Алексей Гришин, VK: Не стоит считать, что все хакеры одержимы только деньгами и личной выгодой

Такой подход отвечает требованиям крупных организаций и холдингов – его отличает наличие централизованного процесса поддержки. В VK есть единая Bug Bounty, которая объединяет множество различных программ, но при этом синхронизированных между собой по ценам и подходам к обработке отчетов.

Второе – установить размер вознаграждения за найденные типы ошибок. В зависимости от уровня защищенности сервиса цена за типовую уязвимость ранжируется – чем выше уровень защиты, тем дороже оплата произвольного исполнения кода (RCE) в сервисе.

Третье – составить маркетинговое описание проекта, указать логотипы и ссылки. Проект должен быть привлекателен, актуален и верно позиционироваться на всех Bug Bounty платформах. От момента старта проекта до анонса в комьюнити исследователей в среднем уходит порядка двух недель.

Cyber Media: Bug Bounty – это не только техническое, но и социальное взаимодействие, причем с самыми разными людьми. Регулярно случаются споры относительно оценки уязвимости, скорости рассмотрения репортов, появления дубликатов. Как компании эффективно разрешать эти ситуации, оставаясь привлекательными для комьюнити багхантеров?

Алексей Гришин: Процесс взаимодействия с независимыми исследователями – один из самых сложных в Bug Bounty. Поэтому первое, что мы делаем, когда получаем отчет, – стараемся максимально критично отнестись к своей работе, поставив себя на место самого исследователя, и проявить максимум эмпатии к нему.

Конфликты мнений могут периодически возникать, и аналитики ИБ должны быть к этому морально и профессионально готовы. Важно уметь хорошо и аргументированно доказывать свою позицию, опираясь на четко прописанные правила и таблицу вознаграждений.

Помогают также единая механика и типовые ответы на приходящие запросы. Такой подход подсознательно сделает диалог более прогнозируемым и спокойным. В программах VK мы всегда выражаем нашу благодарность за каждый из сданных отчетов и отмечаем, к какому пункту из таблицы вознаграждений была причислена выплата и/или же она была бонусной.

Наконец, мы минимум два раза в неделю собираемся всей командой Bug Bounty внутри и оцениваем найденные уязвимости. Чаще всего обсуждается сам факт наличия проблемы в том или ином отчете и/или размер вознаграждения хакеру. Такое вовлечение аналитиков в процесс обсуждения помогает им получить важные знания и аргументы, которые они в дальнейшем смогут транслировать исследователю.

Cyber Media: Как, на Ваш взгляд, должна быть выстроена работа с репортами в компании с момента их получения до устранения выявленной уязвимости?

Алексей Гришин: В VK уже давно сформирован четкий процесс от момента получения репорта до его полного закрытия и финальной коммуникации с исследователем. Я бы выделил несколько важных шагов.

Первое, что оценивает аналитик, когда получает новый отчет на обработку, это его применимость и понятность. Если отчет не полный, к исследователю нужно вернуться за уточнениями. В случаях, когда все описано подробно и доступно, репорт валидируется и проверяется на соответствие правилам программы. Валидные отчеты проверяются на статус дубликата, и если проблема оказывается уникальной, то она берется в работу.

На общей внутренней встрече принимается решение будет данный отчет оплачен или нет, после чего мы информируем исследователя об этом. Для ускорения процесса присуждение оплаты и исправление уязвимости часто проходят параллельно.

После мы возвращаемся к исследователю с просьбой о повторном тестировании. Если он подтверждает, что все было исправлено, то получает свою выплату (если этого не было сделано ранее) и может начать с нами диалог о разглашении отчета для личного PR и/или обучения других участников сообщества.

Cyber Media: Российский рынок за последний год очень сильно изменился: появились не только отечественные платформы, но и выраженный интерес государства к такому формату тестирования инфраструктуры. На Ваш взгляд, как будет развиваться этот рынок дальше?

Алексей Гришин: Рынок Bug Bounty развивается в России классическим волновым методом. Мы видели яркий спад активности в начале 2022, но уже с середины года началась фаза оживления. На российском рынке появились сразу две новые площадки Bug Bounty, очень яркие и конкурентоспособные. Я говорю о платформах от Positive Technologies и Bi.Zone.

В данный момент российский рынок Bug Bounty находится в фазе подъема, активно развиваясь и демонстрируя рост количества программ и выплат в них. VK здесь находится в тренде: мы уже представлены на всех трех российских площадках, включая – bugbounty.ru. Мы уже подняли максимальные выплаты на всех программах в два раза. В будущем бюджеты и рынок в Bug Bounty будут только увеличиваться.

Cyber Media: Практика общения с хакерами: какие рекомендации для владельцев программы можно дать? Расскажите, чем этичные хакеры отличаются от злоумышленников, какие принципы они соблюдают и почему им можно доверять.

Алексей Гришин: Главное, что можно порекомендовать владельцам программ – это писать подробные и четкие правила, всегда им соответствовать при выплатах и объяснять исследователям, почему была определена именно такая сумма.

Также стоит отметить, что важно следить не только за полнотой, но и за скоростью ответа. На текущем этапе развития Bug Bounty в России многие аналитики при разборе присланных отчетов отвечают крайне медленно, а для исследователя скорость ответа важна. Он отрабатывает только один отчет – свой, и им важна скорость реакции на выполненную работу. По этой же причине с исследователями нужно разговаривать и стараться уладить любое его недовольство. Они не будут приносить свои отчеты туда, где их не ждут или относятся неуважительно.

Этичный хакер от злоумышленника отличается тем, что найденную уязвимость злоумышленник использует во вред организации или для личной преступной выгоды, а этичный – чтобы не только легально заработать, но и привлечь внимание к проблеме.

Хочется поделиться парой ярких примеров, когда исследователей мотивируют не деньги, а личные убеждения:

• узнав, что мы не платим за XSS в образовательных порталах как за отдельный вид уязвимости, @BlackFan собрал все найденные проблемы данного типа (около 10 XSS разного вида) в один подробный отчет, который направил нам для устранения. Его мотивировала не награда, а желание обезопасить детей, обучающихся на платформе;
• исследователь @MrDruid регулярно перечисляет все полученные вознаграждения в фонд «Верю в чудо». Примечательно и то, как он стал заниматься благотворительностью – он вызвался бесплатно провести тестирование ИТ-ресурсов хосписа.

Поэтому не стоит считать, что все хакеры одержимы только деньгами и личной выгодой. Многие из них готовы безвозмездно помогать компаниям стать лучше.

Андрей Лёвкин, BI.ZONE: Каждый тридцатый отчет от багхантеров — критичный

Алиса Шевченко, Zero Day Engineering: В будущем у этичных хакеров будет важная миссия – защитить мир от восстания умных роботов

Иван Чернов, UserGate: Наши заказчики – самый активный элемент нашей экосистемы

Александр Быков, Directum: В электронном подписании документов реже используют алгоритмы RSA и чаще переходят на отечественные стандарты

Максим Королев, «Сегежа групп»: 250 указ Президента – это серьезный шаг от «бумажной» информационной безопасности к «практической»

При подготовке материала использовались источники:
https://securitymedia.org/articles/interview/aleksey-grishin-vk-ne-stoit-schitat-chto-vse-khakery-oderzhimy-tolko-dengami-i-lichnoy-vygodoy.html