bug Bounty развивается в России классическим волновым методом. Мы видели яркий спад активности в начале 2022, но уже с середины года началась фаза оживления. На российском рынке появились сразу две новые площадки Bug Bounty, очень яркие и конкурентоспособные. Я говорю о платформах от Positive Technologies и Bi.Zone.

В данный момент российский рынок Bug Bounty находится в фазе подъема, активно развиваясь и демонстрируя рост количества программ и выплат в них. VK здесь находится в тренде: мы уже представлены на всех трех российских площадках, включая – bugbounty.ru. Мы уже подняли максимальные выплаты на всех программах в два раза. В будущем бюджеты и рынок в Bug Bounty будут только увеличиваться.

Cyber Media: Практика общения с хакерами: какие рекомендации для владельцев программы можно дать? Расскажите, чем этичные хакеры отличаются от злоумышленников, какие принципы они соблюдают и почему им можно доверять.

Алексей Гришин: Главное, что можно порекомендовать владельцам программ – это писать подробные и четкие правила, всегда им соответствовать при выплатах и объяснять исследователям, почему была определена именно такая сумма.

Также стоит отметить, что важно следить не только за полнотой, но и за скоростью ответа. На текущем этапе развития Bug Bounty в России многие аналитики при разборе присланных отчетов отвечают крайне медленно, а для исследователя скорость ответа важна. Он отрабатывает только один отчет – свой, и им важна скорость реакции на выполненную работу. По этой же причине с исследователями нужно разговаривать и стараться уладить любое его недовольство. Они не будут приносить свои отчеты туда, где их не ждут или относятся неуважительно.

Этичный хакер от злоумышленника отличается тем, что найденную уязвимость злоумышленник использует во вред организации или для личной преступной выгоды, а этичный – чтобы не только легально заработать, но и привлечь внимание к проблеме.

Хочется поделиться парой ярких примеров, когда исследователей мотивируют не деньги, а личные убеждения:

• узнав, что мы не платим за XSS в образовательных порталах как за отдельный вид уязвимости, @BlackFan собрал все найденные проблемы данного типа (около 10 XSS разного вида) в один подробный отчет, который направил нам для устранения. Его мотивировала не награда, а желание обезопасить детей, обучающихся на платформе;
• исследователь @MrDruid регулярно перечисляет все полученные вознаграждения в фонд «Верю в чудо». Примечательно и то, как он стал заниматься благотворительностью – он вызвался бесплатно провести тестирование ИТ-ресурсов хосписа.

Поэтому не стоит считать, что все хакеры одержимы только деньгами и личной выгодой. Многие из них готовы безвозмездно помогать компаниям стать лучше.