Оспаривается эффективность программ Bug Bounty. Не то, чтобы я большой фанат этой программы или багхантер, который тянет одеяло в свою сторону, но с некоторыми утверждениями не полностью согласен.
Посмотрим, какие используются аргументы.
Приобретение сканера с лицензией на один год обойдется дешевле, чем выплата исследователям поощрений за десяток XSS-уязвимостей.
С точки зрения банального подсчета все верно - сканер на год, действительно, обойдется намного дешевле. Но только в том случае, если купить диск с лицензией, подписать документы и положить в сейф. Думаю, очевидно, что сканер с лицензией, лежащий в сейфе, не повысит уровня защищенности ни на йоту.
Что должен сделать сканер, чтобы действительно, составить конкуренцию пентестеру?
- Найти вычислительные ресурсы под установку себя. Как ни крути, а ставить сканер на что-то надо. Сервер с CPU, RAM, HDD, ОС (тоже лицензия), настройка, подключение к сети.
- Настроить сканы под инфраструктуру покупателя. Сканировать тоже необходимо с умом - набор подключаемых модулей сканирования, интенсивность, время, периодичность и т. п.
- Проверять критичность и реализуемость найденных уязвимостей.
- Выполнять Root Cause Analysis. Неплохой пример привел Артем Агеев в своем блоге. В большинстве случаев сканер будет выдавать разноцветное полотно, которое анализировать все равно должен человек. Если High-Tech Bridge, действительно, написала такой сканер, который сможет вместо нескольких листов информационного текста написать несколько строчек: обновить сервис такой-то, изменить в конфиге такую-то строчку, иначе то-то и то-то, да так, чтобы получивший его среднестатистический ИТшник проникся и побежал устранять - совсем другое дело. Но этой информации я пока не видел.
Конечно, по первому пункту контраргументом может быть предложение подписки на облачный сервис сканирования. Как облачный сервис справится с кастомизацией под себя и выполнит оставшиеся пункты - большой вопрос. Серьезную кастомизацию должен делать человек либо свой, либо в рамках закупаемых работ, что уже неплохо поднимет цену.
Промежуточный вывод: без человека никак.
Как сообщает компания WhiteHat Security, практически 80% всех существующих сайтов уязвимы к межсайтовому скриптингу. В то же время на долю XSS припадает 66,24% уязвимостей, о которых стало известно в рамках «Bug Bounty» (по данным Bugcrowd).
Казалось бы: да, действительно, раз в Bug Bounty большая часть уязвимостей приходится на XSS, то ребята присылают на устранение покупателям слишком уж очевидные вещи. Но есть интересный момент. В оригинале на csoonline есть ссылка на отчет High-Tech Bridge по трендам веб-безопасности за первую половину 2016. Там я нашел относительно очевидных XSS-уязвимостей довольно интересные примечания.
Нерусским по белому указаны нюансы:- If a website is vulnerable to XSS, in 35% of cases, it is also vulnerable to more critical vulnerabilities, such as SQL injection, XXE or improper access control.
- Blind XSS exploited in the wild, are being actively used by cybercriminals to infect privileged website users (e.g. support or admins) with Ransomware via drive-by-download attacks.
Для обнаружения различных типов XSS-уязвимостей существуют более-менее надежные автоматизированные сканеры, позволяющие обойтись без посторонней помощи. Безусловно, полученные с их помощью результаты часто оказываются ложноположительными, а для работы с самими сканерами требуются определенные навыки и время. Тем не менее, на правильную организацию программы «Bug Bounty» у компаний может уйти куда больше ресурсов.
Дальше довольно интересное замечание к среднему возрасту багхантера.
Возраст 75% исследователей, занимающихся поисками уязвимостей, составляет 18-29 лет (известны случаи, когда вознаграждения выплачивались даже детям). По словам эксперта, среди столь молодых участников редко встречаются настоящие профессионалы. Дело не столько в отсутствии навыков и опыта, как в неумении правильно преподнести свою работу. Обнаружение уязвимости представляет собой только первый шаг. Далее ее следует оценить и соответствующим образом презентовать, в противном случае исследование теряет всякий смысл.
Все-таки надо разобраться, багхантеры противопоставляются исключительно сканеру или штатной команде ИБ, вооруженной сканером. Сканер редко может презентовать обнаруженную уязвимость так, чтобы среднестатистический ИТшник ломанулся ее устранять в ужасе от того, что у него обнаружилось. Скан все равно должен кто-то запускать, анализировать, а потом пинать админов и разработчиков. В этом плане важно, что требовать с багхантеров перед тем, как платить им. Все равно используя сканер, не думаю, что человек, даже молодой, сможет испортить описание, которое выдала бездушная машина. А улучшить - очень может быть.
Если же багхантеры противопоставляются штатной команде ИБ со всеми средствами защиты, то, конечно, своя армия лучше залетных наемников. Но и бюджет в этом случае тоже не особо сопоставим.
С чем можно согласиться из статьи, так это с тем, что полностью полагаться на багхантеров не стоит. Это все равно что идти с расстегнутой сумкой и надеяться, что, если оттуда выпадет нечто ценное - тебя обязательно одернут прохожие. То, что твои баги начнут искать, найдут, да сообщат тебе - никто не гарантирует, как и то, что твои же слабые стороны не используют против тебя же. Именно отсутствие гарантий и является слабой стороной Bug Bounty, которая может оказаться неприемлемой.
Вывод
Как я уже заявлял в этом посте не раз: без человека никак. И это должен быть свой человек, а лучше команда. Сканер в ней будет только инструментом, причем не единственным, и своими силами будет выявляться и лататься 99% дыр. Но если репутация твоей компании зависит от сайта, и исчисляется она дороже, чем потенциальные несколько тысяч долларов в год, то Bug Bounty, с одной стороны, поможет на пути к совершенству сайта, а, с другой - продемонстрирует миру, что ты не боишься, и таким образом при грамотной подаче неплохо поднимет репутацию компании.
Комментариев нет:
Отправить комментарий