Почему Bug Bounty становятся популярнее?

Все чаще компании прибегают к помощи внешних исполнителей для поиска уязвимостей в своих сервисах и приложениях. На специализированных платформах запускаются Bug Bounty программы. Независимые исследователи – участники могут получить крупную сумму за найденные ошибки.

Как всё начиналось?

Первой компанией, создавшей программу Bug Bounty, была Netscape. В 1995 году американский производитель веб-браузеров впервые запустил платформу. В 2004 году Bug Bounty появилась у Mozilla. Довольно быстро их примеру последовали Google, Facebook, Microsoft, Tesla, Pinterest, Uber и другие. Сегодня среди заказчиков Bug Bounty числятся госструктуры и организации в области финансов и здравоохранения.

Что такое Bug Bounty?

«Баг-баунти программы можно представить как специализированный рынок, где встречаются компании и белые хакеры. Компании предлагают свои сервисы и хотят, чтобы в них искали уязвимости. Хакеры предлагают свои знания и умения для поиска самих уязвимостей, — комментирует Нияз Кашапов, эксперт образовательного центра по кибербезопасности CyberEd. — Сами уязвимости делятся по степени сложности и опасности. Самые оцениваемые – SQLi, RCE, XSS с импактом. Самыми неоцениваемыми являются уязвимости в сторонних решениях или просто техническая информация без импакта».

Как выглядит российский рынок ВВ?

Российский рынок bug bounty находится на стадии активного формирования. По данным компании Positive Technologies, уже в 2020 году Россия вошла в тройку стран с самым высоким уровнем дохода багхантеров, обогнав Китай и Германию. В стране действуют три основные платформы: Bugbounty.ru, Standoff 365 Bug Bounty и BI.ZONE Bug Bounty. При этом 50% программ в РФ являются закрытыми, т.е. количество исследователей в них строго ограничено и заранее оговорено.

Мнение эксперта: На мой взгляд, данное направление только начинает развиваться, поэтому бывают определенные проблемы и пока еще мало программ. Последний раз мне около 4 месяцев выплачивали вознаграждение, но это лучше, чем ничего (Артем Комарский).

Начать зарабатывать в BB: легко или сложно

Артем Комарский, эксперт образовательного центра по кибербезопасности CyberEd:
Легко начать — нужно всего лишь пройти обучение на специальной платформе. После этого уже можно начинать зарабатывать, следить за новостями: какие новые уязвимости появляются; изучать, как они работают и применять на практике. Если есть навыки программирования, то можно автоматизировать это и применять свои шаблоны для поиска однотипных уязвимостей, например, использовать Nuclei*.
Сложно начать – нужно изучать конкретные фреймворки, на которых пишется веб- приложение; понимать, где у этого фреймворка слабые места и применять это для поиска в BB.
_{*Nuclei – инструмент, который используется для отправки запросов через указанную цель на основе шаблонов.}

На выплатах реально заработать?

Каждая компания сама определяет сумму выплат. Чаще всего она зависит от потенциальных потерь при эксплуатации уязвимостей blackhat’ами. Это от 5 до 20% возможных реальных потерь компании. Конечно же, учитываются и репутационные риски, а не только прямые потери, — поясняет Нияз Кашапов. — В основном, находят low или medium, в зависимости от полноты отчета и сложности обнаружения уязвимостями.
Выплата за работу по программам Bug Bounty в Яндекс составляет до 750 тысяч рублей. Positive Technologies обещает до 224 200 рублей, портал Mail.ru – до 180 000 рублей, а Дзен – до 60 000 рублей. Самые высокие вознаграждения у Apple и Microsoft. Компания Microsoft выплатила $13,6 млн исследователям по кибербезопасности за 2020 год. Google в 2019 году повысил максимальное вознаграждение багхантерам с $5 тысяч до $15 тысяч. Корпорация Apple увеличила выплату до миллиона долларов.

ВВ действительно помогает компаниям?

Крупные международные компании ответственно относятся к безопасности своих пользователей. Bug Bounty – один из способов поиска потенциальных уязвимостей и их быстрого обезвреживания. Сегодня корпорация Microsoft выплачивает вознаграждения за найденные уязвимости, в том числе связанные с работой операционной системы Windows, Office 365, сайта GitHub, геймерских сервисов Xbox, учетных записей, доменов и конечных точек Microsoft.
Если бы программа Bug Bounty не помогала, то ее, наверное, и не использовали бы в настоящий момент. Она позволяет найти уязвимости и закрыть их без существенных репутационных и финансовых потерь. Ущерб от эксплуатации уязвимости злоумышленником может нанести серьезный вред компании, вплоть до закрытия бизнеса или потери части клиентов, — комментирует Игорь Кривонос, эксперт образовательного центра по кибербезопасности CyberEd.

С чего стоит начать, если хотите построить карьеру багхантера и начать зарабатывать на Bug Bounty?

Почитать блоги по теме Detectify Labs Infosec Write-Ups Appsecco These aren’t the access_tokens you’re looking for Geekboy | Security Researcher Learn|Think|Hack BUG BOUNTY HUNTING (METHODOLOGY, TOOLKIT, TIPS & TRICKS, Blogs)
Помимо блогов рекомендуем почитать следующие книги Web Application Hacker’s Handbook Mastering Modern Web Penetration Testing The Hacker Playbook 1, 2 and 3 The Mobile Application Hacker’s Handbook Breaking into Information Security Web Hacking 101

Шеметов Сергей

Профессиональный трек «Специалист по тестированию на проникновение ИТ-инфраструктуры R-430»

Почему CyberEd?

На многих конференциях по информационной безопасности, видел выступления основателя школы CyberEd Егора Богомолова. У меня сложилось мнение, что Егор по-настоящему увлечен, полностью посвящает себя и отдается своему делу, идее, при этом умеет донести простым языком сложные вещи, как говорится «зажечь искру». Для меня, как для человека, у которого не было бэкграунда в IT, это было очень важно. Изучив преподавательский состав школы, решение принял быстро и однозначно.

По обучению.

Это было не просто обучение в теории, а настоящие реальные сценарии, с которыми сталкиваются в работе специалисты по тестированию на проникновение ежедневно. Мне был очень интересен их практический опыт.

Преподаватели очень доходчиво все объясняли, без «воды», отвечали ВСЕГДА ОПЕРАТИВНО на все вопросы, причем в любое время дня и ночи)).

Для понимания курса считаю обязательным прохождение предварительной базовой подготовки. Мне, как человеку, у которого нет опыта в IT сфере, требовалось гораздо больше времени на усвоение пройденного материала и решения лабораторных работ.

Пройденное обучение в CyberEd подготовило меня к решению реальных задач в сфере тестирования на проникновение. Я благодарен преподавателям за их преданность делу и профессионализм. CyberEd – коллектив настоящих профессионалов.

Гаркуша Сергей

Профессиональный трек «Специалист по безопасной разработке приложений S-410»

Я пришел в CyberEd на данный курс, чтобы развиваться в направлении безопасной разработки. Хотел бы отметить, что сейчас огромное количество курсов, но все они в основном для начинающих и рассказывают базовую теорию, а данный курс позволяет повысить свои компетенции тем, у кого уже есть опыт работы. Несмотря на то, что я пришел на курс с небольшим опытом, я вынес для себя много полезной информации. Особенно зацепило то, что в нем было очень много практических аспектов, которые в интернете в свободном доступе достать не получится. Данное направление в России еще только на этапе развития, поэтому и обучающих материалов не так много.

Обучение состояло из онлайн лекций, на которых частично рассказывалась теория и далее показывалось выполнение различных практических задач, которые необходимо было повторить в качестве домашнего задания, а потом интерпретировать на финальную работу, но уже с другим проектом.

Также большим плюсом является то, что можно было попросить усложнить материал в индивидуальном порядке (это особенно полезно для тех, кому кажется, что уже достигли потолка). Преподаватели – опытные специалисты в этом направлении. Им можно было задать абсолютно любые вопросы по данной тематике, как легкие, так и сложные, что очень помогло мне в ходе работы.

Минаев Владимир

Профессиональный трек «Специалист по тестированию на проникновение ИТ-инфраструктуры R-430»

Отзыв о курсе, который я прошел в CyberED, просто не могу не оставить! Этот курс был для меня великолепным опытом и получением реальных практических знаний.

Прежде всего, я хотел бы отметить, что преподаватели в CyberED — просто лучшие из лучших. Они являются настоящими профессионалами и смогли поделиться со мной огромным багажом своих знаний и опыта. Их подход к преподаванию был понятным и доходчивым.

Я также хотел бы отметить, что перед прохождением данного курса, я рекомендую пройти бесплатный курс «Белый хакер» на Stepik. Этот курс даст вам хорошую базу знаний и позволит более осознанно и продуктивно проходить обучение в CyberED.

Что меня приятно удивило в этом курсе, так это его современный, открытый и доброжелательный стиль. Преподаватели постоянно стимулировали студентов задавать вопросы и обсуждать пройденный материал. Это было очень полезно, так как позволяло лучше усвоить информацию и затем применять ее на практике.

Весь материал, который мы изучали на курсе, был актуальным и полезным. Я получил множество навыков и инструментов, которые я уже начал применять в своей работе. Важно отметить, что курс был достаточно интенсивным, но благодаря поддержке преподавателей, я мог обратиться за помощью в любое время.

Надир Мустафин

Всем рекомендую данную школу. Мое погружение в ИБ и в ИТ началось именно тут.

До данных курсов я мог только вкл/выкл комп, установить ПО. Сейчас работаю специалистом ИБ в одной из крупных ИТ-компаний РФ в области ИБ.

Хочу отметить таких преподавателей как Ильдар, Иван, Павел, Александр, Ярослав — это большие профессионалы. А главное они по-человечески относятся к обучающимся разных уровней и всегда помогают. Раскрывают тему максимально подробно и дают материалы для дальнейшего изучения.

Благодаря им и школе спустя половину курса (на 6-ой месяц из 12), я уже устроился на работу.

Также хочу отметить, что кураторы и руководители школы всегда стараются помочь в вопросах обучения и расписания.

Нравится максимальная открытость и поддержка.

Для тех, кто только начинает свой путь, могу сказать, что это отличное место для старта, НО только если готовы уделить 90% своего свободного времени. Без собственных усилий ничего не получится.

Для опытных спецов скажу, что также курс предполагает углубленные темы и задания повышенной сложности.

Думаю, что на своем данном этапе я бы почерпнул бы еще больше если пошел на курсы с текущими знаниями. Такого мнения и сокурсники с опытом.

В качестве огромного бонуса — это контакты таких же единомышленников!

До сих пор с ребятами и преподавателями дружим)