Число киберпреступлений в России постоянно увеличивается. Рост обусловлен тем, что злоумышленники быстро интегрируют новые технологии в мошеннические схемы. Например, в последнее время хакеры стали активно использовать искусственный интеллект.
Компании ищут способы защиты. Традиционно используют методы сканирования уязвимостей и анализа защищённости. Новый тренд — программа багбаунти. Рассказываем, что это за подход, каким компаниям он подойдёт и как его применять.
1. Что такое багбаунти?
Программа багбаунти — это способ поиска уязвимостей в своих продуктах или системах с помощью внештатных специалистов-багхантеров. Они ищут уязвимости и анализируют возможные последствия в случае взлома. Им платят не за процесс поиска, а за результат.
Плюс багбаунти — непрерывное получение информации об уязвимостях в инфраструктуре и возможность избавиться от проблем ещё до их появления.
2. Каким компаниям подходит багбаунти?
Такой подход станет идеальным для компаний с постоянным обновлением систем. Если бизнес постоянно растёт, то меняется и ИТ-инфраструктура. Багбаунти поможет отслеживать уязвимости после каждого изменения.
Также метод необходим компаниям, которые постоянно обрабатывают большой объём персональных данных и платёжной информации. В таком случае необходима высокая степень защищённости, а значит, для решения задачи нужно привлечь сразу несколько специалистов.
Читайте ещё
Киберучения бизнеса. Как и для чего их проводят
Упал — поднялся. Как быстро восстановить бизнес после кибератак
Груз в безопасности: как защитить логистические проекты от киберпреступников
Бесценные данные. Как защитить уязвимый бизнес от утечек
3. Что нужно компании для запуска багбаунти?
После предоставления отчёта от багхантера компания должна проверить результаты на своей стороне. Поэтому необходимо проработать последовательность действий валидации результатов.
- Если отчёт оказался некорректным, то у багхантера можно запросить детали.
- Иногда результаты проверки могут не соответствовать программе багбаунти — в таком случае компания предоставляет развёрнутый ответ с объяснением причины отказа принять документацию.
- В случае сдачи корректного отчёта компания анализирует, не находили ли эту уязвимость ранее, а дальше оценивает критичность ошибки и выплачивает вознаграждение.
- Уже после этого внутренняя команда разработчиков устраняет ошибки.
4. Можно ли не платить за некачественные отчёты?
Перед составлением задания для багхантера готовится специальная программа с правилами. В этом документе указывается степень критичности уязвимостей и то, какие баги нужно искать. Поэтому, если исследователь нашёл баг, который не был указан в программе, его можно не оплачивать. Не оплачиваются уязвимости, которые были найдены ранее, например, при внутреннем аудите или другими багхантерами.
5. Что делать, если возникла конфликтная ситуация?
Так как условия багбаунти отличаются от рыночных, есть риск возникновения конфликтов между заказчиком и исследователем. Как правило, всё решается прозрачными правилами программы с прописанными процедурами проверки, сроками и другими важными аспектами. Но, если конфликтная ситуация всё-таки случилась, можно попросить помощи у представителей платформы, через которую компания нашла багхантера.
Ответы на другие вопросы о багбаунти ищите в статье на СберПро.
#Технологии #Кибербезопасность