[Tech Thoughts] Баг-баунті та етичний хакінг DICT з першого погляду

Департамент інформаційних та комунікаційних технологій 14 січня випустив відомчий циркуляр HRA-002, який виклав переглянуті та консолідовані рекомендації, правила та положення щодо розкриття вразливостей та національної політики безпечної гавані та програми винагород за знайдені вразливості.

Секретар DICT Генрі Агуда навіть відвідав конференцію хакерів Rootcon минулого року з метою реклами цього розвитку, заявивши, що хакери країни повинні використовувати свої навички "для захисту, а не для руйнування".

З цією метою створення Політики безпечної гавані та Програми винагород за знайдені вразливості (SHPBBP) має стати приємною новиною для тих, хто має відповідні навички, оскільки вона намагається стимулювати відповідальне розкриття інформації про кібербезпеку для державних служб.

Давайте подивимося, що все це означає, особливо якщо ви не чули про цей розвиток.

Етичні хакери, винагороди за знайдені вразливості та політики безпечної гавані

Етичний хакінг — це процес, за допомогою якого професіонал з кібербезпеки, також відомий як білий хакер, виявляє та допомагає виправити вразливості в застосунках, системах або технологіях до того, як ця вразливість може бути використана зловмисно неетичним або чорним хакером.

Таким чином, етичний хакінг імітує реальні кібератаки для оцінки ризиків системи, щоб дані системи можна було покращити або іншим чином зміцнити в плані безпеки.

Щоб зробити етичний хакінг вигідним для білих хакерів, програми винагород за знайдені вразливості — це організаційні структури, створені для оцінки та пропозиції фінансової компенсації за роботу з виявлення та відповідальної передачі вразливостей людям, які розробляють системи, що були зламані. Це робиться для того, щоб можна було покращити безпеку цих систем.

Програми винагород за знайдені вразливості часто супроводжуються захистом для хакерів, щоб вони могли виконувати свою роботу.

Ці політики безпечної гавані розроблені для захисту білих хакерів або дослідників безпеки від адміністративної, цивільної або кримінальної відповідальності, якщо вони щось знайдуть у процесі полювання на вразливості, за умови, що вони належним чином розкривають свої дослідження відповідно до специфіки даної програми винагород за знайдені вразливості.

Про що циркуляр SHPBBP DICT?

SHPBBP DICT описує захист та вимоги, необхідні для участі в програмі винагород за знайдені вразливості DICT.

Тепер ви можете задатися питанням, чи може хтось взяти участь у програмі винагород за знайдені вразливості.

Для цілей циркуляра DICT ви повинні, як мінімум, бути професійним дослідником кібербезпеки, щоб брати участь. Ви також повинні зареєструватися за процедурою "Знай свого учасника" (KYC), щоб навіть мати право на отримання винагороди за знайдені вразливості.

Проте, конкретно циркуляр сказав, що він застосовується до наступного:

• Усі національні державні установи під егідою виконавчої влади, включаючи державні корпорації та їхні дочірні компанії, державні фінансові установи та державні університети та коледжі, включаючи ті, що під доменом *.gov.ph та платформами, керованими DICT;
• Конгрес Філіппін, судова влада, незалежні конституційні комісії, офіс омбудсмена та місцеві органи влади настійно рекомендуються прийняти цей циркуляр;
• Приватні організації, які добровільно зареєстровані в рамках Програми державно-приватного партнерства з кібербезпеки DICT;
• Оператори критичної інформаційної інфраструктури (CII), як визначено в Національному плані кібербезпеки (NCSP); та
• Дослідники кібербезпеки, які відповідають за виявлення та аналіз потенційних загроз для мережі та систем організації.

Захист безпечної гавані буде застосовуватися, тим часом, лише якщо ви дослідник безпеки, який тестує лише системи, заявлені в межах програми винагород за знайдені вразливості; ви не здійснюєте будь-якого несанкціонованого вилучення, зміни даних або збою в обслуговуванні; ви повідомляєте про вразливості відповідально та конфіденційно DICT або уповноваженій організації; і ви зберігаєте свої висновки конфіденційними та не розкриваєте їх до тих пір, поки проблема, яку ви знайшли, не буде вирішена, або вам не буде дозволено обговорювати це публічно.

Як це все працює?

Вам може бути цікаво, як це працює на практиці, тому ось як це зазвичай відбувається.

Дослідник безпеки подає заявку на приєднання до ініціативи DICT через процедуру "Знай свого клієнта" (KYC), згадану вище. Вони повинні завершити весь процес і бути прийнятими, щоб мати право на грошові винагороди. Конфлікти інтересів — наприклад, персонал DICT та сторонні постачальники послуг, залучені DICT — дискваліфікують потенційних заявників від участі в цих програмах винагород за знайдені вразливості.

Програма винагород за знайдені вразливості матиме свої винагороди, встановлені організаціями-учасниками, а саме державними установами, які потребують допомоги, або державними партнерами, які хочуть встановити власну винагороду. Фінансування для реалізації цього циркуляра "має бути віднесено на існуючий бюджет охопленої установи або організації та інші відповідні джерела фінансування, які може визначити Департамент бюджету та управління, відповідно до відповідних законів, правил та положень".

Ці винагороди — включаючи те, які сайти чи послуги та які аспекти цих сайтів і послуг потребують тестування — перелічені на порталі програми розкриття вразливостей (VDPP), веб-сайті, присвяченому полюванню на вразливості та звітуванню про них. Він розміщений та підтримується бюро кібербезпеки DICT.

Вразливості та проблеми, належним чином повідомлені VDPP, можуть підпадати під чотири можливі сценарії безпеки в діапазоні від критичного, високого, середнього та низького, з потенційними виплатами на основі галузевих ставок залежно від звітів та їх серйозності.

Бюро кібербезпеки DICT перевірить звіти та надасть тим, хто має перевірені звіти, "відповідний сертифікат/визнання за внесок дослідника в повідомлення та/або
вирішення перевіреної вразливості". Організації приватного сектору, що беруть участь, після координації з бюро кібербезпеки DICT, можуть надавати відповідні грошові винагороди або стимули на основі структурованих механізмів стимулювання, викладених у VDPP.

Окрім грошових винагород, є також репутація, пов'язана з тим, що відповідальні розкриття отримують певний час у уряді. Винагороди включають цифрові та друковані сертифікати, публічне визнання на VDPP та включення в інші цитати DICT відповідно до циркуляра.

Дуже потрібний розвиток

Національна програма винагород за знайдені вразливості з визначеними правилами для участі в процесі є хорошою новиною та дуже потрібним розвитком у сфері кібербезпеки, оскільки вона повинна допомогти стимулювати етичний хакінг у довгостроковій перспективі, одночасно покращуючи урядові системи зараз.

Якщо ви починаючий професіонал з кібербезпеки, це може бути хорошим способом увійти в галузь, якщо ви знаєте, що робите, і виконуєте роботу, необхідну для відповідального розкриття інформації.

Перегляньте циркуляр, посилання на який наведено тут, для отримання детальної інформації та приєднуйтесь. Ви можете допомогти покращити державну безпеку від поганих людей. – Rappler.com