ЛАС-ВЕГАС. Вчера на конференции Black Hat USA 2016 представители «Лаборатории Касперского» объявили о решении компании учредить собственную программу Bug Bounty.

В качестве платформы была избрана HackerOne, и первая фаза стартовавшей сегодня программы продлится в течение полугода. Представители компании заявили, что наградной фонд программы, первая фаза которой будет посвящена поиску уязвимостей в Kaspersky Internet Security и Kaspersky Endpoint Security, составит $50 тыс. В охват программы входит поиск уязвимостей повышения привилегий, багов, чреватых удаленным исполнением кода, и детектирование случаев неавторизованного доступа к пользовательским данным.

«Поскольку мы являемся ИБ-компанией, я считаю, что на нас лежит ответственность по обеспечению того, чтобы наша собственная продукция не становилась стартовыми точками для атак, — заявил Райан Нарейн (Ryan Naraine), руководитель американского подразделения Глобального центра исследований и анализа угроз «Лаборатории Касперского». — Мы готовы принять на себя подобную ответственность, и программа Bug Bounty вкупе с усилиями, прилагаемыми внутри компании, позволит нам этого добиться. Это отличная возможность заручиться помощью сторонних специалистов, которые смогут не только помочь нам сделать нашу продукцию безопаснее, но и заработать на этом».

По словам Нарейна, программа Bug Bounty послужит дополнением к внутренним процессам, являющимся частью цикла безопасной разработки ПО, таким как анализ кода и аудит. Он также отметил, что компания вложила немалые ресурсы, для того чтобы в ходе процесса тестирования программы, продлившегося несколько месяцев, отладить процесс приема отчетов.

«Мы готовы принимать все отчеты о найденных уязвимостях, в противном случае не было бы смысла запускать программу, — заявил Нарейн, ожидая увидеть существенный объем поступающих отчетов. — Чем больше отчетов мы получим, тем безопаснее и надежнее станет наша продукция. Если вы нашли баг, то нам бы хотелось, чтобы вы о нем сообщили».

Соучредитель и главный технический директор HackerOne Алекс Райс (Alex Rice) заявил, что, по его мнению, программы Bug Bounty становятся наиболее эффективным способом по обеспечению безопасности, однако среди компаний, имеющих свои программы, крайне мало ИБ-вендоров.

«Запуск подобной программы — это показатель того, что в компании отлажены внутренние процессы по обеспечению безопасности, — заявил эксперт. — «Лаборатория Касперского» — одна из первых ИБ-компаний, которая решилась на этот шаг, что лишь показывает всю серьезность их намерений». Представители платформы HackerOne, на которой зарегистрировано около 60 тыс. хакеров, помогших обнаружить свыше 26 тыс. уязвимостей, отметили, что «Лаборатория Касперского» является одной из немногих ИБ-компаний, таких как Cylance и Glasswire, которые выбрали эту платформу.

В сентябре прошлого года Тэвис Орманди (Tavis Ormandy), ИБ-исследователь из Google Project Zero, обнаружил и в частном порядке сообщил в «Лабораторию Касперского» о критической уязвимости, чреватой удаленным исполнением кода. Брешь была ликвидирована в течение суток. Как отметил Нарейн, решение Орманди сообщить об уязвимости напрямую, а не через находившуюся на стадии тестирования программу Bug Bounty стало достойной проверкой внутренних процессов компании.

«Самое неприятное и нежеланное — это узнать об уязвимости из публичных источников или решать проблему в авральном режиме, — заявил эксперт. — Мы смогли устранить уязвимости, обнаруженные специалистами Project Zero, при помощи наших штатных средств, причем, по словам Тэвиса, нам удалось это сделать в рекордно короткие сроки».

Компании, решившие впервые запустить свою программу Bug Bounty, зачастую оказываются совершенно не готовы к колоссальному объему необходимых перед запуском приготовлений.

«Запуск программы Bug Bounty — это показатель того, что компания уже приложила значительные усилия по обеспечению безопасности, — отметил Райс. — Если у вас не отлажен жизненный цикл разработки ПО и прочие критические процессы, то запуск подобной программы просто невозможен. Во многих организациях считают, что они уже готовы к этому, но о том, что это не так, они узнают уже слишком поздно. Некоторые организации все же запустили свои программы, будучи к этому не готовы, и вот тому результат — первые 10 хакеров загрузили их объемом работы аж на полгода вперед».

Категории: Главное, Кибероборона, Уязвимости