Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
0 likes344 views
Документ описывает внутреннюю структуру и функциональность программ вознаграждения за поиск уязвимостей (bug bounty) на примере команды Mail.ru. В нем приводятся уровни компенсации за выявленные уязвимости, процессы работы хакеров и аналитиков, а также роли и задачи различных команд, вовлеченных в workflow. Также рассматриваются преимущества bug bounty-программ для компаний, такие как повышение уровня безопасности и работа с сообществом специалистов.
Другая сторона баг-баунти-программ: как это выглядит изнутри, Владимир Дубровин
- 1. Дубровин Владимир как это выглядит изнутри Другая сторона баг- баунти программы 15.02.2020
- 6. Примерные оплаты за Critical / High / Medium / Low уязвимости Tier 1: Main Scope / dedicated BB programs: $20,000 / $5,000 / $1,000 / $200 Tier 2 (extended): Ext A: ~в 2-3 раза меньше основного скопа Ext B: ~в 6-8 раз меньше основного скопа Tier 3 (external/outside): Ext O: ~ в 10-20 раз меньше основного скопа Скопы / тайеры
- 8. Так выглядит команда с обратной стороны экрана
- 9. Как выглядит bug bounty для хакера
- 10. Как выглядит bug bounty для хакера
- 12. Как выглядит workflow у хакера* New – свежий репорт N/A – не приняли L сказали что не баг Informative – не приняли L сказали что-то есть, на security bug не тянет Need More Info – не врубились L что-то спрашивают Triaged – репорт приняли (и не развернули!) (но еще не факт) … $$$$$$ – Profit!!! Closed – Пофиксили Disclosed – О, можно в twitter написать * Для запуска этого workflow надо всего лишь найти баг
- 13. Как выглядит bug bounty для хакера Bug bounty – поиск багов
- 14. Bug bounty – не поиск багов Как выглядит bug bounty с изнанки
- 15. Как выглядит bug bounty с изнанки
- 16. New • Уведомление о возможных критических уязвимостях: – Отправить СМС • Понять является ли поведение ошибочным • Определить, имеется ли импакт для безопасности • Определить является ли проблема критической • Попадает ли проблема в скоп программы • Попадает ли проблема под выплату вознаграждения • Сообщить репортеру результат предварительного анализа или запросить у него демонстрацию импакта • Проставить предварительную оценку класса уязвимости, scope, severity • Затриаджить и уведомить репортера о дальнейших шагах, уведомить если репорт не попадает под программу денежного вознаграждения * для запуска этого workflow надо сначала получить багрепорт Как выглядит workflow с изнанки*
- 17. Triaged • Импорт бага в багтрекер • Назначение аналитику • Валидация аналитиком, воспроизведение, исследование, уточнение условий • Постановка продуктовых задач • Уведомление о критических уязвимостях/инцидентах: – Команда безопасности – Продуктовые команды / эксплуатация – Техническое руководство проекта/компании Как выглядит workflow с изнанки
- 18. Triaged • Определить критичность, затронутые компоненты, классифицировать скомпрометированные данные, выявить возможные инциденты, ознакомиться с BCP • Назначить и выплатить баунти • Взаимодействовать с менеджерами, разработчиками и системными администраторами • Взаимодействовать с партнерам • Взаимодействовать с внешними outsource, opensource разработчиками Как выглядит workflow с изнанки
- 19. Vector -> Vulnerability -> Bug -> Root cause (лирическое отступление)
- 20. Triaged • Vector -> Vulnerability -> Bug -> Root cause • Mitigation • Fix и устранение root cause • Валидация фикса • Идентификация и устранение похожих проблем • Внесение изменений в сканеры, параметры, регламенты, руководства, практики, workflow Как выглядит workflow с изнанки
- 21. Fixed • Довести до логического конца инициированные разовые процессы • Подготовить информацию к раскрытию: – написать summary – уточнить итоговый severity и классификацию (CVSS) – выбрать режим раскрытия – вычистить сенситивную информацию при полном раскрытии – запросить раскрытие у ресерчера – уведомить вендоров и/или community если бага в стороннем продукте Как выглядит workflow с изнанки
- 22. • Можно выкупить баги с черного рынка • Защищает от репутационных рисков и шантажа • Заменяет процесс тестирования безопасности • Заменяет команды разного цвета и pentest’ы сторонними организациями • Можно сказать «у нас все безопасно, потому что мы много платим за баги» И вообще замечательный самостоятельный процесс Зачем это продукту
- 23. • Работа с community (весьма специфичным) • Оценка уровня защищенности для некоторых векторов • Выявление слепых пятен в процессах ИБ и не только • Повышение практических навыков безопасников, разработчиков, системных инженеров • Получение сведений о новых векторах атаки и иногда 0-day уязвимостях • Повышение уровня безопасности, защищенности пользователей и качества продукта за счет изменения внутренних и внешних представлений, процессов и подходов Приносит пользу только при интеграции в другие процессы Зачем это продукту (на самом деле)
- 24. Наблюдения
- 25. • Бюджетирование и финансовые потоки • Определение готовности к запуску bug bounty и добавлению новых скопов • Процесс запуска программы и добавления скопов • Поддержка технологической платформы для проведения программы или интеграция внешней платформы • Аутсорс услуг проведения BB внутренний и внешний (bug bounty as a service) • Разработка правил и условий программы • Описание правил и скопов • Ценообразование • Управление параметрами и бюджетом программы • Таргетирование программы Другие процессы под капотом