Ценность багбаунти площадок для бизнеса
В современном мире невозможно себе представить полностью изолированный от внешнего мира бизнес. Таким образом, бизнесу необходимо открываться навстречу миру и клиентам – бизнес это и делает при помощи собственных веб-ресурсов, приложений и сервисов. Соответственно, такие веб-ресурсы, приложения и сервисы становятся доступными для неограниченного круга лиц.
Проводя аналитику возражений, поступающих нам от владельцев бизнесов по поводу размещения принадлежащих им веб-ресурсов, приложений или сервисов, по поводу негативных ассоциаций, связанных с размещением заказов на багбаунти площадках, можем констатировать, что подавляющее большинство таких возражений связано с нежеланием «открывать ящик Пандоры», то есть показывать открытость бизнеса к диалогу о потенциальных уязвимостях. Владельцы бизнесов зачастую опасаются, что размещение заказа на багбаунти площадке может негативно сказаться на работоспособности ресурса, приложения или сервиса. Помимо этого, между строк недосказанным читается простой принцип «не буди лихо, пока оно тихо», то есть банальное нежелание привлекать внимание «хакеров» к ресурсу (приложению, сервису).
Вместе с тем, необходимо также отметить, что в последние 5-10 лет отчетливо наметился тренд на запрос пользователей веб-ресурсов, приложений и сервисов на достаточный уровень секьюрности. Пользователи желают быть уверенными в том, что их персональные данные и личная информация не будут раскрыты и не станут достоянием общественности (не обязательно в противоправных целях). Поэтому секьюрность ресурса (приложения, сервиса) становится одной из «мастхэв» опций бизнеса, связанного с цифровыми технологиями.
При работе с возражениями бизнесов мы, как правило, приводим простой аргумент: на самом деле абсолютно любой ресурс (приложение, сервис) в абсолютно любой момент времени может стать целью и объектом внимания заинтересованных лиц (называть их можно как угодно: злоумышленники, акторы, «хакеры», «блэкхэты» или просто «жулики»). Вот только не-размещение на багбаунти площадке никак не связано с возникновением такого нездорового интереса. И в отличие от размещенного на багбаунти площадке ресурса при обнаружении уязвимости лицо, ее обнаружившее, вряд ли пойдет к владельцам бизнеса, чтобы сообщить об этом. Вероятнее всего, в случае успешной эксплуатации обнаруженной уязвимости лицо, получившее некоторый объем конфиденциальной информации, будет стремиться к тому, чтобы извлечь материальную выгоду от продажи этой информации заинтересованным сторонам или от поднятия собственного рейтинга при выкладывании, как говорится, «в паблик».
В этом и заключается основная польза багбаунти площадок для бизнеса: при размещении собственных ресурсов для тестирования владельцы бизнеса получают доступ к ресурсу скиллов представителей «вайтхэт» сообщества, причем это разнонаправленные скиллы, как правило, прошедшие сильную индивидуальную селекцию при практической многолетней работе. И специалисты, которые тестируют безопасность размещенных на багбаунти площадках ресурсов (приложений, сервисов) не стремятся причинять вред бизнесам, а как раз наоборот – ведут диалог о получении разумного вознаграждения в соответствии с существующим и признанным в цивилизованном мире своеобразным «прейскурантом» в зависимости от степени критичности уязвимости. Поэтому бизнес, тестирующий свои информационные ресурсы с использованием багбаунти площадок, может всерьез рассчитывать на первоочередное выявление уязвимостей сообществом «белых шляп», «этичных хакеров» до того, как такие уязвимости будут обнаружены злоумышленниками.
Любой веб-ресурс может быть объектом атаки в совершенно любой рандомный момент времени. Так не лучше ли управлять этим процессом, насколько это возможно? Безусловно, гораздо приятнее управлять процессом методичного выискивания брешей в защите, а не просто ждать, пока случится негативное событие, которое подорвет репутацию. Размещение веб-ресурсов для тестирования на багбаунти площадках не увеличивает конечные риски, но в значительной степени снижает их.
И еще один немаловажный аргумент. Адресованный также владельцам бизнесов. Подумайте: разве стали бы такие гиганты, как Форд, Пэйпал, Старбакс, Твитер, Амазон, Хилтон (список далеко не полный, приведены только абсолютно и безусловно общеизвестные названия) – стали бы они связываться с размещением своих ресурсов на площадках багбаунти, если бы досконально не просчитали конечный фактический профит от такого размещения?