Журнал "Information Security/ Информационная безопасность" #1, 2024

Если мы не принимаем уязвимость, необходимо грамотно и корректно объ- яснить причины отказа. И при этом важно, чтобы исследователь не ушел от нас с негативной реакцией. Особенность нашей про- граммы BugBounty в том, что она охватывает конкрет- ный перечень недопустимых событий. Мы планируем расширять этот перечень. рить, что эти сроки нами выдер- живаются. – Какова роль внутрен- них команд безопасности в совместной работе с исследователями из Bug- Bounty-программы? – Прежде всего они проводят валидацию отчетов, проверяют релевантность обнаруженной уязвимости. Второе направле- ние – диалог с исследователем, который провел определенную работу и ожидает за нее возна- граждение. Иногда на этом пути возникают сложности, когда выясняется, что уязвимость нева- лидная или является дублем, в связи с чем мы не можем при- нять отчет к рассмотрению. Соот- ветственно, нужно отработать возражения "белого" хакера. Если мы не принимаем от него уязвимость, необходимо грамот- но и корректно объяснить при- чины отказа. И при этом важно, чтобы исследователь не ушел от нас с негативной реакцией. – Как происходит взаи- модействие с исследова- телями в процессе реше- ния обнаруженных про- блем и устранения уязви- мостей? – Взаимодействие происходит непосредственно на площадке BI.ZONE через соответствующий портал. После первичной обра- ботки отчета и передачи его к нам в работу мы проверяем всю присланную информацию и уточ- няем какие-либо детали, если это необходимо. На протяжении всего этапа работы с отчетом оставляем комментарии и ведем диалог с исследователем. – Какие меры прини- маются для обеспечения честности и справедливо- сти в процессе награды и признания участников BugBounty-программы? – После того как отчет отрабо- тают эксперты нашего департа- мента анализа безопасности, в процесс включается комиссия по назначению выплат, где колле- гиально рассматривается отчет исследователя и отзыв наших экспертов на него. На основании этих сведений принимается решение о размере вознаграж- дения. Любой субъективный фак- тор здесь полностью исключен. При возникновении конфликтной ситуации в первую очередь мы стараемся разрешить ее собст- венными силами. В сложных слу- чаях привлекается арбитры, кото- рыми являются представители площадки BugBounty – сотруд- ники BI.ZONE. Они максимально объективны, поскольку заинте- ресованы в популяризации и хорошей репутации как своей площадки, так и всего движения BugBounty в целом. – Каковы планы по даль- нейшему развитию и улуч- шению BugBounty-про- граммы в контексте обес- печения безопасности дистрибутива операцион- ной системы? – Особенность нашей про- граммы BugBounty в том, что она охватывает конкретный перечень недопустимых собы- тий. Мы планируем расширять этот перечень. Сейчас для ана- лиза предоставлены два защит- ных механизма ОС – мандатное управление доступом и замкну- тая программная среда, и этот список будет пополняться. Нам не нужно проверять весь код ОС, мы заинтересованы в кор- ректности работы ее защитных механизмов. Операционная система не единственный наш продукт, у нас есть и другое ПО, которое хочется охватить в рамках BugBounty. Например, один из следующих таких продуктов – платформа управления виртуализацией VMmanager компании ISPsystem. Коллеги уже имеют свою про- грамму BugBounty, размещенную на собственном сайте, и мы хоте- ли бы вывести ее на площадку BI.ZONE, чтобы поднять на новый уровень и привлечь еще больше исследователей. – Как взаимосвязаны процессы рБпо (разра- ботка безопасного про- граммного обеспечения) и BugBounty? Будет ли эффективна BugBounty без внедренных процес- сов рБпо? – Если предположить, что в компании процессов РБПО не существует и мы выпускаем продукт сразу на BugBounty, есть риск того, что багхантеры найдут достаточно большое количество уязвимостей, исправление которых волной захлестнет команду разработки, а совокупный размер выплат исследователям отразится на бюджете продукта. Все это, несомненно, повлияет на дора- ботку имеющегося функциона- ла, сдвинет Roadmap выпуска новых версий продукта, и в целом все это будет больше похоже на "выстрел в ногу". Станет ли в таком случае эффективной программа Bug- Bounty? На мой взгляд, нет. Ведь РБПО – это не только выстраивание процессов, но и внедрение программных средств, например статиче- ских/динамических анализато- ров кода, что позволяет выявлять часть уязвимостей еще на ранних стадиях разра- ботки. А как показывает прак- тика, исправление уязвимости после релиза обходится значи- тельно дороже. l • 31 Управление Уязвимостями www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ "ГРУППА АСТРА" см. стр. 70 NM Реклама Фото: Группа Астра