Зачем маркетплейсы сотрудничают с белыми хакерами: опыт Wildberries и Ozon

Тимофей Черных, фото: Ozon

– Когда и почему ваша компания решила выйти на багбаунти?

Тимофей Черных, Ozon: В среднем ежедневно на нашей площадке оформляется более 4 млн заказов. Мы непрерывно находимся онлайн, поэтому мы выбрали программу багбаунти, чтобы исследователи 24/7, 365 дней в году анализировали наши ресурсы на предмет безопасности и сразу же отправляли отчеты о найденных недостатках. Так мы быстрее на них реагируем.

– Как в вашей компании выстроен процесс управления уязвимостями?

Александр Хамитов, Wildberries: Мы выстраиваем единый процесс работы с уязвимостями независимо от того, где и как они были обнаружены: во время багбаунти, внутреннего аудита, сканирования инфраструктуры или кода и т. д. Все найденные проблемы проходят по одному пайплайну с понятными этапами, где каждый участник процесса знает, что нужно делать и в какие сроки. Это позволяет нам оперативно интегрировать новые источники поиска уязвимостей, не снижая эффективность их устранения.

Безусловно, багбаунти — один из важнейших методов нахождения уязвимостей, который мы активно развиваем. Здесь важно не только оперативно отреагировать на очередную находку, но и правильно оценить ее опасность. Например, мы иногда сами «раскручиваем» уязвимость, когда видим потенциал для ее эксплуатации. Если нам это удается, мы повышаем уровень опасности, а соответственно, и размер выплаты исследователю. Но бывает и наоборот, что мы понижаем опасность и багхантеры с этим не согласны. Например, мы можем снизить уровень опасности, если уязвимость сложна в эксплуатации или имеет низкую вероятность реализации. В таком случае мы стараемся максимально подробно объяснить свою точку зрения, опираясь на факты, чтобы исследователю было проще с нами согласиться. Но это работает в обе стороны: багхантер вполне может убедить нас в том, что опасность проблемы выше, чем нам кажется, и, если аргументы резонные, мы, само собой, идем навстречу.

Это был рискованный шаг, так как обычно в таких случаях компания получает большой поток отчетов, который не может оперативно обработать, или сразу тратит весь свой бюджет. Но мы были готовы к этому и осознанно пошли на риск. И не пожалели, так как за короткий срок смогли оценить текущее состояние защищенности внешнего периметра и быстро исправить все найденные проблемы.

Несмотря на такой масштабный запуск, у нас остается большой простор для расширения скоупа. Например, доступ ко многим ресурсам ограничен — нужно быть подрядчиком или иметь статус ИП или ООО. Для тестирования этих ресурсов мы проводим закрытые мероприятия, где выдаем тестовые учетные записи и иногда даже предоставляем доступ к специальному оборудованию. Так у нас проходил ивент с тестированием умных замков собственной разработки. Кроме того, мы активно развиваемся, и число новых сервисов, как и объем функциональности уже существующих, постоянно растет.

– Сколько отчетов вы получаете в месяц от багхантеров? И какого они уровня опасности?

Александр Хамитов, Wildberries: В среднем мы получаем около 20–30 отчетов в месяц от багхантеров, но эта цифра может сильно меняться в зависимости от сезона и различных мероприятий в рамках программы. Уровень опасности всегда разный, но уже давно вырисовывается тенденция, что критически опасные уязвимости становится сложнее найти, и их приносят реже. 

– Часто ли возникают разногласия с исследователями и что можно сделать, чтобы их избежать?

Тимофей Черных, Ozon: Мы говорим багхантеру, какой уровень опасности (по CVSS) выставляем для обнаруженной уязвимости, и если специалист не согласен, он дает нам об этом знать. В целом выплаты достаточно шаблонны: за один и тот же тип уязвимости мы платим одинаково.

Некоторые багхантеры видят награду в 300–400 тысяч и пользуются формой отчетов, чтобы, например, просто пожаловаться на цвет кнопок или другую мелочь. При этом они определяют этот баг как критически опасный. Случается недопонимание в коммуникации: иногда сотрудник службы информационной безопасности настолько часто слышит об одной и той же уязвимости, что она уходит на второй план, а это не удовлетворяет багхантера. Поэтому было бы здорово подсвечивать белым хакерам направления, в которых уязвимости ищут чаще или, наоборот, реже.

Фото: Bits And Splits/Shutterstock/Fotodom

Александр Хамитов, Wildberries: Такие случаи бывают у всех, и мы здесь не исключение. Лучший способ минимизировать их — это прозрачные правила и качественная коммуникация. Мы всегда объясняем свои решения, опираясь на факты, и готовы учитывать аргументы исследователей. Еще важно быть честными. Например, если разработчики знали об уязвимости, но не зафиксировали ее в трекере, мы все равно выплачиваем вознаграждение исследователю — такой подход помогает сохранить доверие и лояльность багхантеров.

– Какие уязвимости чаще всего находят в ваших системах?

Александр Хамитов, Wildberries: В последние годы наблюдается тенденция: популярные ранее уязвимости (например, различного рода внедрения) встречаются все реже и уступают свои позиции логическим ошибкам, уязвимостям контроля доступа и проблемам, приводящим к раскрытию информации. Это заметно и по изменениям в рейтинге OWASP Top 10, и по статистике HackerOne.

– Сколько в месяц вы тратите на багбаунти? А в год? Как вы планируете бюджет?

Александр Хамитов, Wildberries: Точных цифр не скажу, но мне кажется, что багбаунти — это максимально гибкий инструмент, в том числе с точки зрения бюджета. Можно запускать программу даже с минимальными вложениями, например с небольшими выплатами и ограниченным скоупом. А дальше в зависимости от своих возможностей гибко настраивать правила программы и регулировать поток отчетов и вознаграждений. В целом с начала действия программы в 2023 году за найденные уязвимости различного уровня мы выплатили уже более 9 млн рублей.

– В чем, на ваш взгляд, отличие багбаунти от пентеста и в чем его преимущества?

Тимофей Черных, Ozon: Пентесты для публичных компаний — необходимость: они предусмотрены в нормативном порядке. По итогам пентестов мы получаем отчеты о найденных уязвимостях, о том, как они были закрыты и в какое время.

В целом оба способа проверки защищенности имеют право на существование. Допустим, мы выделяем условные 100 рублей в год на пентест одного сервиса и платим за скоуп. Что нашли пентестеры, мы не знаем, но можем запросить отчет о методах, которые они использовали при проверке. При этом есть шанс, что пентестеры ничего не найдут, и мы фактически заплатим за верхнеуровневое тестирование.

Багбаунти предполагает другой подход. Мы платим те же 100 рублей исследователям безопасности со всей России и не можем заранее сказать, что именно они будут искать и как, но награду багхантеры получат только за найденные уязвимости. Другими словами, багбаунти позволяет платить за результат в виде найденных уязвимостей, а не за услугу.

Александр Хамитов, Wildberries: Добавлю, что багбаунти — это совсем другой масштаб, ведь к тестированию привлекается множество исследователей, каждый из которых обладает уникальной экспертизой. Соответственно, тестирование сервисов проходит максимально широко. 

На багбаунти можно вывести скоуп, для которого не всегда подберешь квалифицированную команду пентестеров, но в рамках программы всегда найдется несколько исследователей, которым это будет интересно, и они это потянут. Например, так мы активно проверяем наши мобильные приложения и устройства IOT.

Фото: Metamorworks/Shutterstock/Fotodom

– Каких результатов вам удалось добиться? Как вы оцениваете эффективность выхода на багбаунти для вашей компании?

Александр Хамитов, Wildberries: За счет запуска и развития программы багбаунти нам удалось не только найти и устранить большое количество уязвимостей, но и поставить этот процесс на поток и сделать так, чтобы наши сервисы, даже самые небольшие, непрерывно подвергались анализу защищенности. Программа багбаунти хорошо себя показала и как дополнение к другим процессам безопасности, иногда даже выступая катализатором их развития. 

– Какие цели выхода на багбаунти вы ставили изначально? Удалось ли их достичь?

Александр Хамитов, Wildberries: Мы хотели за короткий срок протестировать все наши сервисы, которые доступны из интернета, чтобы выявить в них наиболее уязвимые места и пристально заняться доработкой их безопасности. Для нас важно, чтобы защищены были не только ключевые продукты компании, но и вообще весь наш внешний периметр. И программа багбаунти здесь сработала отлично: мы выявили несколько слепых зон и проблемных мест, которые в кратчайшие сроки устранили.

– Что бы вы посоветовали компаниям, которые только планируют выходить на багбаунти?

Александр Хамитов, Wildberries: В первую очередь не бояться, а во вторую — начинать с малого. Например, можно перераспределить бюджет с тех же пентестов и пустить часть на багбаунти. Открыть приватную программу с небольшим скоупом и выплатами, которые вы точно потянете, а дальше в зависимости от ситуации масштабировать программу. Кроме того, важно сделать прозрачные правила и выделить ресурсы на триаж и устранение уязвимостей.

Тимофей Черных, Ozon: Если вы пользуетесь пентестами, попробуйте перераспределить часть ресурсов на багбаунти. Откройте приватную программу, добавьте туда 2–3 багхантеров и дайте им небольшой скоуп, который точно сможете осилить. Выкладывайте целевое предложение, пусть охота за багами происходит в заданных рамках.

Если есть опасения, можно пойти следующим путем: на несколько дней создать цифрового двойника, открыть на платформе багбаунти верхнеуровневый скоуп, найти самые очевидные уязвимости и исправить их, после этого отдать исследователям для изучения образец с наименьшим количеством уязвимостей. Еще один вариант — создать приватную программу и пригласить только известных, проверенных багхантеров.

Retail.ru