|
Форма документа : Стаття із журналу Шифр видання : Автор(и) : Кіпчук, Феодосій, Соколов, Володимир Назва : Модель розрахунку витрат на баг-баунті програми тестування вразливостей безпеки Місце публікування : Кібербезпека: освіта, наука, техніка: електронне наукове видання/ Київський університет імені Бориса Грінченка. - 2023. - Том 2, N 22. - С. 68-83. - ISSN 2663-4023, DOI 10.28925/2663-4023.2023.22.6883 (Шифр К667665926/2023/2/22). - ISSN 2663-4023, DOI 10.28925/2663-4023.2023.22.6883 Примітки : Бібліогр. в кінці ст. Ключові слова (''Вільн.індекс.''): вразливість--атака--баг-баунті--етичний хакінг--пентестинг--винагорода--common vulnerability scoring system Анотація: В статті описані способи дослідження баг-баунті програм та запропоновано новий підхід для розрахунку оцінки знайдених вразливостей. Робота починається з вводу у розуміння процесів управлінням вразливостями, поняття поверхні вразливості атаки. У роботі наведено аналіз статистики всіх знайдених вразливостей в інформаційних системах за останні десять років, які розділені за стандартною оцінкою CVSS. Проаналізовано види і вектори атак на прикладі фінансового сектору. Додатково проведено розподілення зламів і інцидентів по векторам атак на фінансовий сектор. Далі наведено співвідношення найпопулярніших видів і векторів атак до критичності інформаційних систем. Представлено рейтинг критичних і високих вразливостей однієї з платформ баг-баунті з детальним описом видів атак і технік експлуатації. Невід’ємною частиною процесу управління вразливостями є категоризація важливості і впливу на організацію. Також представлено можливі сценарії життєвого циклу для знайденої вразливості в інформаційній системі очима власника інформації про вразливість та власника такої інформаційної системи. Проведено порівняльний кількісний і якісний аналізи зрілості програм баг-баунті від моменту запуску і протягом років, а також чинники впливу на зрілість програми. Проаналізовано статистику знайдених вразливостей в публічних баг-баунті програмах за останні шість років. Запропоновано власний підхід до розрахунку ефективної вартості програми баг-баунті та проведено експериментальну перевірку на трьох програмах. Висвітлено фактори впливу на розрахунок ефективної вартості вразливостей. Розглянуто підходи до оцінок і валідації вразливостей платформами баг-баунті та етапи арбітражу між власником інформаційної системи та дослідником вразливостей. Наприкінці дослідження наведено рекомендації для набуття вищого рівню зрілості процесів управління вразливостями. Виковки висвітлюють безперервність виникнення і зникнення додаткових факторів у процесах управління вразливостями, в яких програми баг-баунті є невід’ємною частиною. Взаємозалежність зрілості процесів компанії та її програми баг-баунті, що потребує залучення достатніх ресурсів, задля ефективності її роботи Дод.точки доступу: Соколов, Володимир |