Журнал "Information Security/ Информационная безопасность" #3, 2025

Отсутствие активности – еще не сигнал безопасно- сти. Это повод пересмотреть условия участия и подход к взаимодействию с сообществом исследовате- лей ИБ. Программы баг-баун- ти не заменяют полно- ценный аудит или стресс-тестирование. Это открытая форма взаимодействия с иссле- дователями, в рамках которой охотник выпол- няет задачи, описанные в пра- вилах конкретной программы баг-баунти. Зачастую уязви- мость нулевого дня может быть найдена случайно – как побоч- ный результат поиска более сложных или редких багов (например, RCE, SSRF или IDOR), но даже в таком случае это, скорее, исключение. На практике все часто про- исходит наоборот: исследова- тель сначала изучает популяр- ную информационную систему вне программы, находит потен- циальный вектор атаки, который может включать в себя уязви- мость нулевого дня, и только потом воспроизводит его в рам- ках баг-баунти. Это позволяет привлечь внимание к незащи- щенности системы, особенно если вендор ранее ее игнори- ровал. Отсутствие багов в отчетах – не гарантия безопасности Если программа баг-баунти не получает отчетов, это не всегда свидетельствует о высо- кой защищенности системы. Чаще это связано с низкой при- влекательностью проекта для ИБ-специалистов. Например, поиск отдельных классов уязвимостей (вроде RCE или SSRF) может быть слишком трудоемким по сравне- нию с потенциальным объемом вознаграждения. Иногда тести- рование ограничено, так как требуются регистрация, под- тверждение личности или рабо- та через специальные каналы доступа к информационной системе. В других случаях охот- ников просто не интересует набор целей для тестирования: система обновляется редко, отчеты игнорируются, интерес угасает. Отсутствие активности – еще не сигнал безопасности. Это повод пересмотреть условия участия и подход к взаимодей- ствию с сообществом исследо- вателей ИБ. Почему баг-баунти находит то, что пропускает автоматизация? Одна из сильных сторон программ баг-баунти – воз- можность выявлять ошибки, недоступные традиционным сканерам. Машина ищет сиг- натуры и шаблоны, а иссле- дователь работает с логикой: тестирует поведение системы в конкретном контексте. Именно такие сценарии чаще всего приводят к обходу меха- низмов защиты. По статистике 2 платформ, около 10% отчетов содержат уязвимости средней и высокой критичности, которые требуют оплаты, реакции и исправления. До 40% включают менее опас- ные ошибки, а более половины отчетов оказываются нереле- вантными. Там, где автоматизация не видит проблем, человеческая внимательность может дать результат. Когда эксплойт обходит защиту: как реагировать? Даже зрелые компании могут столкнуться с тем, что эксплойт проходит сквозь действующие механизмы защиты. В таких случаях особенно важна 72 • УПРАВЛЕНИЕ Охота за саморефлексией 2025 г. на 20% увеличилось число открытых вакансий “белых” хакеров 1 , а потребность в выявлении критических угроз на ранних этапах только выросла. Практика багхантин- га постепенно становится методом для ускорения обнаруже- ния уязвимостей, но всегда ли это происходит до появления патча? В Алексей Гришин, директор по развитию сервисов кибербезопасности Бастиона Фото: Бастион 1 https://www.forbes.ru/tekhnologii/538797-cislo-vakansij-dla-belyh-hakerov-v-rossii-vyroslo-v-2025-godu-na-20 2 https://habr.com/ru/articles/815883/