Краудсорсингом по багам
Руководитель программы Bug Bounty холдинга VK Алексей Гришин также назвал задачей процесса не обнаружение единичных ошибок, а получение "потока багов". Вместе с тем количество выявленных проблем является плохой метрикой, поскольку далеко не все из них могут привести к критическому инциденту. По мнению руководителя отдела безопасности ПО "Лаборатории Касперского" Дмитрия Шмойлова, Bug Bounty является инструментом проверки себя на зрелость. Также это краудсорсинговый инструмент поиска возможных проблем, но при этом компания должна быть готова за это платить.
Также Bug Bounty нельзя путать с пентестом. Bug Bounty позволяет найти более широкий перечень проблем, также отличается модель оплаты. Как отметил Лука Сафонов, в случае Bug Bounty оплата идет по результату, тогда как за пентест платить придется в любом случае. Плюс ко всему, Bug Bounty охватывает всю компанию, тогда как пентест проводится на заданном ресурсе. По мнению Дмитрия Шмойлова, пентесты и Bug Bounty не исключают друг друга. Более того, проведение пентеста перед запуском программы Bug Bounty будет полезным.
Но при этом, как предупредил Лука Сафонов, у участников Bug Bounty есть риск попасть под уголовную статью о вымогательстве. Тем более что соответствующая культура пока в России не сложилась. Именно по этой причине специалисты по поиску ошибок и уязвимостей будут опасаться работать на госплощадке, создание которой недавно анонсировано Минцифры. Однако Ярослав Бабин обратил внимание, что, помимо материального интереса, могут быть и другие мотивы участия в программах Bug Bounty, тем более что значительная часть ИБ-специалистов готовятся в учебных заведениях ФСБ, ФСО, Минобороны и прочих весьма серьезных структурах, для которых важной задачей является получение комплекса соответствующих навыков, необходимых для дальнейшей работы. Да и гражданским специалистам часто нужен материал для исследований.
Bug Bounty для многих является основным источником заработка. Хотя, по оценке Ярослава Бабина, обычно все же это, скорее, подработка в свободное от основной работы или учебы время. Также участие в соответствующих программах для многих является одним из способов направить свои способности в легальное русло, а значит, несет важную социальную функцию. Также Ярослав Бабин обратил внимание, что в рамках Bug Bounty платят и за такие уязвимости, которые неликвидны на теневом рынке.
По мнению Луки Сафонова, лучшие специалисты по Bug Bounty получаются из разработчиков и администраторов старой школы, которые имеют глубокие знания в области построения и функционирования ПО и сетей. Как отметил CISA Delivery Club Илья Сафонов, лучшие специалисты по поиску проблем в B2B-приложениях получаются из тех, кто их внедряет и настраивает.
Роль платформ участники дискуссии оценили очень высоко. Прежде всего платформа должна на себя брать функции арбитра между заказчиками и исполнителями. Тем более что конфликты между обеими сторонами возникают регулярно. Как правило, они связаны с оплатой. Впрочем, по единодушному мнению участников дискуссии, если обманывать с оплатой, то заказчик быстро потеряет репутацию и его заказы будут игнорировать. Вместе с тем, как напомнил Алексей Гришин, существует несколько обстоятельств, позволяющих не платить за обнаруженные проблемы. Это, например, дубликаты, когда одну и ту же проблему обнаружили несколько специалистов или команд. Тут на вознаграждение может претендовать только тот, кто найдет проблему первым. Также не принято оплачивать обнаружение уже известных, но еще незакрытых уязвимостей.
Участники дискуссии посетовали на проблемы, связанные с тем, что зарубежные площадки после начала украинского кризиса оборвали связи с российскими компаниями и командами ресерчеров, в том числе и крупнейшая HackerOne, которая контролировала 40% рынка. При этом интерес к привлечению российских специалистов по поиску уязвимостей сохраняется. Как отметил Дмитрий Шмойлов, который работал на HackerOne, диалог с этой площадкой сохраняется. А отечественные площадки испытывают серьезные сложности с оплатой услуг зарубежных команд, в том числе за уже выполненные работы.