«Группа Астра» выплатила белым хакерам первые 2 млн в рамках программы Bug Bounty

Иллюстрация из официального канала «Группы Астра» в Telegram
Группа Астра продемонстрировала результаты корпоративной программы Bug Bounty, запущенной в 2023 году. За примерно полтора года независимые багхантеры, исследовавшие операционную систему Astra Linux Special Edition на площадке BI.ZONE, предоставили более двенадцати валидных отчетов, получив за это вознаграждение общей суммой в 2 млн рублей. Благодаря данной программе команда разработчика смогла наладить максимально эффективный процесс устранения потенциальных уязвимостей в системе до выхода обновления.

Bug Bounty – оптимальный способ выявления потенциальных багов

Под концепцией Bug Bounty понимается привлечение веб-разработчиком или вендором программных продуктов сторонних экспертов в области кибербезопасности для тестирования ПО на наличие уязвимостей и эксплойтов. Как правило, в процессе Bug Bounty опытные ИТ-специалисты и энтузиасты (так называемые «белые хакеры» или багхантеры) пытаются обойти средства безопасности проверяемой системы, используя методы и средства, которые теоретически могут применять злоумышленники. За свою работу исследователи получают денежные или иные вознаграждения, а разработчик – объективную оценку защищенности своей внешней инфраструктуры или программ.

Одной из популярных площадок для централизованного проведения таких тестов стала платформа BI.ZONE Bug Bounty. Она была запущена в 2022 году ИБ-компанией BI.ZONE, специализирующейся на управлении цифровыми рисками. Предварительная регистрация на платформе открылась 1 июня 2022 года.

Клиентами платформы BI.ZONE Bug Bounty уже являются такие крупные компании, как предприятия Сбера («СберМаркет», «СберАвто», «СберФакторинг», «Звук»), предприятия «Тинькофф» («Тинькофф Банк», «Тинькофф Инвестиции», «Тинькофф Бизнес», «Тинькофф Страхование»), VK, Ozon, Авито, «Хоум Банк», а также Минцифры и некоторые другие представители госсектора.

«Группа Астра» запустила на BI.ZONE Bug Bounty программу по поиску уязвимостей операционных систем в августе 2023 года. По условиям программы, операционная система Astra Linux Special Edition предоставляется для исследования багхантерам на предмет реализации внутри нее недопустимых событий с авторским механизмом разграничения доступа, а также с функционирующей замкнутой программной средой. Выплаты специалистам, в зависимости от уровня критичности найденной уязвимости, могут достигать 250 000 рублей. «Мы заинтересованы в поиске недостатков в механизмах защиты нашего ключевого продукта - операционной системы специального назначения «Astra Linux Special Edition» (ОС СН «Astra Linux SE»), эксплуатация которых может привести к наступлению недопустимых событий для наших Заказчиков», – говорится в описании программы на портале BI.ZONE Bug Bounty.

На основе практического опыта в компании считают, что Bug Bounty является наиболее эффективным методом применения внешней ИБ-экспертизы, который дополняет собственные процессы РБПО (разработки безопасного программного обеспечения) «Группы Астра». Несмотря на существенные суммы вознаграждений, назначенных багхантерам, эти вложения косвенно окупаются: ведь устранение уязвимостей в уже опубликованном релизе любому разработчику обходится, как правило, гораздо дороже. То же самое касается заказных пентестов от внешних ИБ-аудиторов – они затратнее и не всегда соответствуют ожиданиям заказчика.

 

Принципы взаимодействия заказчика с исследователями

Принципы взаимодействия заказчика с исследователями.
Иллюстрация из официального канала «Группы Астра» в Telegram

 

Взаимодействие исследователей с командой разработчиков

По условиям программы Bug Bounty «Группы Астра», вендор предоставляет исследователям ОС СН «Astra Linux SE», которая является деривативом операционной системы с открытым исходным кодом Debian. Независимым экспертам дается право на установку, запуск и использование функциональности ОС на условиях простой (неисключительной) лицензии исключительно для целей, прописанных в программе. Для исследователей создаются необходимые технические условия, чтобы они могли в штатном режиме пользоваться системой и искать возможности для реализации недопустимых событий из заранее определенного перечня. Все выявленные уязвимости должны быть оформлены в отчете по определенным правилам.

Далее эксперты платформы BI.ZONE Bug Bounty проводит первичную проверку отчета, и если документ соответствует критериям валидности, а уязвимость релевантна, передает данные команде «Группы Астра». Специалисты разработчика со своей стороны осуществляют анализ отчета и готовят выпуск обновления системы для устранения уязвимости.

На протяжении всего этого процесса команда поддерживает связь с исследователем, оставляет комментарии, задает дополнительные вопросы, отрабатывает возможные возражения. Если выявленная уязвимость не релевантна или не соответствует условиям программы, команде нужно корректно объяснить причины отказа в вознаграждении. Эксперты BI.ZONE выступают в этом случае третьей стороной, то есть независимыми арбитрами, благодаря чему диалог с исследователем и процесс определения вознаграждения оказывается максимально объективным.

 

Планы по развитию программы Bug Bounty в «Группе Астра»

Планы по развитию программы Bug Bounty в «Группе Астра».
Иллюстрация из официального канала «Группы Астра» в Telegram

 

Первые результаты программы Bug Bounty «Группы Астра»

К маю 2024 года программа Bug Bounty «Группы Астра» на платформе BI.ZONE действует уже девять месяцев. По состоянию на 7 мая 2024 года, исследователи подготовили 28 отчетов, 13 из них оказались полностью валидными, то есть были подтверждены. Багхантерам было выплачено 2 млн рублей вознаграждений, средняя сумма выплаты составила 116 тыс рублей.

В перспективе разработчик планирует расширить действие программы: добавить новые пункты в перечень недопустимых событий в ОС Astra Linux, а также вывести на площадку продукт VMmanager – платформу управления виртуализацией от компании IPSystem (входит в экосистему «Группы Астра»).

 

Автор: Андрей Блинов.

Тематики: ПО, Безопасность

Ключевые слова: информационная безопасность, Astra Linux, Группа Астра