Интервью с Евгением Волошиным про платформу по поиску уязвимостей BI.ZONE Bug Bounty

Дата: 03.10.2022. Автор: CISOCLUB. Категории: Главное по информационной безопасности, Интервью с экспертами по информационной безопасности
Интервью с Евгением Волошиным про платформу по поиску уязвимостей BI.ZONE Bug Bounty

На международной конференции по практической кибербезопасности OFFZONE 2022 компания BI.ZONE представила собственную платформу по поиску уязвимостей BI.ZONE Bug Bounty. О процессах поиска уязвимостей и о том, что платформа bug bounty дает бизнесу и багхантерам, редакции CISOCLUB рассказал директор по стратегии BI.ZONE Евгений Волошин.

Чем BI.ZONE Bug Bounty может привлечь багхантеров?

Багхантеры приходят на платформы bug bounty, чтобы получить деньги, признание сообщества и безопасность.

Выплата вознаграждений на нашей платформе максимально прозрачна — никаких вопросов от налоговой ни к багхантерам, ни к компаниям. Переводим деньги на рублевые счета или банковские карты в любых банках. 

Мы также развиваем комьюнити на платформе: багхантеры могут знакомиться, обмениваться опытом и следить за рейтингом других участников. На рейтинг влияют две вещи — количество найденных уязвимостей и их критичность. Чем больше исследователь находит критичных багов, тем выше его рейтинг. Благодаря этой механике самые опытные ресерчеры попадают в топ. В итоге сообщество признает их, как сильных хантеров, а бизнес приглашает в приватные программы.

Если же говорить про безопасность, на платформе хантеры могут легально искать уязвимости, не опасаясь уголовного преследования. Кроме того, все договоренности с компаниями сохраняются в комментариях, а в спорных ситуациях BI.ZONE поможет решить проблему.

Что ваша платформа дает бизнесу?

Основная задача BI.ZONE Bug Bounty — вовлечь компании в усиление процесса работы над кибербезопасностью (КБ). Существует стереотип, что bug bounty — это только для зрелых, в плане кибербезопасности, компаний. Мы же открыты для всех.

Компаниям, которые уже имеют опыт работы с КБ-инструментами и bounty-программами, мы предлагаем удобный сервис с гибкой системой участия. Организация может самостоятельно настроить свою программу и выбрать: самой разбирать отчеты багхантеров или оставить это нам.

Для новичков в платформе есть механизмы сопровождения. Например, если компания ни разу не участвовала в bug bounty — специалисты BI.ZONE все объяснят и помогут начать.

Преимущество нашей платформы для бизнеса — отсутствие проблем с выплатами. Процесс полностью легален и прозрачен. Компании, которые раньше не могли участвовать в таких программах теперь тоже смогут это сделать.

Какие есть варианты программ и чем они отличаются?

Есть два вида программ: приватные и публичные.

В первых компании сами выбирают исследователей, контролируют их количество и уровень компетентности. Организациям, которые впервые запускают bug bounty, я советую начинать с приватной программы: это поможет настроить процесс работы с найденными уязвимостями и постепенно улучшать его. Также компании могут руководствоваться рейтингом хантеров, с которым они пришли с других площадок и который заработали на платформе BI.ZONE Bug Bounty.

Что касается публичных программ — в них принять участие может любой ресерчер. Здесь опытные багхантеры соревнуются, кто первый найдет самую дорогую уязвимость, а новички прокачивают навыки. Публичные программы хорошо подходят для компаний с большой IT‑инфраструктурой. Если у компании уже есть приватная программа с максимальными выплатами, а отчетов нет — значит, можно запускать публичную программу. Единственное требование к программам на нашей платформе — участники должны быть гражданами одной из стран ЕАЭС.

Как строится процесс выявления уязвимостей на вашей платформе bug bounty?

Все начинается с создания программы: мы помогаем компаниям настроить ее так, чтобы она была интересной для исследователей и выгодной для бизнеса. Дальше компания публикует программу, указывая ее условия: рамки вознаграждения и границы тестирования. О новых программах bug bounty мы оповещаем багхантеров.

Когда исследователи находят баги, они присылают отчеты. Затем нужно проверить и верифицировать найденные уязвимости. Это трудоемкий процесс: в компании должен быть выделенный специалист, который бы самостоятельно отсматривал весь поток багов, валидировал их и убирал дубли. Если у компании пока нет такого человека, мы поможем разобрать весь наплыв отчетов. Важно понимать: чем дольше компания рассматривает отчеты, тем хуже к ней относятся багхантеры.

Если оценкой уязвимостей занимаемся мы, тогда клиент получает проверенные отчеты с нашими рекомендациями. В таком случае, специалистам компании остается сопоставить наши выводы с особенностями своей инфраструктуры (внешние специалисты не обладают такой информацией) и, если согласны, подтвердить наличие уязвимости. После этого мы выплачиваем вознаграждение багхантеру.

Сколько компании платят за найденные уязвимости? 

Размер максимальной выплаты каждая компания устанавливает самостоятельно. Например, сейчас у нас на платформе есть публичная программа с максимальной выплатой в 300 тысяч рублей. 

Об авторе CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Читать все записи автора CISOCLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *