Positive Technologies

Итоги работы платформы Standoff 365 Bug Bounty (на ноябрь 2023 года)

Итоги работы платформы Standoff 365 Bug Bounty (на ноябрь 2023 года)

Содержание

Что такое платформа Standoff 365 Bug Bounty

Standoff 365 Bug Bounty — платформа для поиска уязвимостей за вознаграждение и быстрый способ убедиться в надежности своей IT-инфраструктуры с помощью тысяч сильнейших хакеров. Платформа является площадкой для взаимодействия с исследователями. Positive Technologies берет на себя все формальности, в частности специалисты компании сами оформляют перевод денег при выплате вознаграждений, упрощая этот процесс для заказчиков.

Впервые Standoff 365 Bug Bounty была представлена на Positive Hack Days 18 мая 2022 года. С тех пор на платформе зарегистрировались 7537 исследователей.

О программах

По данным на 12 ноября 2023 года, на платформе размещены 53 программы (4 из них — в архиве) от организаций из разных отраслей: IT, торговля, финансы, государственные учреждения. Наибольшее количество программ представлено в секторах IT, государственных учреждений и образовательных платформ.

Рисунок 1. Доля каждой отрасли по количеству

После запуска платформы в мае 2022 года первыми на ней разместили свои программы «Азбука вкуса» и Positive Technologies. Со временем количество программ значительно выросло: уже в III квартале 2022 года их было 17, а к концу года — 40. Важно отметить, что рост числа программ продолжается.

Рисунок 2. Количество программ, представленных на платформе (Q2 2022-Q4 2023)

Для каждой программы команда Standoff 365 Bug Bounty и представитель компании подбирают оптимальные условия: размер вознаграждения, недопустимые события, скоуп, требования к багхантерам и многие другие. Таким образом, платформа берет на себя большую часть работы, создавая комфортные условия для размещения организаций у себя.

Статистика по выплатам

Одними из ключевых показателей программы для багхантеров являются ее общая сумма выплат и максимально возможная выплата (за самую критически опасную уязвимость).

От программы к программе метрика пиковой выплаты может сильно различаться. В одной за критически опасную уязвимость могут выплатить несколько тысяч рублей, а в другой —более 3 млн. Размеры вознаграждений зависят от самой компании: ее доходов, информации, с которой она работает, масштаба. IT-компании и организации из финансовой сферы выплатили хакерам больше, чем компании из других отраслей, представленных на платформе. На них суммарно приходится 81% вознаграждений, несмотря на то что количественно они представлены лишь в 44% программ.

Рисунок 3. Доля каждой отрасли по общей сумме вознаграждений
Рисунок 4. Максимальная выплата в каждой категории (без учета Positive dream hunting*)

*Positive dream hunting — программа Positive Technologies, участникам которой предложено реализовать недопустимое событие — увести деньги со счетов компании. За реализацию недопустимого события компания предлагает 30 миллионов рублей. Программа не включена в диаграмму из-за своей нестандартности, однако именно она занимает лидирующую позицию на платформе по максимальной награде.

Стоит отметить, что уровень выплат Standoff 365 Bug Bounty сопоставим с выплатами на зарубежных платформах. Ниже представлен пример выплат на платформе HackerOne.

Рисунок 5. Выплаты на HackerOne

*По курсу доллара на 21 ноября 2023: PayPal — 1 758 450 ₽, Reddit — 879 225 ₽, Mozilla Core Services — 439 612.5 ₽, Visa — 263 767.5 ₽, Spotify — 175 845 ₽.

Найденные уязвимости

Одним из наиболее значимых показателей результативности платформы является количество полученных валидных отчетов о найденных уязвимостях. Таковыми, как правило, считаются отчеты исследователей, которые прошли верификацию со стороны платформы и представителя программы. Всего с даты открытия платформы багхантеры отправили 1479 принятых компаниями отчетов, из которых 10% (152) были с критически опасными уязвимостями и 19% (287) — с высокой степенью опасности.

Рисунок 6. Распределение отчетов по степени опасности уязвимостей
`

*Отсутствует — это те отчеты, в которых уязвимость не оказывает существенного негативного воздействия на инфраструктуру компании. Награда за такие отчеты, как правило, не выплачивается.

За полтора года работы Standoff 365 Bug Bounty хакеры нашли 71 CWE-слабость (Common Weakness Enumeration) в веб-приложениях. В таблице ниже CWE-недостатки ранжированы по доле отчетов от общего числа отправленных. Это является важным показателем, так как злоумышленники во время своих атак используют различные тактики и методы, поэтому чем больше спектр выявленных недостатков, тем более защищенной в общем становится инфраструктура.

Слабость CWE-79 — «Improper neutralization of input during web page generation (Cross-site scripting)» — заняла первое место, так как попала в 22% отчетов.

Рисунок 7. Доля определенной CWE по количеству
Номер CWE-ID Название Описание Негативные последствия
1 CWE-79 Improper neutralization of input during web page generation (Cross-site scripting) Приложение не проверяет или неправильно проверяет данные, отправляемые пользователем (злоумышленником), перед тем как они будут помещены в ответ. Этот ответ может быть дан в виде веб-страницы, которая зачастую видна другим пользователям (жертвам) Вместо данных злоумышленники часто отправляют вредоносный код, который может исполниться в браузере других пользователей и повлечь за собой кражу данных, например о сеансах жертв
2 CWE-284 Improper access control Приложение не ограничивает или некорректно ограничивает доступ к ресурсу со стороны неавторизованного субъекта (злоумышленника) Контроль доступа — это выполнение:
  • Аутентификации
  • Авторизации
  • Подотчетности (отслеживание выполненных действий)
Когда какой-либо из пунктов не применяется или по какой-либо причине дает сбой, злоумышленники могут поставить под угрозу безопасность продукта, получая привилегии, читая конфиденциальную информацию, выполняя команды, уклоняясь от обнаружения
3 CWE-200 Exposure of sensitive information to an unauthorized actor Приложение предоставляет конфиденциальную информацию субъекту (злоумышленнику), у которого не должно быть доступа к ней Раскрытие конфиденциальной информации
4 CWE-918 Server-side request forgery (SSRF) Веб-сервер получает URL-адрес или аналогичный адрес от злоумышленника и отправляет туда запрос. Однако перед этим веб-сервер не проверяет на безопасность адрес, куда он должен выполнить запрос, и то место, в которое должен попасть Из-за наличия этого недочета в системе злоумышленник может отправлять запросы от имени веб-сервера. Хакер часто использует это для сканирования портов узлов во внутренней сети, получения доступа к содержимому файлов в системе, сбора информации об инфраструктуре
5 CWE-287 Improper authentication Приложение не проверяет или неправильно проверяет то, что пользователь (злоумышленник) является тем, за кого себя выдает. Обход проверки часто выполняется за счет подделанных куки-файлов, токенов, которые выступают в роли идентификационных параметров Злоумышленник получает доступ к той функциональности приложения, которой обладает пользователь, за которого хакер себя выдает

HackerOne тоже ведет статистику по CWE. Они публикуют недостатки безопасности и ранжируют их по количеству отчетов с ними. Можно заметить, что данные с двух платформ схожи. Standoff 365 Bug Bounty поддерживает мировые тренды даже в статистике о слабостях инфраструктур организаций.

Рисунок 8. Статистика HackerOne по найденным CWE

Standoff Hacks

Самое важное в работе программы багбаунти — сообщество хакеров и их уровень подготовки. Для самых сильных исследователей Standoff организовывает закрытые мероприятия Standoff Hacks, где предлагает посмотреть программы с совершенно новыми приложениями и повышенными вознаграждениями.

Последнее такое мероприятие прошло в Сочи. За две недели 30 исследователей заработали более 11 млн рублей, а самый результативный хакер увез 3 млн.

Рисунок 9. Сумма вознаграждений по каждой программе на Standoff Hacks

В следующем году планируется провести три Standoff Hacks — на эти мероприятия будет производиться специальный отбор. Белым хакерам там будут очень рады!

Standoff 365 Bug Bounty — крупнейшая в России платформа

Ниже на инфографике представлены некоторые характеристики основных платформ багбаунти в России.

За время работы платформ также можно определить пятерку самых успешных (в денежном эквиваленте) багхантеров на каждой из них.

Рисунок 10. Сумма вознаграждений самых успешных багхантеров в рублях

Заключение

Каждая компания, каждая организация, любой бизнес, даже малый, нуждаются в обеспечении информационной безопасности, так как имеют свои бизнес-процессы, а в них можно обнаружить недопустимые события, которые могут потенциально реализовать злоумышленники.

Этичные хакеры со всего мира готовы помогать организациям находить уязвимости в их системах и инфраструктурах, не эксплуатируя их и помогая предотвратить реализацию недопустимых событий при реальной атаке. Для этого бизнес открывает свою программу багбаунти. Она может быть размещена на специальной платформе или открыта своими силами. Второй подход требует немало усилий для создания и поддержания, поэтому чаще всего бизнес выбирает первый вариант.

С этим может помочь Standoff 365 Bug Bounty — быстрорастущая платформа от ведущей в России компании по кибербезопасности Positive Technologies, которая берет на себя сложные задачи по созданию условий программы, ее поддержанию, а также решает многие юридические вопросы.