Xakep #305. Многошаговые SQL-инъекции
На недавно завершившемся форуме PHDays была представлена платформа The Standoff 365 Bug Bounty, которая объединит компании и исследователей безопасности для поиска уязвимостей и оценки защищенности организаций. За первые два дня на платформе уже зарегистрировались 250 специалистов. Первыми на ней разместили свои программы «Азбука вкуса» и Positive Technologies.
Платформа позволит компаниям со зрелыми процессами информационной безопасности достоверно и объективно оценить защищенность бизнеса. Впервые ИБ-исследователи смогут получать награду не только за найденные недопустимые для бизнеса события, но и за их реализацию.
«В целом программы bug bounty представляют собой набор условий — правил, политик, цен и границ поиска, в соответствии с которыми белые хакеры получают от организаций вознаграждение за уязвимости, найденные в их IT-сетях, системах и приложениях. Компании объявляют bug bounty, чтобы независимо и достоверно оценить свою защищенность и своевременно устранить проблемы в сфере безопасности, пока злоумышленники ими не воспользовались», — рассказывает Ярослав Бабин, CPO The Standoff 365.
В мире много платформ bug bounty , но все их программы направлены на поиск уязвимостей в приложениях или сервисах, специалисты находят много уязвимостей низкой значимости, а компании не всегда их устраняют. The Standoff 365, помимо традиционного формата поиска уязвимостей, впервые предложит новый механизм вознаграждения для выхода из этой ситуации.
«Главное отличие нашей платформы — возможность создания программ по принципу результативной кибербезопасности, когда белые хакеры не просто ищут отдельные уязвимости в системе, а реализуют недопустимые для нее сценарии. Мы предложим компаниям самим определить риски, реализация которых может привести к неприемлемым последствиям, и платить белым хакерам за отчет с последовательностью ведущих к ним действий. Исследователь должен не только найти уязвимость, но и проэксплуатировать ее, повысить привилегии в системе, предпринять другие шаги, в результате которых, например, можно получить данные пользователей. Такой подход имеет ряд преимуществ как для исследователей, поскольку суммы вознаграждений будут выше, так и для компаний, которые будут платить только за то, что хакеру удалось реализовать», — говорит Ярослав Бабин.
На платформе The Standoff 365 компании смогут устанавливать свои правила bug bounty: сроки и границы исследований, форматы отчетов, суммы вознаграждений и права доступа. Программы могут длиться 3, 6 и 12 месяцев, до исчерпания бюджета проекта и даже непрерывно в течение нескольких лет.
Отчеты об уязвимостях можно получать напрямую от исследователей или после их верификации специалистами Positive Technologies. Этичные хакеры заранее смогут выбрать, где искать уязвимость или сценарий реализации недопустимого события, — компании предварительно оценивают их и публикуют расценки на платформе. В перспективе компании смогут сделать программу публичной для всех или дать к ней доступ только определенным группам таких хакеров, например тем, кто ранее выявил уязвимости в приложениях и системах конкретной организации.
Впервые запуская программу bug bounty, компания сталкивается с рядом вопросов, например: как сформировать правила, сколько платить участникам и как привлечь их искать уязвимости именно в ваших приложениях и сервисах? Платформа The Standoff 365 поможет их решить.
К концу 2022 года создатели рассчитывают привлечь 500–1000 исследователей, ведь в России насчитывается около 2000 специалистов по наступательной безопасности с опытом обнаружения багов. То есть компаниям не придется больше искать способы рассказать о себе этичным хакерам — достаточно разместить программу на The Standoff 365.
В презентации новой платформы принял участие Руслан Верхоланцев, руководитель отдела по информационной безопасности «Азбуки вкуса». Фуд-ретейлер запустил программу bug bounty еще в 2020 году, став первой в сегменте компанией с собственной публичной программой вознаграждений за найденные уязвимости.
«Первый отчет мы получили всего через час после запуска, а подтвержденную уязвимость — спустя три часа. Эффективность повысилась, когда мы перешли на специализированную площадку, так как еще больше исследователей узнали о нашей программе. От The Standoff 365 Bug Bounty мы ожидаем активного участия багхантеров и качественных отчетов. Вместе с Positive Technologies мы хотим повысить интерес к программам bug bounty, улучшить свои сервисы, дать исследователям возможность честно работать и получать вознаграждение за свои старания. Мы призываем соблюдать этику сообщества и ответственно относиться ко всем действиям в рамках программы», — рассказал Руслан Верхоланцев.
«Азбука вкуса» планирует проверять сервисы, которые находятся в общем доступе на доменах av.ru, azbukavkusa.ru и их субдоменах, а также сервисы, расположенные на внешних сетевых адресах компании. Исследователей ждут как веб-приложения, так и мобильное приложение.
Компания Positive Technologies, которая уже проводила открытые киберучения на своей инфраструктуре, также разместила собственную программу bug bounty на новой платформе.
Компания планирует проверить безопасность корпоративных сайтов ptsecurity.com и partners.ptsecurity.com. За найденные уязвимости Positive Technologies будет платить исследователям безопасности от 20 000 до 393 000 рублей. Здесь следует отметить, что в среднем за критическую уязвимость в России платят 400 000 рублей, за среднюю уязвимость — 116 000, за простую — 34 000.
По прогнозам создателей новой платформы, уже в 2022 году свои программы bug bounty на ней запустят 10–20 организаций, к 2025 году их число может достичь 100 и даже больше. Positive Technologies рассчитывает создать международную платформу и уникальные возможности для рынка, которые будут интересны как российским, так и зарубежным компаниям.