Евгений Руденко, директор п ... Евгений Руденко, Rambler&Co: Bug Bounty – это привычный и понятный инструмент для многих российских компаний
Евгений Руденко, Rambler&Co: Bug Bounty – это привычный и понятный инструмент для многих российских компаний...
Евгений Руденко, директор по кибербезопасности Rambler&Co, в рамках Standoff 10, рассказал порталу Cyber Media о процессе выхода на российскую платформу Bug Bounty, пороге вхождения в багхантинг для компаний, первых впечатлениях и разнице между работой с иностранными и российскими площадками.
Cyber Media: Standoff – это не первый опыт участия Вашей компании в программах Bug Bounty. На Ваш взгляд, насколько он отличается от опыта работы с российской платформой?
Евгений Руденко: Да, у нас уже был опыт участия в Bug Bounty, до этого мы взаимодействовали с платформой HackerOne. Разница есть, но она некритичная. Например, HackerOne функционирует уже десять лет, а Standoff – молодая платформа. Как и для любого нового продукта ей свойственны небольшие недочеты с точки зрения интерфейсных особенностей и некоторых процессов, которые постепенно прорабатываются.
В то же время нам с местными коллегами проще находить общий язык. Тут сразу совокупность факторов: и меньшая «закостенелость» относительно старожилов рынка, и более глубокое погружение платформы в контекст именно российских реалий.
Есть определенные аспекты с точки зрения оформления документов и финансовых операций – проводить все это в рамках одной страны объективно проще.
Cyber Media: Насколько сложно войти в Bug Bounty с позиции компании?
Евгений Руденко: Это несложно, если у компании уже есть выстроенные процессы AppSec, безопасной разработки и другие элементы кибербезопасности. Как минимум на первое время понадобится выделить отдельного человека в команде, который будет отвечать за взаимодействие с платформой и разбор репортов, особенно если у компании много продуктов. Важно, чтобы выход на Bug Bounty был частью системного подхода к кибербезопасности, логичным шагом к использованию нового инструмента.
К платформе можно присоединиться практически «с нуля», без выстроенных ИБ-процессов, но вряд ли это целесообразно, и да, тогда трудности определенно будут. Частично их сможет разрешить команда самой платформы, но, на мой взгляд, правильный подход – это органичное развитие кибербезопасности компании.
Cyber Media: Расскажите о процессе выхода Вашей компании к платформе Bug Bounty: как появилось такое решение, насколько сложно оно принималось?
Евгений Руденко: Bug Bounty – это не ноу-хау. Практики работы с такими платформами развиваются уже много лет. Для российского комьюнити это привычный инструмент анализа защищенности. Многие компании имеют большой опыт в этом вопросе, что справедливо и для российских багхантеров. У Positive Technologies также есть определенный опыт и понимание того, как должна работать платформа Bug Bounty.
Для нас все прошло понятно и быстро, абсолютно без проблем. Bug Bounty – это понятный и достаточно простой, привычный в освоении инструмент, если в компании выстроены ИБ-процессы.
Cyber Media: Инфраструктура Rambler&Co достаточно обширна: это и новостные ресурсы, и почта, и ряд других сервисов. Насколько сложно сформулировать правила для багхантеров в таких условиях?
Евгений Руденко: Если мы говорим о написании таких правил «с нуля», то определенно сложно. Здесь большую роль играют вопросы приоритезации проектов и критичности, а также понимания типовых уязвимостей, с которыми можно столкнуться. Если эти вопросы в компании были решены на более ранних этапах организации кибербезопасности – больших трудностей не возникнет.
В нашем случае есть и опыт, и организованная команда для взаимодействия с платформой, и оперативное реагирование на репорты от багхантеров, поэтому у нас сложностей не было .
Cyber Media: Если говорить о первых результатах, насколько они соответствуют Вашим ожиданиям от взаимодействия с багхантерами?
Евгений Руденко: Результаты достаточно позитивные. Сначала мы пристально следили за происходящим на платформе, первые результаты оказались вполне отвечающими нашим запросам.
Если говорить с точки зрения затрат на Bug Bounty, то они многократно перекрываются потенциальными издержками, которые могли бы случиться в случае эксплуатации выявленных уязвимостей злоумышленниками.
Обобщая первые результаты – они соответствуют нашим ожиданиям. Команда Standoff 365 доказала, что может привлекать людей в свой проект и обеспечивать достаточно комфортное взаимодействие со своим продуктом.
Cyber Media: У Вашей компании достаточно богатый опыт в Bug Bounty. Какие советы вы могли бы дать тем, кто только готовится к выходу на платформу? Какие риски стоит учесть?
Евгений Руденко: Во избежание нехватки бюджета при выходе на платформу стоит заранее оценить безопасность доменов или приложений, которые вы планируете выставлять. Если вы никогда не проводили для них пентест или аудит – закладывайте на каждый из таких проектов бюджет от 5 до 10 критических уязвимостей.
Также лучше выкладывайте на программу только тот scope, в котором вы уверены. Если вы выставите весь ваш внешний диапазон, то с большой долей вероятности в нем окажется что-то старое, но уязвимое, за что придется выложить крупную сумму хакеру, который просто запустил nmap с несколькими скриптами. В политике лучше сразу прописать, какие из уязвимостей вам неинтересны и вы не готовы за них платить. Если в описании проекта не указаны исключения, то любой отчет, подпадающий под валидную уязвимость, должен быть оплачен соответствующим вознаграждением.