fbpx
Розмір літер 1x
Колір сайту
Зображення
Додатково
Міжрядковий інтервал
Міжсимвольний інтервал
Шрифт
Убудовані елементи (відео, карти тощо)
 

Секрети кібербезпеки: важливість баг баунті програм для бізнесу

29/ 03/ 2021
  Баг баунті програми: загальна характеристика. Баг Баунті програми передбачають залучення незалежних ІТ-фахівців (етичних хакерів) для виявлення вразливостей веб-ресурсів компаній-замовників. У свою чергу, етичні хакери отримують винагороду від компаній, які замовляють дані програми, а її розмір залежить від типу ідентифікованої проблеми та її масштабу. Як правило, замовником баг баунті програм виступають підприємства, які представляють різні галузі економіки, а організатором даних програм виступають профільні платформи, зокрема HackenProof. Основний попит на баг баунті програми формують компанії-гіганти, такі як Apple, Android, Goldman Sachs та інші. Відповідно до запитів клієнтів, профільні компанії розробляють умови баг баунті програм, зазначаючи типи вразливостей та проблеми, у виявленні яких найбільше зацікавлений клієнт. Баг баунті програми можуть відбуватись на постійній основі або ж бути обмеженими у часі. Участь у даних програмах може бути відкритою для усіх ІТ-фахівців, які виявляють відповідне бажання, однак, на вимогу клієнта, участь у баг баунті програмах може бути дозволеною лише для певної групи спеціалістів. Для ІТ-фахівців участь у баг баунті програмах приносить не лише фінансову вигоду, але й сприяє формування їх іміджу на ринку. У певних випадках фахівці використовують участь у даних програмах як можливість зарекомендувати себе перед потенційними роботодавцями як провідних спеціалістів з кібербезпеки. Для окремих етичних хакерів перевірка вразливостей веб-ресурсів компаній в рамках баг баунті програм може слугувати джерелом постійного доходу. Водночас, розглядати участь у баг баунті програмах як єдине джерело доходу для етичних хакерів не можна, оскільки, за даними HackenProof, менше 10% спеціалістів, зареєстрованих на баг баунті платформах, отримують реальну грошову винагороду за виявлені вразливості.  Компанії можуть звертатись до послуг сторонніх фахівців в рамках баг баунті програм у випадку, коли можливості їх власних спеціалістів з кібербезпеки є недостатніми для протидії існуючим і потенційним загрозам, або у випадку випуску нових веб-ресурсів чи оновлення існуючих. В останньому випадку, компанії зацікавлені якомога швидше виявити потенційні загрози їх кібербезпеці для запобігання кібератак. У свою чергу, такі технологічні гіганти як Google, Microsoft, Facebook та інші активно розвивають власні баг баунті програми, незважаючи на навність значного штату спеціалістів з питань кібербезпеки. Наприклад, витрати компанії Microsoft на кібербезпеку складать понад 1 млрд дол США щороку. Незважаючи на це, створення та фінансування власних баг баунті програм слугує можливістю для компаній-гігантів залучити спеціалістів, здатних застосувати креативний і часто позарамковий підхід до пошуку вразливостей. Як наслідок, саме ті вразливості, які внутрішня команда компаній, в силу правил та обмежень, не здатна виявити, можуть попасти в об’єктив баг баунті хакерів. Загалом, ефективність баг баунті програм залежить від спроможності компанії виправити або ліквідувати виявлені системні слабкості. Важливість баг баунті програм для компаній. Замовлення баг баунті програм дозволяє компаніям випередити хакерів і запобігти використанню останніми вразливостей їх веб-ресурсів. Фактично, баг баунті програми - це можливість для компаній запобігти атакам зі сторони хакерів шляхом заохочення останніх повідомляти про виявлені вразливості з метою отримання справедливої винагороди. Більшість компаній, які замовляють баг баунті програми, отримують інформацію про перші виявлені вразливості протягом менш ніж 24 годин. Важливою перевагою баг баунті програм є їх доступність для компаній. Переважно, ціна однієї виявленої вразливості в межах даних програм може складати від $50 до декількох тисяч доларів США, у той час як вартість 1 год. роботи кваліфікованого консультанта з кібербезпеки може складати $1000-$5000. Наприклад, винагорода для етичного хакера за виявлену критичну вразливість у системі криптовалютної біржі Kuna в рамках баг баунті програми на платформі HackenProof складає 5000$, у той час як потенційні збитки, завдані біржі у випадку використання цієї вразливості хакерами можуть вимірюватись 7-значними сумами. Замовники баг баунті програми платять лише за виявлені вразливості, а тому не несуть фінансових ризиків, пов’язаних із тим, що дана програма не принесе бажаних результатів. Однак, компанії повинні усвідомлювати, що участь у баг баунті програмах не гарантує виявлення 100% вразливостей, оскільки, зважаючи на вплив різних факторів, активність хакерів в рамках програми може бути недостатньою, або ж їх зусилля можуть спрямовуватимуть на інші напрямки. Саме тому, для максимізації переваг, отриманих в рамках участі у баг баунті програмах, підприємства повинні залучати професійні компанії для перевірки своєї безпеки шляхом проведення тесту на проникнення (пентесту). Лише поєднуючи ці два методи протидії кіберзагрозам компанії здатні мінімізувати зовнішні ризики своїй цифровій безпеці. Приклади успішних баг баунті програм у сучасному цифровому середовищі. Замовниками баг баунті програм є як відомі бренди, так і інноваційні стартапи. Ефективною вважається та баг баунті програма, в результаті якої компанія не лише отримує інформацію про наявні та потенційні вразливості, але й успішно їх усуває. У лютому 2021 р. компанія Microsoft виплатила $50000 хакеру в рамках баг баунті програми за виявлення вразливості, яка могла б призвести до викрадення облікових записів користувачів. Дослідник виявив можливість заволодіння акаунтами користувачів шляхом подолання захисних механізмів при відновленні паролю. Незважаючи на те, що для експлуатації цієї вразливості на практиці необхідна величезна серверна потужність, Microsoft визначила її як серйозну і виплатила солідну винагороду хакеру. Компанія GitHub виплатила $25000 винагороди спеціалісту компанії Google, який брав участь у баг баунті програмі, за виявлену вразливість, пов’язану із системою комунікації між сховищем даних та програмним забезпеченням для автоматизації документообігу GitHub Actions, яке використовувалось організаціями. Компанія GitHub і надалі планує перевіряти захищеність своїх продуктів в рамках баг баунті програм. Одним із прикладів успіху баг баунті програм в усуненні технічних багів є кейс GTA online. Один із гравців, ім’я якого не розголошується, виявив технічний баг у продукті, усунувши який компанія Rockstar, розробник цієї комп’ютерної гри, зуміла на 70% скоротити тривалість загрузки для користувачів. Компанія виплатила невідомому спеціалісту $10000 винагороди в рамках баг баунті програми. В епоху стрімкої цифровізації економіки та переходу від традиційних фінансових інструментів до криптоактивів, популярність криптовалютних бірж та гаманців як у розвинутих країнах, так і у країнах, що розвиваються, різко зростає. Як наслідок, вони акумулюють активи користувачів, вартість яких в еквіваленті на фіатні валюти складає 10-значні суми і більше, і одразу стають мішенню для кіберзлочинців. Проєкт HackenProof спеціалізується на організації баг баунті програм для компаній, які функціонують у світі блокчейну, в результаті яких такі бренди як Gate.io, CoinGecko, FTX, та інші отримали інформацію про вразливості своїх продуктів, усунення яких допомогло їм уникнути багатомільйонних фінансових збитків, не кажучи вже про репутаційні плями. Зростання популярності баг баунті програм серед компаній призводить до зростання кількості успішних випадків виявлення системних вразливостей етичними хакерами. Лише ті компанії, які здатні постійно випереджати кіберзлочинців у питанні цифрової безпеки, можуть розраховувати на збереження свого іміджу у цифровізованому середовищі.

Баг баунті програми: загальна характеристика

Баг Баунті програми передбачають залучення незалежних ІТ-фахівців (етичних хакерів) для виявлення вразливостей веб-ресурсів компаній-замовників. У свою чергу, етичні хакери отримують винагороду від компаній, які замовляють дані програми, а її розмір залежить від типу ідентифікованої проблеми та її масштабу. Як правило, замовником баг баунті програм виступають підприємства, які представляють різні галузі економіки, а організатором даних програм виступають профільні платформи, зокрема HackenProof. Основний попит на баг баунті програми формують компанії-гіганти, такі як Apple, Android, Goldman Sachs та інші. Відповідно до запитів клієнтів, профільні компанії розробляють умови баг баунті програм, зазначаючи типи вразливостей та проблеми, у виявленні яких найбільше зацікавлений клієнт. Баг баунті програми можуть відбуватись на постійній основі або ж бути обмеженими у часі. Участь у даних програмах може бути відкритою для усіх ІТ-фахівців, які виявляють відповідне бажання, однак, на вимогу клієнта, участь у баг баунті програмах може бути дозволеною лише для певної групи спеціалістів.

Для ІТ-фахівців участь у баг баунті програмах приносить не лише фінансову вигоду, але й сприяє формування їх іміджу на ринку. У певних випадках фахівці використовують участь у даних програмах як можливість зарекомендувати себе перед потенційними роботодавцями як провідних спеціалістів з кібербезпеки. Для окремих етичних хакерів перевірка вразливостей веб-ресурсів компаній в рамках баг баунті програм може слугувати джерелом постійного доходу. Водночас, розглядати участь у баг баунті програмах як єдине джерело доходу для етичних хакерів не можна, оскільки, за даними HackenProof, менше 10% спеціалістів, зареєстрованих на баг баунті платформах, отримують реальну грошову винагороду за виявлені вразливості. 

Компанії можуть звертатись до послуг сторонніх фахівців в рамках баг баунті програм у випадку, коли можливості їх власних спеціалістів з кібербезпеки є недостатніми для протидії існуючим і потенційним загрозам, або у випадку випуску нових веб-ресурсів чи оновлення існуючих. В останньому випадку, компанії зацікавлені якомога швидше виявити потенційні загрози їх кібербезпеці для запобігання кібератак. У свою чергу, такі технологічні гіганти як Google, Microsoft, Facebook та інші активно розвивають власні баг баунті програми, незважаючи на навність значного штату спеціалістів з питань кібербезпеки. Наприклад, витрати компанії Microsoft на кібербезпеку складать понад 1 млрд дол США щороку. Незважаючи на це, створення та фінансування власних баг баунті програм слугує можливістю для компаній-гігантів залучити спеціалістів, здатних застосувати креативний і часто позарамковий підхід до пошуку вразливостей. Як наслідок, саме ті вразливості, які внутрішня команда компаній, в силу правил та обмежень, не здатна виявити, можуть попасти в об’єктив баг баунті хакерів. Загалом, ефективність баг баунті програм залежить від спроможності компанії виправити або ліквідувати виявлені системні слабкості.

Важливість баг баунті програм для компаній

Замовлення баг баунті програм дозволяє компаніям випередити хакерів і запобігти використанню останніми вразливостей їх веб-ресурсів. Фактично, баг баунті програми – це можливість для компаній запобігти атакам зі сторони хакерів шляхом заохочення останніх повідомляти про виявлені вразливості з метою отримання справедливої винагороди. Більшість компаній, які замовляють баг баунті програми, отримують інформацію про перші виявлені вразливості протягом менш ніж 24 годин.

Важливою перевагою баг баунті програм є їх доступність для компаній. Переважно, ціна однієї виявленої вразливості в межах даних програм може складати від $50 до декількох тисяч доларів США, у той час як вартість 1 год. роботи кваліфікованого консультанта з кібербезпеки може складати $1000-$5000. Наприклад, винагорода для етичного хакера за виявлену критичну вразливість у системі криптовалютної біржі Kuna в рамках баг баунті програми на платформі HackenProof складає 5000$, у той час як потенційні збитки, завдані біржі у випадку використання цієї вразливості хакерами можуть вимірюватись 7-значними сумами. Замовники баг баунті програми платять лише за виявлені вразливості, а тому не несуть фінансових ризиків, пов’язаних із тим, що дана програма не принесе бажаних результатів.

Однак, компанії повинні усвідомлювати, що участь у баг баунті програмах не гарантує виявлення 100% вразливостей, оскільки, зважаючи на вплив різних факторів, активність хакерів в рамках програми може бути недостатньою, або ж їх зусилля можуть спрямовуватимуть на інші напрямки. Саме тому, для максимізації переваг, отриманих в рамках участі у баг баунті програмах, підприємства повинні залучати професійні компанії для перевірки своєї безпеки шляхом проведення тесту на проникнення (пентесту). Лише поєднуючи ці два методи протидії кіберзагрозам компанії здатні мінімізувати зовнішні ризики своїй цифровій безпеці.

Приклади успішних баг баунті програм у сучасному цифровому середовищі

Замовниками баг баунті програм є як відомі бренди, так і інноваційні стартапи. Ефективною вважається та баг баунті програма, в результаті якої компанія не лише отримує інформацію про наявні та потенційні вразливості, але й успішно їх усуває. У лютому 2021 р. компанія Microsoft виплатила $50000 хакеру в рамках баг баунті програми за виявлення вразливості, яка могла б призвести до викрадення облікових записів користувачів. Дослідник виявив можливість заволодіння акаунтами користувачів шляхом подолання захисних механізмів при відновленні паролю. Незважаючи на те, що для експлуатації цієї вразливості на практиці необхідна величезна серверна потужність, Microsoft визначила її як серйозну і виплатила солідну винагороду хакеру. Компанія GitHub виплатила $25000 винагороди спеціалісту компанії Google, який брав участь у баг баунті програмі, за виявлену вразливість, пов’язану із системою комунікації між сховищем даних та програмним забезпеченням для автоматизації документообігу GitHub Actions, яке використовувалось організаціями. Компанія GitHub і надалі планує перевіряти захищеність своїх продуктів в рамках баг баунті програм.

Одним із прикладів успіху баг баунті програм в усуненні технічних багів є кейс GTA online. Один із гравців, ім’я якого не розголошується, виявив технічний баг у продукті, усунувши який компанія Rockstar, розробник цієї комп’ютерної гри, зуміла на 70% скоротити тривалість загрузки для користувачів. Компанія виплатила невідомому спеціалісту $10000 винагороди в рамках баг баунті програми.

В епоху стрімкої цифровізації економіки та переходу від традиційних фінансових інструментів до криптоактивів, популярність криптовалютних бірж та гаманців як у розвинутих країнах, так і у країнах, що розвиваються, різко зростає. Як наслідок, вони акумулюють активи користувачів, вартість яких в еквіваленті на фіатні валюти складає 10-значні суми і більше, і одразу стають мішенню для кіберзлочинців. Проєкт HackenProof спеціалізується на організації баг баунті програм для компаній, які функціонують у світі блокчейну, в результаті яких такі бренди як Gate.io, CoinGecko, FTX, та інші отримали інформацію про вразливості своїх продуктів, усунення яких допомогло їм уникнути багатомільйонних фінансових збитків, не кажучи вже про репутаційні плями.

Зростання популярності баг баунті програм серед компаній призводить до зростання кількості успішних випадків виявлення системних вразливостей етичними хакерами. Лише ті компанії, які здатні постійно випереджати кіберзлочинців у питанні цифрової безпеки, можуть розраховувати на збереження свого іміджу у цифровізованому середовищі.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.

Стартуй в Telegram боті
Читайте корисні статті та новини. Поширюйте їх соціальними мережами.

Повідомити про помилку

Текст, який буде надіслано нашим редакторам: