Эксперт усомнился в эффективности программ «Bug Bounty»

В последнее время для тестирования безопасности своих web-приложений компании все чаще обращаются к сторонним исследователям. В частности, большую популярность стали приобретать программы «Bug Bounty», в рамках которых за предоставление данных об уязвимостях экспертам полагается денежное вознаграждение. Подобные программы действуют во многих компаниях, в том числе в Microsoft , Uber , General Motors и многих других. Собственная программа выплаты вознаграждения за сообщения об уязвимостях есть даже у крупного порносайта PornHub .

На самом деле «Bug Bounty» не так эффективны, как может показаться, уверен глава High-Tech Bridge Илья Колошенко. Как сообщает компания WhiteHat Security, практически 80% всех существующих сайтов уязвимы к межсайтовому скриптингу. В то же время на долю XSS припадает 66,24% уязвимостей, о которых стало известно в рамках «Bug Bounty» (по данным Bugcrowd).

Для обнаружения различных типов XSS-уязвимостей существуют более-менее надежные автоматизированные сканеры, позволяющие обойтись без посторонней помощи. Безусловно, полученные с их помощью результаты часто оказываются ложноположительными, а для работы с самими сканерами требуются определенные навыки и время. Тем не менее, на правильную организацию программы «Bug Bounty» у компаний может уйти куда больше ресурсов.

По данным Bugcrowd, в нынешнем году вознаграждение за одну обнаруженную уязвимость в среднем составляет $505,79. Приобретение сканера с лицензией на один год обойдется дешевле, чем выплата исследователям поощрений за десяток XSS-уязвимостей.

Не в пользу программ выплаты вознаграждений говорит и возраст их участников, считает Колошенко. Возраст 75% исследователей, занимающихся поисками уязвимостей, составляет 18-29 лет (известны случаи , когда вознаграждения выплачивались даже детям). По словам эксперта, среди столь молодых участников редко встречаются настоящие профессионалы. Дело не столько в отсутствии навыков и опыта, как в неумении правильно преподнести свою работу. Обнаружение уязвимости представляет собой только первый шаг. Далее ее следует оценить и соответствующим образом презентовать, в противном случае исследование теряет всякий смысл.

Для 85% участников подобных программ поиск уязвимостей – всего лишь хобби (70% посвящают ему менее 10 часов в неделю). Там, где бессильны исследователи, победа достается киберпреступникам, считает эксперт. В погоне за большими деньгами и славой они могут работать круглосуточно в течение долгих недель и в итоге сделать то, что не удалось исследователям-любителям. Конечно, существуют исключения, но они только подтверждают правило. С такой точки зрения идея «Bug Bounty» подходит для тестирования платформ и систем, предназначенных для широкой аудитории, но в случае с небольшими компаниями она бесполезна и даже опасна, поскольку дарит ложное чувство защищенности.