USD 92.26 ЕВРО 99.71

Как программы поощрений за найденные баги сохраняют деньги и способствуют усилению безопасности

Аналитика

Корпоративные программы премирования за нахождение программных багов всё большую популярность. Они предлагают деньги хакерам, которые находят уязвимости и сообщают о них. Для крупных организаций это  эффективный способ усиления безопасности программного обеспечения.

Следуя по стопам Google, Facebook, PayPal, AT&T и многих других компаний, Microsoft в прошлом месяце объявила, что планирует запустить свою программу поощрения за нахождение ошибок. Компания будет платить до $100000 тем, кто найдёт и сможет использовать уязвимости в последней версии Windows.

Программы премирования за нахождение ошибок являются полезными для больших компаний, поскольку они поощряют хакеров сообщать об уязвимостях программного обеспечения, прежде чем ими кто-либо воспользуется. Альтернативными вариантами для многих хакеров являются обнародование уязвимости для признания в своих кругах, либо попытка продать уязвимости или эксплойт на её основе кибер-преступникам на черном рынке или даже государственным органам.

Большинство крупных предприятий запускают регулярные тесты на проникновение и проводят аудиты безопасности от случая к случаю, но программа премирования за нахождение ошибок является дополнительной мерой, которая поощряет большее число людей для проверки системы на постоянной основе. Поскольку по программе поощрения платится только за результат, она является эффективным способом траты денег на усиление безопасности.

Программы поощрения, однако, не так просто запускать: нужны квалифицированные сотрудники для изучения всех сообщений об ошибках, проверки ошибок и определения меры их критичности. Существует также административная нагрузка при создании программы и организации выплат премий.

Программы поощрения за нахождение ошибок в качестве услуги

Небольшие организации начинают пользоваться этими программами благодаря увеличению числа компаний, предлагающих программы поощрения за нахождение ошибок в качестве услуги. Такие компании, как Bugcrowd, Bugwolf, CrowdSecurify и Hatforce организуют и запускают программы поощрения за нахождение ошибок от имени клиентов, принимая сообщения об ошибках и проверяя их, а также организовывая выплаты в случае необходимости.

«Мы обнаружили большой интерес к нашим программам поощрения, потому что они гораздо эффективнее с точки зрения экономики, чем оплачиваемые тестеры проникновения или консультанты», говорит Кейси Эллис, главный исполнительный директор Bugcrowd в Сан-Франциско. «По результатам программ, которые мы реализовали, мы видим в пять раз больше обнаруженных уязвимостей за ту же сумму потраченных денег».

Bugcrowd включает около 2200 тестеров-хакеров, исследователей безопасности и студентов со всего мира. Группы из этой аудитории могут участвовать в запускаемых компанией для своих клиентов программах поощрения за обнаружение багов.

Компании фактически работают с двумя типами программ: первый — открытый тип, похож на те, что используются Google и Facebook. Второй тип основан на фиксированном бюджете премиальных и работает в течение определенного периода времени, он похож на краудсорсинговый (массовый) тест на проникновение. Большие премиальные присуждаются за первые найденные серьезные ошибки, а остальная часть бюджета распределяется на более мелкие ошибки, которые могут быть обнаружены.

POLi Payment — находящийся в Австралии провайдер систем онлайн-платежей, который пользуется сервисом программ поощрения за нахождение ошибок компании Bugcrowd. Системы компании прошли проверку на проникновение компанией VeriSign и её код был рассмотрен двумя другими организациями. Джеффри Макалистер, генеральный директор POLi Payments, отмечает, что тест проникновения проводился для получения отчета.

«Были определены сферы действия и бюджеты, и наша команда технических специалистов была уверена, что мы получим хороший отчет. Но пока мы не попали под реальную атаку, мы не могли быть уверены, насколько мы в действительности защищены», говорит он.

POLi Payments решила запустить на ограниченный период программу поощрения за нахождение ошибок с фиксированным бюджетом в 5000 австралийских долларов ($4650) — это около половины цены за тест на проникновение. В программе учавствовали 335 человек, некоторые из которых, как считает Макалистер, – бывшие хакеры-преступники.

«Это означало, что запущенные ими атаки были реалистичными. Я был обеспокоен, по крайней мере на начальном этапе, что программа поощрения поставит наши системы под удар. Если бы они нашли дыру, то могли бы не сообщить о ней, а вернуться позже».

Но его убедили два факта: во-первых, Bugcrowd провели тщательную проверку всех участников. Во-вторых, из-за количества участвующих в тесте, большинство дырок в системе безопасности, вероятно, будут обнаружены несколькими людьми. Он говорит, что 80% ошибок, которые были найдены, были замечены более чем одним тестером.

Макалистер говорит, что он был обеспокоен также тем, что тестеры могут нарушить работу систем компании. По этой причине, они получили указание не проводить атаки методом грубой силы (brute force — полный перебор). «Большинство из них справились с этим, но некоторые атаковали наши системы довольно сильно, и нам пришлось блокировать их. Естественно, это было поводом для беспокойства».

Программа поощрения за обнаружение багов оказалась более эффективным с точки зрения экономики способом обнаружения ошибок, чем тестирование на проникновение, говорит Макалистер. «В результате, программа дала 38 рекомендаций – ничто потрясающего, но множество мелочей, а последний тест на проникновение, стоящий вдвое дороже, обнаружил только несколько ошибок», говорит он.

BigCommerce, австралийский поставщик решений электронной коммерции, также использует программы выплат за нахождение программных ошибок. Компания BigCommerce ежегодно проходит тесты на проникновение для того, чтобы быть PCI-совместимой (Payment Card Industry), но технический директор компании Питер Уитфилд, захотел принять дополнительные меры безопасности.

Подход BigCommerce отличается от POLI Payments в том, что BigCommerce решила создать копию своей среды в облаке, используя Amazon Web Services (AWS), запустив новые компоненты своего программного обеспечения и загружая фиктивные данные.

«Мы не хотели давать тестерам рабочие системы, так как не можем себе позволить остановить их, но с использованием облака мы смогли создать копию нашей среды без необходимости инвестирования средств в оборудование. Мы просто заплатили за неделю хранения и обработки компании Amazon», говорит Уитфилд.

«Идея в том, что если системы будут взломаны, и тестеры доберутся до исходных данных, это не будут реальные данные, так что можно не волноваться. Мы немного беспокоились за наше программное обеспечение, предоставленное группе международных хакеров, но именно так происходит в реальном мире», говорит он. «Поэтому мы решили, что было бы лучше сделать это контролируемым способом, чтобы получить обратную связь и решить все обнаруженные проблемы».

Тесты на проникновение против программ поощрения за нахождение ошибок

Уитфилд говорит, что проблема традиционных тестов проникновения состоит в том, что они проводятся небольшим количеством людей, поэтому компания зависит от их индивидуальных навыков. «Мы обнаружили, что различные тестеры проникновения находят различные проблемы, иногда проблемы, которые существовали в течение нескольких лет и были пропущены в предыдущих тестах», говорит он. «С помощью программы поощрения мы получили сто двадцать пар глаз, следящих за нашей системой в течении недели, вместо одной или двух пар».

После последней программы компании, было обнаружено почти сорок новых ошибок, говорит он. Сравните с прошлым тестом на проникновение, когда были обнаружены только двенадцать, говорит он. Никто не сомневается, что тесты на проникновение и аудит программного кода будут оставаться важной частью усилий по укреплению безопасности многих компаний, даже если они проводятся только в целях соблюдения нормативов. Но благодаря наличию сервисных предложений по программам поощрения обнаружения ощибок, такие компаний, как POLi Payments и BigCommerce также могут подвергнуть свои системы испытанию атаками большого числа хакеров в относительно управляемом режиме. «Безусловно, теперь это предпочтительный метод тестирования безопасности», говорит Макалистер из POLi Payments.