Практика Bug Bounty обретает российский акцент

Программы Bug Bounty развивают разработчики ПО и веб-сайтов для поиска уязвимостей, которые потенциально могут привести к успешной атаке. Как отметила руководитель пресс-службы АО "Позитив Текнолоджиз" (Positive Technologies) в России и странах СНГ Юлия Сорокина, такая практика получила широкое распространение в мире и даже стала модной. В России же, несмотря на довольно долгий успешный опыт, данная практика по-настоящему стала широко применяться только в текущем году.

Аналитик исследовательской группы Positive Technologies Федор Чунижеков напомнил, что уязвимыми являются в среднем 65% приложений. Причем устранение их с помощью традиционных средств в разумные сроки и с приемлемым уровнем затрат не всегда возможно. Привлечение краудсорсингового ресурса, где оплата производится не за потраченное время, а за обнаруженные уникальные уязвимости, решает данную проблему. К 2027 г. объем мирового рынка Bug Bounty аналитики оценивают в $5,5 млрд.

При этом выплаты могут быть как разовыми, так и в рамках различных программ по поиску уязвимостей. Средний размер выплаты зависит от уровня критичности обнаруженных проблем, от $2250 до более чем $7200. Однако, как отметил Федор Чунижеков, многое зависит от специфики отрасли. Наиболее высокие выплаты предлагают различные криптовалютные проекты из-за больших потенциальных убытков от действия злоумышленников. По оценкам аналитиков Positive Technologies, которые озвучил Федор Чунижеков, наиболее активно используют программы Bug Bounty такие отрасли, как ИТ (16%), онлайн-сервисы (14%), сфера услуг (13%), торговля (11%), финансовые компании (9%).

Привлечением команд "белых хакеров" часто занимаются специальные платформы. Они зарабатывают за счет подписок со стороны потенциальных заказчиков (в среднем $16 тыс.), а также комиссий, собираемых с вознаграждений для специалистов. При этом размер комиссии, как проинформировал Федор Чунижеков, не является фиксированным и зависит от уровня критичности обнаруженных проблем.

Заместитель главного редактора TAdviser Наталья Лаврентьева поделилась результатами исследования российского рынка Bug Bounty, проведенного в сентябре-октябре. В принципе, российский рынок Bug Bounty существует как минимум с 2012 г., когда такую программу запустил "Яндекс". В 2014-2015 гг. делалась попытка запуска и российских платформ Bug Bounty, но она не была успешной: эти проекты не выдержали конкуренцию с иностранными площадками, прежде всего HackerOne, услугами которого до февраля текущего года пользовались как российские компании, так и специалисты, которые занимались поиском уязвимостей. Около половины компаний, в том числе и "Яндекс", проводили (и проводят до сих пор) исследования Bug Bounty в закрытом режиме, не прибегая к услугам платформ.

Однако после того, как зарубежные платформы отключили российских заказчиков и багхантеров, начали появляться российские платформы. Наиболее крупными, по оценке TAdviser, являются Bugbounty.RU, Standoff 365 Bug Bounty и BI.ZONE Bug Bounty. Их услугами воспользовались более 40 компаний. Активнее всего используют Bug Bounty банки, интернет-сервисы, ИТ-компании и розница. При этом поиск уязвимостей с использованием Bug Bounty обходится российским компаниям в семь-девять раз дешевле, чем при применении традиционного инструментария вроде пентестинга. При этом выплаты багхантерам в России вполне на мировом уровне.

Специфичной особенностью российского рынка Bug Bounty является отсутствие практического интереса со стороны госорганов. По мнению Натальи Лаврентьевой, это связано с тем, что сфера Bug Bounty находится в регуляторной "серой зоне". Ее устранение, в чем заинтересованы регуляторы в лице Минцифры и ФСТЭК, приведет к существенному росту рынка. Законопроекты, которые полностью узаконят Bug Bounty, как отметила Наталья Лаврентьева, уже находятся в стадии разработки. По оценке TAdviser, большим потенциальным рынком для Bug Bounty являются операторы критической информационной инфраструктуры, которых обязали проводить аудит.

Директор по продукту Standoff 365 Ярослав Бабин привел первые результаты работы платформы Standoff 365 Bug Bounty. Ее услугами пользуются 24 компании, среди которых розничная сесть "Азбука вкуса", ключевые ресурсы VK (социальные сети "Одноклассники" и "ВКонтакте", Mail.Ru, "Дзен"), Rambler&Co. Выплаты багхантерам составили более 5 млн руб., причем максимальная - 1,2 млн руб.

Директор по стратегии BI.ZONE Евгений Волошин заявил, что каждая компания сама определяет размер максимальной выплаты: "Например, сейчас у нас на платформе есть публичная программа BI.ZONE с максимальной выплатой в 300 тыс. руб.".

В целом, как отметил Ярослав Бабин, размер выплат соответствует мировому, а в некоторых отраслях, в частности медиа и интернет-сервисов, даже выше. Так что интерес со стороны зарубежных багхантеров, несмотря на все сложности с оплатой, сохраняется. Одной из первоочередных целей на 2023 г. для Standoff 365 Bug Bounty является зарубежная экспансия. Особый интерес представляют такие регионы, как Ближний Восток, и страны BRICS.

Как отметил Евгений Волошин, BI.ZONE Bug Bounty привлекает зарубежных заказчиков и исследователей уже сейчас: "На нашей платформе программу может разместить компания из любой страны. Что касается багхантеров, в среднесрочной перспективе мы хотим приглашать исследователей из СНГ. Уже сегодня на нашей платформе могут работать багхантеры из Евразийского экономического союза. Перспективно также выглядят рынки Востока и Азии - у них своя специфика, но огромный потенциал".

Однако главным для платформы Ярослав Бабин видит продвижение подхода препятствования недопустимых для бизнеса событий: "Новаторский подход к поиску уязвимостей выгоден всем пользователям Standoff 365 Bug Bounty. Компания получает подробный отчет об эксплуатации ряда уязвимостей, которые привели к реализации недопустимого события, и может сразу приступить к их исправлению. Исследователю же выплачивается значительно большее вознаграждение, чем за обычный поиск брешей в защите".