Модель розрахунку витрат на баг-баунті програми тестування вразливостей безпеки

Кіпчук, Феодосій Валентинович та Соколов, Володимир Юрійович (2023) Модель розрахунку витрат на баг-баунті програми тестування вразливостей безпеки Електронне фахове наукове видання «Кібербезпека: освіта, наука, техніка» (2(22)). с. 68-83. ISSN 2663-4023

Текст Kipchuk_F_Sokolov_V_CEST_2_22_2023.pdf Download (1MB)

Анотація

В статті описані способи дослідження баг-баунті програм та запропоновано новий підхід для розрахунку оцінки знайдених вразливостей. Робота починається з вводу у розуміння процесів управлінням вразливостями, поняття поверхні вразливості атаки. У роботі наведено аналіз статистики всіх знайдених вразливостей в інформаційних системах за останні десять років, які розділені за стандартною оцінкою CVSS. Проаналізовано види і вектори атак на прикладі фінансового сектору. Додатково проведено розподілення зламів і інцидентів по векторам атак на фінансовий сектор. Далі наведено співвідношення найпопулярніших видів і векторів атак до критичності інформаційних систем. Представлено рейтинг критичних і високих вразливостей однієї з платформ баг-баунті з детальним описом видів атак і технік експлуатації. Невід’ємною частиною процесу управління вразливостями є категоризація важливості і впливу на організацію. Також представлено можливі сценарії життєвого циклу для знайденої вразливості в інформаційній системі очима власника інформації про вразливість та власника такої інформаційної системи. Проведено порівняльний кількісний і якісний аналізи зрілості програм баг-баунті від моменту запуску і протягом років, а також чинники впливу на зрілість програми. Проаналізовано статистику знайдених вразливостей в публічних баг-баунті програмах за останні шість років. Запропоновано власний підхід до розрахунку ефективної вартості програми баг-баунті та проведено експериментальну перевірку на трьох програмах. Висвітлено фактори впливу на розрахунок ефективної вартості вразливостей. Розглянуто підходи до оцінок і валідації вразливостей платформами баг-баунті та етапи арбітражу між власником інформаційної системи та дослідником вразливостей. Наприкінці дослідження наведено рекомендації для набуття вищого рівню зрілості процесів управління вразливостями. Виковки висвітлюють безперервність виникнення і зникнення додаткових факторів у процесах управління вразливостями, в яких програми баг-баунті є невід’ємною частиною. Взаємозалежність зрілості процесів компанії та її програми баг-баунті, що потребує залучення достатніх ресурсів, задля ефективності її роботи.

Тип елементу :	Стаття
Ключові слова:	разливість; атака; баг-баунті; етичний хакінг; пентестинг; винагорода; Common Vulnerability Scoring System; CVSS
Типологія:	Це архівна тематика Київського університету імені Бориса Грінченка > Статті у журналах > Фахові (входять до переліку фахових, затверджений МОН)
Підрозділи:	Це архівні підрозділи Київського університету імені Бориса Грінченка > Факультет інформаційних технологій та математики > Кафедра інформаційної та кібернетичної безпеки імені професора Володимира Бурячка
Користувач, що депонує:	Павло Миколайович Складанний
Дата внесення:	03 Січ 2024 13:07
Останні зміни:	03 Січ 2024 13:07
URI:	https://elibrary.kubg.edu.ua/id/eprint/48270

Actions (login required)

Перегляд елементу