Bug Bounty polega na nagradzaniu etycznych hakerów za wykrywanie luk w systemach informatycznych firm. Wysokość nagrody dla Bug Hunterów zależy od wagi wykrytej luki.

 

Główną ideą jest współpraca z niepowiązanymi z organizacją specjalistami ds. cyberbezpieczeństwa, której efektem jest wykrycie nieznanych wcześniej podatności. Poszukiwania luk odbywają się według ustalonych zasad, a hakerzy chronieni są w ramach tzw. safe harbour, czyli zgody na przełamanie zabezpieczeń w celach testowych bez ponoszenia za to konsekwencji prawnych. Wytyczne dla etycznych hakerów mogą przygotować np. specjaliści z Security Operations Center zajmującego się cyberbezpieczeństwem danej organizacji.

 

Firma może podjąć się samodzielnej organizacji programu lub wykorzystać do tego istniejące platformy, takie jak HackerOne czy Bugcrowd. W środowisku specjalistów ds. cyberbezpieczeństwa funkcjonują tysiące pasjonatów, dla których poszukiwanie luk w zabezpieczeniach to forma rozrywki. Programy typu bug bounty pozwalają więc wykorzystać siłę, jaką daje liczebność i różnorodność zaangażowanych osób – podobnie jak w przypadku crowdsourcingu.

 

Najbardziej znane programy Bug Bounty to między innymi:

 

• Intel Bug Bounty – w 2020 roku 105 z 231 luk naprawionych przez firmę Intel zostało zgłoszonych właśnie w ramach tego programu. Najwyższa przewidywana nagroda to 100 tys. USD.


• Apple Security Bounty – w ramach programu hakerzy mogą testować zarówno produkty, jak i usługi firmy Apple, a najwyższa przewidziana nagroda to aż 1 mln USD, którą można otrzymać za przeprowadzenie udanego ataku RCE.


• Google and Alphabet Vulnerability Reward Program – szeroki program, który oprócz wyszukiwarki Google obejmuje także takie serwisy, jak youtube.com czy blogger.com oraz aplikacje opracowane przez tę firmę. Wysokość nagród wynosi od 200 do ponad 100 tys. USD.

 

Jak widać, nawet największe firmy z branży technologicznej posiłkują się zewnętrznymi specjalistami przy wykrywaniu luk i podatności w swoich produktach oraz usługach.

   

W 2023 roku w ramach programu uruchomionego przez firmę Grab na platformie HackerOne wpłynęło ponad 1000 zgłoszeń dotyczących wykrytych luk. Odkrycie tak wielu podatności, z wykorzystaniem wyłącznie wewnętrznych zasobów IT, wiązałoby się z ogromnymi kosztami i obciążeniem pracowników, którzy musieliby skupić się wyłącznie na tym. Bug Bounty zwiększa poziom cyberbezpieczeństwa firm bez wpływu na ich możliwości operacyjne. Nie powinno więc dziwić, że to właśnie sami producenci oprogramowania i sprzętu najczęściej ogłaszają tego typu programy dotyczące ich produktów.

 

Hakerzy poszukują luk w zabezpieczeniach niezależnie od działań podejmowanych przez firmę, co pozwala wykryć je szybciej niż w przypadku okresowych testów penetracyjnych. Zjawisko Bug Bounty nie powinno jednak w pełni zastępować wewnętrznych działań organizacji w zakresie cyberbezpieczeństwa, choć stanowi ich dobre uzupełnienie.

 

Bug Hunting – jak eksperci identyfikują luki w systemach firm?

 

Do Bug Huntingu wykorzystuje się techniki pozwalające identyfikować luki w różnych obszarach – skanowanie sieci, fuzzing, inżynierię wsteczną, analizę pod kątem ataków SQL injection, Cross-Site Scripting (XSS), Local File Inclusion, Remote File Inclusion czy ataków aplikacyjnych DDoS. Specjaliści sprawdzają również zabezpieczenia przed atakami opartymi o social engineering oraz podatność na próby ominięcia systemów uwierzytelniających.

 

Do testów wykorzystuje się dedykowane narzędzia, m.in.:

 

• Burp Suite – kompleksowe rozwiązanie do testowania aplikacji webowych.


• Metasploit – framework służący do przeprowadzania testów penetracyjnych.


• Nmap – umożliwiający mapowanie sieci i skanowanie portów z wykorzystaniem skryptów automatyzujących wyszukiwanie podatności.


• Wfuzz – pozwalający sprawdzać podatność webaplikacji na ataki typu brute force.

 

Poszukiwanie podatności polega na testowaniu metod ataków, zgodnie z ustalonymi przez firmę zasadami. Wykrywszy lukę w zabezpieczeniach, haker przedstawia firmie raport, który powinien zawierać informacje o wykrytej podatności i opis umożliwiający odtworzenie ataku. Odkryte luki oraz pozyskane w ramach testów dane muszą pozostać poufne.

 

Najczęstsze rodzaje luk wykrywane dzięki Bug Bounty

 

Podatności wykrywane w ramach Bug Bounty dzieli się według tego, jak poważne zagrożenie stanowią. Hakerzy poszukują m.in. luk w oprogramowaniu webowym, problemów z dostępem do danych czy błędnych konfiguracji systemów.

 

Poziomy zagrożenia dzielą się na:

 

1. Niski – luki niestanowiące poważnego zagrożenia dla danych i systemów, np. otwarty dostęp do logów niezawierających wrażliwych danych, XSS o niskim poziomie oddziaływania, problemy z konfiguracją SPF.

 

2. Średni – luki mające przeciętny wpływ na procesy biznesowe i finansowe, umożliwiające np. clickjacking czy SSRF.

 

3. Wysoki – luki umożliwiające przejęcie kont, eskalację uprawnień czy ominięcie autoryzacji przy transakcjach finansowych.

 

4. Krytyczny – luki o najwyższym poziome oddziaływania na systemy, m.in. poprzez SQL injection lub Remote Code Execution, które pozwalają na nieautoryzowany dostęp do infrastruktury IT czy kodu źródłowego aplikacji.

 

W przypadku luk o niskim poziomie zagrożenia nagroda może wynosić około kilkaset złotych, ale odkrycie groźnej podatności wiąże się z wypłatą znacznie wyższej kwoty. Platforma Bugcrowd rekomenduje górną granicę wynagrodzenia za najbardziej niebezpieczne podatności na poziomie 20 tysięcy dolarów, choć niektóre firmy są gotowe zapłacić znacznie więcej.

 

Najwyższą kwotę za Bug Hunting wypłaciła firma Google. W 2023 roku użytkownik znany jako gzobqq wykrył łańcuch 5 exploitów w systemie Android, za co otrzymał nagrodę w wysokości 605 tys. dolarów.

 

Jak firmy mogą skorzystać na współpracy z Bug Hunterami?

 

Według raportu Cost of a Data Breach Report 2024 firmy IBM średni koszt związany z naruszeniem danych to 4,88 miliona dolarów. Nagrody za wykrycie krytycznej podatności wynoszą przeważnie od kilku do kilkudziesięciu tysięcy dolarów, a więc wielokrotnie mniej niż potencjalne koszty związane z incydentem. Korzyści ze współpracy z Bug Hunterami nie ograniczają się jednak do oszczędności.

 

Dlaczego jeszcze warto wdrożyć Bug Bounty w firmie?

 

• Zabezpieczenie przed kosztami związanymi z incydentem – chociaż firmy płacą za wszystkie wykryte podatności, nie ryzykują ponoszenia wysokich kosztów związanych z wyciekiem danych czy naruszeniem integralności systemów.


• Dostęp do wiedzy specjalistów z różnych dziedzin cyberbezpieczeństwa – etyczni hakerzy mogą znaleźć luki w oprogramowaniu, których nie udało się wykryć wewnętrznym zespołom, ponieważ dysponują szerokim doświadczeniem z różnych obszarów.


• Ochrona reputacji przedsiębiorstwa – spadek zaufania wynikający z udanego cyberataku może wpłynąć na wszystkie obszary funkcjonowania przedsiębiorstwa oraz podkopać jego wizerunek w oczach klientów i kontrahentów, natomiast szybkie wykrycie luk pozwala zapobiec takim sytuacjom.


• Zwiększenie konkurencyjności – organizacja programu Bug Bounty to jasny sygnał, że firma poważnie traktuje zagadnienia związane z cyberbezpieczeństwem. Niektórzy klienci i partnerzy biznesowi chętniej wybierają firmy, które mogą pochwalić się wysokim poziomem zabezpieczeń.


• Ochrona przed sankcjami prawnymi i finansowymi związanymi z wyciekiem danych – przepisy takie, jak RODO przewidują wysokie kary finansowe dla organizacji, które nie zapewniają wystarczająco wysokiego poziomu ochrony zgromadzonych danych.

 

Współpraca z Bug Hunterami ogranicza ryzyko związane z atakiem na zasoby IT organizacji i zwiększa jej stabilność bez angażowania znacznych zasobów wewnętrznych.

   

Program Bug Bounty będzie efektywny tylko wtedy, gdy do udziału w nim uda się zachęcić specjalistów z zakresu cyberbezpieczeństwa o odpowiednich kwalifikacjach. Według Hacker-Powered Security Report z 2022 roku, 79% hakerów decyduje się na udział w Bug Bounty, żeby zwiększyć swoje umiejętności. Pozwala im to zdobywać wiedzę na temat cyberbezpieczeństwa bez ponoszenia konsekwencji prawnych. Dla 72% specjalistów motywacją są pieniądze, dlatego firmy nie powinny zaniedbywać tego aspektu swoich programów. Wysokie nagrody i krótki czas odpowiedzi na zgłoszenie przyciągają najlepsze talenty.

 

Jak zacząć Bug Bounty w firmie?

 

• Określenie zakresu testów – firma musi jasno zdefiniować, które systemy i aplikacje chce sprawdzić oraz jakie luki są przedmiotem poszukiwań.


• Wyznaczenie reguł współpracy– należy ustalić zasady dotyczące odpowiedzialnego ujawniania luk, oczekiwań wobec Bug Hunterów oraz reguły wynagradzania.


• Wybór platformy – jeśli organizacja nie chce tworzyć własnej platformy, może skorzystać z gotowych rozwiązań, które ułatwiają zarządzanie programem.


• Uruchomienie programu – hakerzy rozpoczynają testy, a organizacja regularnie i sprawnie odpowiada na przesłane zgłoszenia.


• Monitorowanie i adaptacja – firma dostosowuje program do aktualnych potrzeb i zmieniających się zagrożeń oraz regularnie usuwa wykryte podatności.

 

Jeżeli program Bug Bounty ma przynieść oczekiwane korzyści, powinien być starannie zaplanowany, dostosowany do potrzeb przedsiębiorstwa oraz sprawnie zarządzany. Powinien również być zintegrowany z wewnętrznymi procesami bezpieczeństwa, takimi jak audyty czy testy penetracyjne.

   

Chociaż Bug Bounty może pomóc w identyfikacji nieznanych zagrożeń, nie może być jedynym rozwiązaniem z zakresu cyberbezpieczeństwa w organizacji. Strategia bezpieczeństwa powinna zawierać kompleksowe rozwiązania, które odpowiadają potrzebom przedsiębiorstwa i potencjalnym zagrożeniom.

 

Samo zorganizowanie Bug Bounty także nie wystarczy – jego efektywne wykorzystanie zależy od poziomu kompetencji inżynierskich po stronie firmy. Musi on posiadać wsparcie specjalistów, którzy będą współpracować z uczestnikami programu. Tylko wówczas uda się osiągnąć korzyści z działań aktywistów. Organizacja bez takich kompetencji może natomiast skorzystać z pomocy profesjonalnego Security Operations Center Netii. SOC nie tylko zajmuje się komunikacją z uczestnikami programu Bug Bunty, ale przede wszystkim zapewnia monitoring aktywności sieciowej przy pomocy oprogramowania SIEM/SOAR oraz reaguje na incydenty bezpieczeństwa.

 

Obok programów Bug Bounty warto organizować także wewnętrzne testy podatności i testy penetracyjne. Dzięki nim firmy mogą samodzielnie określić, w jakim obszarze potrzebują pomocy Bug Hunterów. Przeprowadzenie kontrolowanego ataku daje pełny obraz dotyczący poziomu zabezpieczeń i pozwala szybko usunąć wykryte luki.