МОДЕЛЬ РОЗРАХУНКУ ВИТРАТ НА БАГ-БАУНТІ ПРОГРАМИ ТЕСТУВАННЯ ВРАЗЛИВОСТЕЙ БЕЗПЕКИ

Феодосій Кіпчук; Володимир Соколов

doi:10.28925/2663-4023.2023.22.6883

Автор(и)

Феодосій Кіпчук Київський університет імені Бориса Грінченка https://orcid.org/0000-0003-4816-9246
Володимир Соколов Київський університет імені Бориса Грінченка https://orcid.org/0000-0002-9349-7946

DOI:

https://doi.org/10.28925/2663-4023.2023.22.6883

Ключові слова:

вразливість; атака; баг-баунті; етичний хакінг; пентестинг; винагорода; Common Vulnerability Scoring System; CVSS

Анотація

В статті описані способи дослідження баг-баунті програм та запропоновано новий підхід для розрахунку оцінки знайдених вразливостей. Робота починається з вводу у розуміння процесів управлінням вразливостями, поняття поверхні вразливості атаки. У роботі наведено аналіз статистики всіх знайдених вразливостей в інформаційних системах за останні десять років, які розділені за стандартною оцінкою CVSS. Проаналізовано види і вектори атак на прикладі фінансового сектору. Додатково проведено розподілення зламів і інцидентів по векторам атак на фінансовий сектор. Далі наведено співвідношення найпопулярніших видів і векторів атак до критичності інформаційних систем. Представлено рейтинг критичних і високих вразливостей однієї з платформ баг-баунті з детальним описом видів атак і технік експлуатації. Невід’ємною частиною процесу управління вразливостями є категоризація важливості і впливу на організацію. Також представлено можливі сценарії життєвого циклу для знайденої вразливості в інформаційній системі очима власника інформації про вразливість та власника такої інформаційної системи. Проведено порівняльний кількісний і якісний аналізи зрілості програм баг-баунті від моменту запуску і протягом років, а також чинники впливу на зрілість програми. Проаналізовано статистику знайдених вразливостей в публічних баг-баунті програмах за останні шість років. Запропоновано власний підхід до розрахунку ефективної вартості програми баг-баунті та проведено експериментальну перевірку на трьох програмах. Висвітлено фактори впливу на розрахунок ефективної вартості вразливостей. Розглянуто підходи до оцінок і валідації вразливостей платформами баг-баунті та етапи арбітражу між власником інформаційної системи та дослідником вразливостей. Наприкінці дослідження наведено рекомендації для набуття вищого рівню зрілості процесів управління вразливостями. Виковки висвітлюють безперервність виникнення і зникнення додаткових факторів у процесах управління вразливостями, в яких програми баг-баунті є невід’ємною частиною. Взаємозалежність зрілості процесів компанії та її програми баг-баунті, що потребує залучення достатніх ресурсів, задля ефективності її роботи.

Завантаження

Дані завантаження ще не доступні.

Посилання

Kipchuk, F., et al. (2021). Assessing Approaches of IT Infrastructure Audit. In IEEE 8th International Conference on Problems of Infocommunications, Science and Technology (PIC S&T). https://doi.org/10.1109/picst54195.2021.9772181

Walshe, T., Simpson, A. (2020). An Empirical Study of Bug Bounty Programs. In IEEE 2nd International Workshop on Intelligent Bug Fixing (IBF). https://doi.org/10.1109/ibf50092.2020.9034828

Ahmed, A., Deokar, A., Lee, H. C. B. (2021). Vulnerability Disclosure Mechanisms: A Synthesis and Framework for Market-based and Non-Market-based Disclosures. Decision Support Systems, 148, p. 113586. https://doi.org/10.1016/j.dss.2021.113586

Ding, A. Y., De Jesus, G. L., Janssen, M. (2019). Ethical Hacking for Boosting IoT Vulnerability Management. In 8th International Conference on Telecommunications and Remote Sensing (ICTRS). https://doi.org/10.1145/3357767.3357774

Parra, C., Subramanian, H. (2019). A Bargaining Games Approach to Information Security Interactions. In 2019 First International Conference on Digital Data Processing (DDP). IEEE. https://doi.org/10.1109/ddp.2019.00025

Guo, M., et al. (2021). Revenue Maximizing Markets for Zero-Day Exploits. In Autonomous Agents and Multi-Agent Systems, 35(2). https://doi.org/10.1007/s10458-021-09522-w

Ahmed, A., Lee, H. C. B. (2020). Organizational Learning on Bug Bounty Platforms. In 26th Americas Conference on Information Systems (AMCI). 1–10.

HackerOne (2023). Outsmart Cybercriminals with Proactive Attack Surface Management.https://content.cdntwrk.com/files/aT0xNDkwMDE4JnY9MSZpc3N1ZU5hbWU9b3V0c21hcnQtY3liZXJjcmltaW5hbHMtd2l0aC1wcm9hY3RpdmUtYXR0YWNrLXN1cmZhY2UtbWFuYWdlbWVudCZjbWQ9ZCZzaWc9NjZjMTFkOWEyMTc0Y2U0MTA0NGEyYzlmMTk4MzMxMDU%253D

Randori (2022). The State of Attack Surface Management. https://www.randori.com/reports/the-state-of-attack-surface-management-2022/

Meta (2023). Meta Bug Bounty. https://www.facebook.com/BugBounty

Oren, N. (2022). Looking Back at Our Bug Bounty Program in 2022. https://about.fb.com/news/2022/12/metas-bug-bounty-program-2022/

Bugcrowd (2022). Priority One Report. https://www.bugcrowd.com/resources/reports/priority-one-report/

SecurityScorecard (2023). CVSS Scores. https://www.cvedetails.com/cvss-score-charts.php?fromform=1&vendor_id=&product_id=&startdate=2013-06-01&enddate=2023-06-19

International Telecommunication Union (2020). ITU-T Rec. Technical Report. Security in Telecommunications and Information Technology. 7th ed. https://www.itu.int/dms_pub/itu-t/opb/tut/T-TUT-ICTSS-2020-4-PDF-E.pdf

HackerOne (2023). Directory. https://hackerone.com/directory/programs

Bugcrowd (2021). Vulnerability Rating Taxonomy. https://bugcrowd.com/vulnerability-rating-taxonomy17. Verizon (2023). Data Breach Investigations Report. https://www.verizon.com/business/resources/Tb4e/reports/2023-data-breach-investigations-report-dbir.pdf

HackerOne (2023). Severity. https://docs.hackerone.com/hackers/severity.html#gatsby-focus-wrapper

HackerOne (2023). Takeover of hackerone.engineering via Github. https://hackerone.com/reports/2085260

HackerOne (2023). Privilege Escalation in kOps using GCE/GCP Provider. https://hackerone.com/reports/1842829

HackerOne (2023). An Attacker Can View Any Hacker Email via /SaveCollaboratorsMutation Operation Name. https://hackerone.com/reports/2032716

Buriachok, V., Sokolov, V., Skladannyi, P. (2019). Security Rating Metrics for Distributed Wireless Systems. In 8th International Conference on “Mathematics. Information Technologies. Education” (MoMLeT&DS), vol. 2386, 222–233.