Анатолий Иванов, Positive Technologies: При проведении пентеста заказчик платит за услугу и бренд, на багбаунти – за найденные уязвимости

Российские багбаунти-платформы и взаимодействие с багхантерами – это тема горячего обсуждения внутри ИБ-комьюнити. Некоторые эксперты относятся со скепсисом к оценке эффективности багбаунти-программ или с недоверием относятся к самим багхантерам. Анатолий Иванов, руководитель направления багбаунти Standoff 365, ответил для портала Cyber Media на острые вопросы, связанные с багбаунти.

Cyber Media: Один из самых распространенных тезисов скептиков о багбаунти: «Зачем он нам, если есть регулярные пентесты?». Как бы Вы ответили на этот вопрос?

Анатолий Иванов: Во-первых, в контексте регулярных пентестов особенно важен вопрос регулярности.

Исходя из моего опыта, под «регулярно» в лучшем случае понимается проведение пентеста раз в квартал. По его итогу компания получает отчет, на основе которого команда ИБ приступает к исправлению найденных уязвимостей.

Но проблема в том, что между пентестами проходит минимум 3–4 месяца. При этом нужно понимать, что в больших компаниях, в больших приложениях, в активной разработке постоянно будут добавляться новые фичи, выходить новые кнопки, формы, приложения, другой функционал.

И все это будет оставаться не протестированным на протяжении этих 3-4 месяцев. Пока не придут пентестеры и не протестуют все заново. Багбаунти в этом плане работает каждый день и час. Исследователи будут постоянно искать уязвимости.

Во-вторых, багбаунти — это максимальная эффективность в расходовании бюджета. При пентесте происходит так: исследователи провели аудит, сделали отчет – красивый, большой, с кучей уязвимостей. Компания их исправит, а потом снова придут пентестеры. За это время к вам докатилась новые фичи. Пентестеры протестировали все еще раз, и, скорее всего, тоже нашли уязвимости, но меньше. И каждый раз отчет будет уменьшаться, а сумма за услуги пентестеров — нет.

Багбаунти-программы в этом плане очень эффективны, потому что один раз сделал аудит, получил большой отчет, исправил и дальше выходишь на багбаунти. И уже платишь по факту найденных уязвимостей. В случае с пентестом компания платит за услугу, в частности, за статусность пентестеров, за бренд, за их время. А в случае с багбаунти компания платит только за уязвимости.

В-третьих, на пентесте всегда ограничено количество людей, которые будут исследовать вашу систему. У средних компаний — 4–5 человек, у крупных — до 20 человек в команде. А багбаунти — это тысячи исследователей.

Cyber Media: Ряд экспертов говорит, что в случае с пентестами есть многолетняя практика и опыт, в том числе в части описания скоупа и конкретных действий пентестеров, которые допустимы в рамках договора. Какой контраргумент вы могли бы привести?

Анатолий Иванов: В случае с багбаунти также существуют правила программы, в которых описано, что можно делать, а что нельзя. Когда исследователи начинают исследовать систему, у них есть большой свод правил, которому нужно следовать, чтобы проводить исследование и участвовать в этом мероприятии. Например, не ронять сервера, не выкачивать чужие персональные данные и т. д.

В этом плане в багбаунти правила те же самые, что и в пентесте. Задача — помочь компании, а не навредить.

Cyber Media: Некоторые эксперты считают багбаунти неэффективным инструментом в силу того, что багхантеры найдут только «лоу-баги», а что-то «серьезное» найти не смогут. Исходя из опыта вашей платформы, насколько это так?

Анатолий Иванов: Утверждение, что найдут только лоу баги – неверное. Потому что находят и critical, и high — весь спектр критичности и уязвимостей. Доля самых опасных уязвимостей обычно составляет около 10%, 20% представляют уязвимости высокой критичности, еще 20-25% составляют уязвимости среднего уровня, а остальные — низкого уровня критичности. Это видно по статистике программ, которые у нас размещены публично.

Например, по программе Тинькофф выплачено более 3 млн. рублей, а по ВК — порядка 18 млн. рублей. Такие выплаты только на лоу-багах невозможны.

Важно правильно мотивировать багхантеров, в частности — правильно выстроить финансовую модель. Если вы поставите за critical баг нулевое вознаграждение, то не будет интереса искать его. Хантеры действительно пройдут по верхам, но вглубь закапываться не будут. А вот за вознаграждение в 100–400 тыс. рублей найдется много сильных спецов. Просто надо платить и тюнить программу — если присылают мало критов, то повышать вилку вознаграждения.

Cyber Media: Другая причина, по которой российские багбаунти-программы считают малоэффективными – это малочисленность. И действительно, если сравнить количество багхантеров на российских платформах с тем же H1 – разница весьма значительная. Насколько, на ваш взгляд, количество исследователей на платформе говорит о ее эффективности?

Анатолий Иванов: Представьте треугольник. На его вершине — топ-исследователей, которых вы позовете на любой проект и будете уверены, что они принесут суперкачественные уязвимости. Именно они дадут 80% результата.

Дальше идут исследователи по убывающей и в самом низу пирамиды люди, которые просто интересуются информационной безопасностью. И чем больше будет таких людей, тем больше будет основание треугольника, сама пирамида и количество топов на верхушке.

Я считаю, что у нас исследователи показывают высокий уровень профессиональной подготовки. Это видно по потоку отчетов, которые приходят. Недавно одна компания восторгалась тому, сколько уязвимостей им прислали наши багхантеры за первый день. Больше, чем за месяц на HackerOne. Поэтому я могу с уверенностью сказать, что у нас очень сильные ребята.

За полтора года мы выплатили порядка 60 млн рублей, это с учетом того, что рынок багбаунти в России достаточно молодой. Поэтому, учитывая все эти факторы, скажу, что подготовка исследователей очень хорошая.

Cyber Media: Ряд экспертов относится к багхантерам с недоверием. Например, считают, что багхантер будет сдавать компании только мелкие уязвимости, а что-то действительно ценное «отдаст на сторону». Какие аргументы вы могли бы привести в пользу доверительного отношения к российским багхантерам?

Анатолий Иванов: Если компания не готова к большому потоку исследователей, отчетов и нагрузке на себя – мы предлагаем начать с приватной программы. В нее приглашаем 5–10 сильных и верифицированных исследователей, за которых мы готовы поручиться. Если верят нам, верят и нашим багхантерам.

В паблик же выходят компании, которые понимают и готовы к тому, что их будут проверять все подряд. Обычно это большие и известные компании, которые и так постоянно подвергаются атакам. От того, что они будут на багбаунти ничего не изменится – их все так же будут ломать злоумышленники. Но плюс в том, что этичные хакеры не просто будут ломать, но будут сдавать отчеты.

Cyber Media: Многие специалисты придерживаются парадигмы: «В даркнете за уязвимость заплатят больше, чем мы, значит, и выходить на багбаунти нет смысла». Насколько это соответствует действительности?

Анатолий Иванов: Про даркнет я никогда исследования не проводил, но когда компании выходят на багбаунти к нам на площадку, им присылают много уязвимостей на старте. Особенно в публичной программе. Мне кажется, это подтверждает, что есть много исследователей, которые точно не работают “в темную”, не сдают в даркнет уязвимости, не ищут там заработка, а просто занимаются своей работой. И когда они видят, что появилась багбаунти-программа, они инвестируют свое время в то, чтобы помочь компании стать безопаснее.

Кроме того, я не понимаю и не вижу смысла сдавать уязвимости в даркнете. Здесь исследователи знают, что это площадка Positive Technologies, знают компании, которые выходят в багбаунти. Они понимают, что здесь никто никого не пытается обмануть. Здесь они получают легальные выплаты, с которых могут платить налоги. Здесь они качают репутацию – в глазах компаний и площадки. К тому же если бы кто-то хотел работать где-то на стороне, то это бы происходило еще до запуска багбаунти.

Я думаю предположение, что в даркнете за уязвимость какой-то компании заплатят больше – всего-навсего стереотип.

Cyber Media: Частой причиной того, что специалист не видит перспектив в багбаунти, становятся организационные меры. Согласование с руководством, подготовка службы ИБ, бюджетирование и другие вопросы кажутся нерешаемыми. Исходя из вашего опыта и опыта участников программ на вашей платформе, насколько в действительности сложно выйти на багбаунти?

Анатолий Иванов: Все зависит от компании. Если в ней не налажена коммуникация, множественные и долгие согласования по любым вопросам, особенно финансовым, то им будет очень тяжело. Перед службой ИБ стоит нетривиальная задача – объяснить почему нужно платить за уязвимости и что бюджет на багбаунти может быть непредсказуем.

Но запланировать бюджет можно. Например, заложить сверху порядка 20% на непредсказуемые траты. Но главная трудность не в этом. Нужно понимать, что абсолютно любое средство защиты требует настройки. Багбаунти тоже, но она требует настройки процесса. Нужно не просто получать уязвимости, но и исправлять их. Багбаунти не ограничивается тем, что придут хакеры и найдут уязвимость. С помощью багбаунти компания сама учится выстраивать процесс работы с этими уязвимостями, если у нее есть в этом какие-то сложности.

В целом, багбаунти — это процесс, немножко новый, но для большинства компаний, которые умеют с безопасностью работать, и что-то в ней понимают, несложный. Но выйти на багбаунти совершенно свежей компании больше чем с 1–2 веб-приложениями действительно может быть сложно.

Но для этого у нас есть триаж. Это такая дополнительная услуга — расширенная аналитика и проектизация уязвимостей, которые присылают хакеры. Их разбирают специально обученные люди, а конечному заказчику присылают только хорошие, валидные и с общими рекомендациями.

Cyber Media: Каковы перспективы багбаунти и какие вы видите треки его развития?

Анатолий Иванов: На мой взгляд, есть несколько треков развития багбаунти в нашей стране. Первый — это хакерские ивент-мероприятия. Мы уже проводили подобные в рамках Standoff, и впечатления только положительные. На одной площадке встречаются заказчики и хакеры. Они неформально общаются, делятся опытом и совместно решают задачи – садятся, смотрят на уязвимость и вместе ее докручивают. Такой формат сближает людей и повышает лояльность в комьюнити.

Второй трек развития — это государственные программы. Например, в этом году идет уже два этапа багбаунти от Минцифры. Первый пилотный этап длился три месяца и включал в себя две программы. Во втором этапе уже девять программ. Следом на Минцифры свои программы запустили Московская и Ленинградская области. Мы надеемся, что в будущем году таких программ и инициатив от государственных компаний станет больше.