Ярослав Бабин, Standoff 365: «Хотим, чтобы этичные хакеры были максимально полезны»

По итогам 2021 года Google выплатил $8,7 млн по программе bug bounty. Это программа, в рамках которой исследователи кибербезопасности, этичные хакеры и энтузиасты за вознаграждение ищут уязвимости в сервисах компаний. Microsoft за год по такой же программе выплатил $13,7 млн. Чем критичнее уязвимость, тем большее вознаграждение может получить исследователь. У Google в прошлом году максимальная выплата была $157 000, а у Microsoft — $200 000.

Программы bug bounty стали привычным инструментом в сфере кибербезопасности. Они есть у многих компаний: Facebook, Twitter, PayPal, GitHub. В России они еще не столь популярны и есть в основном у крупных технологических компаний, таких как «Яндекс», VK, Ozon. Компания Positive Technologies, один из лидеров на российском рынке кибербезопасности, в этом году на своей платформе Standoff 365 предоставила сторонним компаниям возможность запускать собственные программы bug bounty. Как раз там запустили свои программы VK, Rambler & Co и «Азбука вкуса». Платформа полезна не только технологическим компаниям: IT-часть есть практически у любого бизнеса — будь то ретейл, производственная компания или госведомство.

Мы поговорили с CPO Standoff 365 Ярославом Бабиным о том, как устроены программы bug bounty, какой бюджет нужен для запуска такой программы, сколько белых хакеров в России и могут ли они помочь защитить государственные IT-сервисы.

— Ярослав, как устроены программы bug bounty? Как я понимаю, есть этичные хакеры, которые изучают сервисы и сайты компаний. Если они находят уязвимость, то сообщают о ней компании и получают за это вознаграждение. Правильно?

— В целом да. Но не любая компания, у которой есть какие-то публичные сервисы, готова к тому, что ее будут исследовать бесконтрольно. И поэтому компании сначала объявляют, что у них есть программа bug bounty. Прописывают правила этой программы: что багхантеры (этичные хакеры. — Прим. автора) могут исследовать и на какое вознаграждение могут надеяться в случае обнаруженной уязвимости.

— Кто определяет степень критичности уязвимости и какое, соответственно, вознаграждение за нее можно получить?

— Это могут быть внутренние специалисты по кибербезопасности самой компании. Но компания может воспользоваться и сторонними услугами, например нашими, Positive Technologies. Тогда наши ребята, которые тоже занимаются исследованием безопасности, будут оценивать найденные уязвимости. Бывают случаи, когда исследователь не согласен с оценкой, например считает, что это уязвимость средней критичности, а в компании уверены, что низкой. В этом случае исследователь может позвать нас как арбитров.

— Такие случаи часто бывают?

— Это скорее исключение. За полгода работы нашей платформы было три или четыре таких случая.

— Что бывает, если исследователи нашли уязвимость у компании, но у нее нет программы bug bounty? Они все равно стараются достучаться до нее и получить вознаграждение?

— Вообще так делать неэтично. Но если все-таки нашли, то обычно пытаются связаться с компанией, чтобы рассказать о находке. После закрытия уязвимости и по договоренности с компанией они могут, например, рассказать о ней в комьюнити, что положительно повлияет на рейтинг багхантера.

В Positive Technologies одно время не было программы bug bounty. И ребят, которые находили уязвимости в наших сервисах, мы в качестве поощрения приглашали на наш форум Positive Hack Days.

— Этичные хакеры — это обычно кто? Студенты или уже состоявшиеся специалисты по кибербезопасности, у которых такое хобби?

— Я расскажу на своем примере. Увлекаться информационной безопасностью я начал где-то в 2008 году, и это было как хобби. А в 2015 году я впервые решил поучаствовать в программе bug bounty от «Яндекса», где заработал миллион рублей за несколько месяцев и сильно «прокачал» свои навыки. Это и помогло устроиться в Positive Technologies, куда я хотел попасть работать уже давно. Для меня эта компания была своеобразной кузницей экспертов, и я хотел учиться у них. Последние семь лет в компании я работал как раз руководителем отдела исследований защищенности.

Обычно этичные хакеры — это ребята от 18 до 30 лет. По крайней мере у нас сотрудники именно такого возраста. Это могут быть бывшие разработчики или тестировщики либо ребята, которые учились в университете по направлению информационной безопасности. Для старой школы — тех, кто начал заниматься этим в 2005–2010-х годах, — это скорее хобби. Потом сфера кибербезопасности стала довольно популярной, и многие пришли сюда работать.

— По идее специалистам все равно, на каком сервисе искать уязвимости — у условного «Яндекса» или Google. Почему тогда им не сконцентрироваться на зарубежных сервисах? Теоретически там должны быть больше выплаты.

— Мы недавно проводили аналитику и посчитали, что у нас на платформе в среднем такие же выплаты, как и за рубежом: за критическую уязвимость — 420 000 рублей, а в среднем по миру — 450 000 рублей. Правда, тот же Google за крайне критические уязвимости в устройствах готов платить чуть ли не $1 000 000 или даже больше. Но это скорее исключение.

Получать такие большие вознаграждения можно и в России. Например, на Standoff запущена программа bug bounty от Positive Technologies, ориентированная не просто на поиск технических уязвимостей, а на реализацию ключевых для компании недопустимых событий.

Positive Technologies заплатит 10 млн рублей тому, кто сможет взломать компанию и похитить деньги со счетов.

В отличие от традиционных программ, где багхантеры ищут отдельные уязвимости во внешних сервисах и приложениях, Positive Technologies предлагает исследователям реализовать действительно критическое для компании событие — похитить деньги со счетов компании. То есть объединить в одну цепочку несколько уязвимостей, добраться до системы проведения платежей компании и сделать перевод. Этим компания показывает, что расширение и разнообразие атакующей экспертизы — единственный способ, гарантирующий объективную и полную проверку защищенности компании. 

— Есть какой-то рейтинг специалистов по bug bounty? Как они меряются, кто из них круче? По объему полученных выплат?

— Сами ребята между собой конкурируют на основе того, сколько им выплатили компании. Но у нас на платформе, как и на многих известных платформах, есть рейтинг, который дает внутренние очки в зависимости от того, насколько критичная уязвимость была найдена. Рейтинг, в свою очередь, может стать одним из решающих факторов для приглашения в закрытые программы, то есть программы с ограниченным, заранее оговоренным количеством исследователей. Выплаты для них обычно ставятся выше рынка, чтобы привлечь максимальный интерес за короткий период времени. Или даже для найма на работу, как это было с частью наших текущих сотрудников в отделе анализа защищенности.

Багхантеры часто могут давать ссылки на свой профиль на какой-либо из платформ, и ты сразу можешь видеть, какие уязвимости и в каких компаниях он находил, состоит ли он в «залах славы» и т. п. Мы, например, обращаем на это внимание при приеме на работу. А бывали случаи, когда вместо резюме показывали свой профиль на платформе bug bounty — и этого хватало, чтобы человек стал сотрудником компании. Также мы со своей стороны готовы награждать лучших участников мерчем и инвайтами на наши мероприятия Positive Hack Days и Standoff.

— А зачем вообще нужна платформа? Почему компания не может сама объявить программу?

— Если у компании есть своя программа bug bounty и она размещает ее условия у себя на сайте, то не все багхантеры ее увидят. Профит от такой программы будет в разы меньше. Вам нужно будет тратиться дополнительно на продвижение. Платформа же помогает объединить комьюнити исследователей в одном месте. И как только появляется новая программа, этичные хакеры сразу идут туда и начинают искать уязвимости. Компания получает в разы больше профита от исследователей. А количество исследователей позволяет получать стабильно большое количество отчетов об уязвимостях.

— Какой обычно бюджет таких программ? Или он не фиксирован?

— Бюджеты обычно не фиксированы. Мы посчитали, что это примерно 5 млн рублей в год. Но некоторые компании потом еще увеличивают бюджет дополнительно. И сумма сильно зависит от размера выплат. У некоторых программ, например, максимальная выплата 100 000 рублей, а у некоторых программ — 1,8 млн рублей. Это зависит от бюджета самой компании, сколько она готова потратить на bug bounty.

— Есть и другие российские платформы?

— Да, есть еще пара платформ. В мире такие платформы существуют давно, первая появилась больше 10 лет назад. Но для России эта история новая. С начала СВО все зарубежные платформы перестали работать как с российскими исследователями, так и с российскими компаниями, поэтому российские платформы стали более востребованными.

Мы объявляли о разработке Standoff 365 Bug Bounty еще в конце 2021 года, то есть это не совсем история про импортозамещение. Наш продукт про то, чтобы объединить огромное количество исследователей по всему миру, использовать их навыки во благо бизнеса или государства, сделать так, чтобы от хакеров было больше пользы. Этичные хакеры ведь могут не только искать уязвимости по запросу какого-то одного клиента в рамках пентестерских работ, их можно задействовать шире. Например, вендоры, производящие средства защиты информации, вполне могут воспользоваться экспертизой таких исследователей для обучения своих продуктов. Это позволит предлагать пользователю средства защиты, ориентированные на противодействие актуальным угрозам и техникам взлома.

— То есть, по задумке, у вас на платформе будут не только российские, но и зарубежные исследователи?

— Да, мы хотим к этому прийти в 2023 году.

— Со стороны хакеров выбор понятен — у вас большой набор программ. А со стороны компаний? Почему они должны выбрать вашу платформу, а не конкурирующее решение?

— Это работает в обе стороны. Чем больше клиентов, тем больше исследователей. И чем больше исследователей, тем больше клиентов. Я считаю, что у нас сейчас больше всего программ на российском рынке, поэтому и активных багхантеров намного больше. А еще мы предлагаем уникальный формат, о котором я говорил выше. На сегодня этого не предлагает никто.

— Почему компании не выбирают пентесты, когда специалисты какой-нибудь компании по контракту пытаются взломать продукт клиента? Здесь и контракт можно подписать, и условия NDA, а не доверяться неизвестным исследователям.

— Bug bounty — это дополнительная опция для безопасности. В чем разница между пентестами и bug bounty? Пентест — это покупка специалистов на определенное количество времени. Условно, вы покупаете пентест на месяц, специалисты пытаются за этот месяц найти какое-то количество уязвимостей и потом готовят вам отчет. Но за этот месяц они могут найти не все, и клиент не получит всей информации о возможных уязвимостях.

Программа bug bounty же работает непрерывно. Исследователь постоянно что-то ищет, а вам необходимо платить только за конечный результат. Он отправляет уязвимость — вы соглашаетесь с тем, что она критичная. Если найденная уязвимость противоречит политике, то компания может и отказать в выплате. Например, в программах часто исключают атаки с использованием социальной инженерии на сотрудников. Даже за успешную реализацию такой атаки исследователю могут не заплатить. Главный профит для компании: вы платите за результат, а не за время специалистов.

— А как компания может привлечь этичных на свою программу?

— Компания, например, может повышать бюджеты на bug bounty, чтобы багхантерам было интереснее искать уязвимости в ее инфраструктуре. И это частый сценарий. Например, можно кратно повысить вознаграждения за уязвимости, а через какое-то время опять снизить до обычных своих выплат. То есть что происходит? Компания, условно, привлекает интерес исследователей к своей программе, чтобы все в течение недели-двух искали уязвимости только у них. Собирают огромное количество отчетов, потом снижают выплаты и идут исправлять все найденное. Были и другие случаи. «Азбука вкуса» некоторое время платила исследователям внутренними баллами, которые можно было потратить в магазинах сети. И можно было выбрать, получить вознаграждение в рублях либо в 1,5 раза больше баллами.

— Я поизучал вашу платформу, и все равно не сказать, чтобы много компаний запустили свои программы. Почему так? В России программы bug bounty не пользуются популярностью?

— Скорее это связано с тем, что мы запустились всего полгода назад. Мы ожидаем, что до конца года будет с десяток клиентов, а к 2025 году — уже около ста.

— Но все равно ожидаешь увидеть в разы большее число программ. Это же должно быть актуально многим крупным компаниям.

— Я думаю, многие еще опасаются того, что даже этичные хакеры — это что-то плохое и в рамках таких программ они будут действовать в своих интересах. Но, по моему мнению, это такой же инструмент повышения защищенности, как и пентесты, как и независимые аудиты каких-то специалистов и консалтинговых компаний. Бизнес к этому просто чуть позже придет.

Дело в том, что платформа — это как раз способ общения с этими специалистами. А если у вас есть способ взаимодействия с этими исследователями, то они скорее принесут уязвимость вам, получат выплату и добавят себе строчку в резюме о том, что помогли, условно, Google или VK устранить какую-то критичную уязвимость.

— То есть такой опыт принято добавлять в резюме?

— Да, многие пишут о том, что помогли какой-то компании. Компании делают «залы славы» с теми специалистами, которые находят у них большое количество уязвимостей. На Standoff 365, если зайдете в какую-то программу, можете увидеть рейтинг, и там будет каждый специалист, который принес какой-то баг. Ребята об этом пишут в своих резюме. В Positive Technologies, например, около трети экспертов по этичному хакингу, которых мы нанимали, как раз участвовали в таких программах.

— Вы приводили в пример VK — она изначально hi-tech, поэтому в курсе преимуществ программ bug bounty. Насколько часто компании из других областей объявляют программы bug bounty?

— Они точно реже думают о том, чтобы запускать bug bounty. Но есть и исключения. У «Азбуки вкуса», например, программа bug bounty существует с 2020 года. А в мае этого года она разместила свою программу у нас и получила первый отчет всего через час после запуска, а подтвержденную уязвимость — спустя три часа. Пример «Азбуки» показывает, что bug bounty — это отличный способ улучшить свои сервисы и сделать их более безопасными для своих пользователей для любой компании. Наша задача — как раз рассказать миру о том, что с этичными хакерами можно и нужно уметь работать, а программы bug bounty позволяют оценивать защищенность непрерывно, потому что это приносит хорошие результаты.

— Вообще от каких типов уязвимостей может защитить программа bug bounty? Это универсальный инструмент или есть какие-то ограничения?

— Мне кажется, это универсальный инструмент. Тут скорее будет зависеть от умений специалистов. Областей в инфобезопасности огромное количество: есть отдельные эксперты, которые занимаются только мобильными приложениями, есть эксперты, которые занимаются только iOS, есть те, которые занимаются десктопными приложениями. Платформа объединяет их всех. И важно то, что уязвимости в компании будут искать багхантеры с разными компетенциями и из разных стран. Это дает максимальное разнообразие и разносторонность взглядов. Поэтому мы как раз в 2023 году очень хотим получить возможность платить зарубежным исследователям и выйти на международный рынок.

— Если у компании большая внутренняя инфраструктура, к которой нет доступа извне, можно как-то дать доступ к ней в рамках программы bug bounty? Например, выложить ее образ или еще как-то?

— Конечно! Каждый год мы проводим мероприятие Standoff. И на нем как раз мы создаем киберполигон. К нам приходила, например, «Азбука вкуса» со своими кассами самообслуживания, и исследователи обнаруживали критичные уязвимости. Никакой проблемы с тем, чтобы взять какой-то внутренний сервис и расположить его на внешней инфраструктуре, нет.

— Существует ли вероятность того, что уязвимости компании, выявленные в ходе bug bounty, могут оказаться в открытом доступе?

— Такой сценарий, к сожалению, может быть, но он никак не связан с платформой bug bounty и никоим способом не решается ее наличием. Есть случаи, когда багхантеры, обнаружив уязвимость, рассказывают о ней где-то. Правила работы на нашей платформе предусматривают пункт о том, что нельзя разглашать данные без согласия компании-клиента.

— В последние пару лет было очень много утечек персональных данных у крупных компаний. Если бы они использовали программу bug bounty, можно было бы этого избежать или нет?

— Это бы точно помогло исправить уязвимости в продуктах, которыми могли бы воспользоваться злоумышленники.

— Но с другой стороны, штраф за утечки около 60 000 рублей. На программу bug bounty они потратили бы больше денег.

— Тут же дело не только в штрафе, но и в возможных репутационных рисках. Про эти утечки говорят не один месяц. И мне кажется, что для компаний гораздо более критичная вещь — получить негатив в свою сторону, чем штраф.

— Я так понимаю, что Минцифры хочет сделать реестр так называемых недопустимых событий. Ведомства и госкомпании должны будут удостовериться, что в их инфраструктуре таких событий не произойдет. А еще хотели запустить программу bug bounty для госуслуг.

— Все так. Ведомства и компании должны составить список недопустимых событий для себя и начать привлекать специалистов, которые, грубо говоря, будут пытаться реализовать эти недопустимые события. Думаю, что компаниям нужно пройти какое-то количество аудитов, внутренних пентестов. И когда они поймут, что защищены и пентестеры уже не могут их сломать, то следующим логичным этапом будет запуск bug bounty. Наша платформа позволяет это делать, и они могут размещать свои программы у нас.

— Сколько по времени занимает запуск программы bug bounty — от момента, когда захотели запустить, и до того, как она появилась на вашей платформе? Какие процедуры надо пройти?

— В среднем у клиентов это занимает где-то полтора-два месяца, но это с учетом составления политики поиска уязвимостей, выбора сервисов (так называемые границы исследований, чтобы багхантеры не тестировали все подряд) и согласования договора.

Обычно основная часть времени уходить на то, чтобы юристы компании проверили договор, поправили его под себя. Там есть про ответственность за разглашения, о том, что мы также подписываем NDA, о том, что мы не имеем права просматривать отчеты, которые присылают исследователи, и так далее.

— То есть вы не видите отчеты об уязвимостях?

— Нет, их видят только специалисты компании-клиента. Мы можем его увидеть, если у исследователя и нашего клиента возник какой-то спор. В этом случае мы получаем разрешение от клиента на доступ к отчету. В любых иных случаях это конфиденциальная информация. Если у компании нет своих специалистов по кибербезопасности или их недостаточно, то мы можем подписать отдельный договор на дополнительную услугу, и тогда наши специалисты займутся изучением, ранжированием, проверкой выявленных уязвимостей и составлением рекомендаций по их устранению.

— Сколько сейчас хакеров у вас на платформе?

— Сейчас около 3000. А сумма утвержденных вознаграждений этичным хакерам уже превысила 8,5 млн рублей. В следующем году мы планируем расшириться и международными исследователями, поэтому я рассчитываю, что будет как минимум в два раза больше, а максимально — около 10 000.