"Белых хакеров" в России станет больше
Эксперты АО "Позитив Текнолоджиз" (компания в области информационной безопасности (ИБ) Positive Technologies) в представленном на Петербургском международном экономическом форуме (ПМЭФ) исследовании "Рынок труда в информационной безопасности в России в 2024-2027 гг.: прогнозы, проблемы и перспективы" дали прогноз, что с учетом развития российских платформ багбаунти - цифровых платформ для поиска услуг пентестеров - можно ожидать увеличения количества багхантеров - "белых хакеров".
Российский рынок платформ багбаунти сформировался около десяти лет назад и продолжает развиваться. Крупнейшими платформами багбаунти в России являются Bug Bounty RU, Standoff 365 Bug Bounty и BI.ZONE Bug Bounty. Общее количество багхантеров на данных платформах, по данным 2023 г., составляет порядка 20 тыс. человек.
"Ожидается, что к 2027 г. количество багхантеров, зарегистрированных на специализированных платформах, увеличится на 4 тыс. и составит около 24 тыс. человек, что на 27% больше, чем было в 2023 г. как в динамичном сценарии, так и в умеренном, - заявили эксперты Positive Technologies. - При этом только на одной из платформ - Standoff Bug Вounty (от Positive Technologies) - уже зарегистрировано 10,5 тыс. независимых исследователей безопасности".
"Количество компаний, которые воспользовались багбаунти, выросло кратно по сравнению с 2023 г. На платформе размещены 58 программ багбаунти. Обычно они длятся один год, но в отдельных случаях мы можем сократить этот срок", - сообщил руководитель направления багбаунти Standoff Анатолий Иванов.
По его словам, багхантеры - это специалисты сферы информационной безопасности и других сфер: QA, разработки, менеджмента. "Standoff Bug Вounty не ограничивает круг желающих. Однако, в приватные (закрытые) программы мы приглашаем в основном тех, кто заслужил репутацию сильного специалиста, а также прошел все необходимые проверки и верификации", - объяснил Анатолий Иванов.
Руководитель продукта ООО "БИЗон" (BI.ZONE) Bug Bounty Андрей Левкин отметил, что BI.ZONE также отметил рост интереса к багбаунти-платформам как со стороны багхантеров, так и со стороны компаний: "Для компаний это возможность быстро получить доступ к множеству экспертов. Так инфраструктуру или ее сегмент одновременно исследует большое количество специалистов, которые применяют различные подходы и инструменты. На BI.ZONE Bug Bounty размещено более 35 компаний, и мы ожидаем дальнейший рост в ближайшие несколько лет".
Со стороны багхантеров за последний год, по словам Андрея Левкина, BI.ZONE также наблюдает положительную динамику: количество исследователей на платформе за этот период увеличилось на 100%.
https://www.comnews.ru/content/228395/2023-08-25/2023-w34/bizone-podvel…
В число организаций, запускающих программы багбаунти, входят "Яндекс", Rambler&Co, VK group, "ПИК", Ozon, Wildberries, "СберМаркет", "Азбука вкуса", "Авито", "ЮMoney", "Альфа-Банк", "Тинькофф", банк "Точка", "Лаборатория Касперского", "СКБ Контур", Минцифры России и другие, в том числе представители малого и среднего бизнеса.
"В приватных программах Positive Technologies есть большое количество компаний малого и среднего бизнеса. Багбаунти для небольших компаний подсветит уязвимости, которые есть, и это не будет стоить дорого. Однако нужен специалист внутри команды ИБ, который будет выплачивать вознаграждения и передавать задачи по исправлению в команды разработки", - добавил Анатолий Иванов.
С программой багбаунти уже несколько лет работает ООО "Авито". Пресс-служба компании заявила, что для них этот инструмент не заменяет инхаус команду ИБ-аналитиков, но отлично дополняет ее, позволяя взглядом большого количества исследователей посмотреть на существующий в компании продуктовый периметр и выявить потенциальные риски.
Отдельная программа багбаунти с 2019 г. действует в ГК "СКБ Контур". Менеджер проектов отдела безопасности управления разработки "СКБ Контур" Юлия Гайсина сообщила, что программа оказалась эффективной: благодаря ей удалось выявить и устранить слабые места.
"В этом году мы планируем разместить программу на внешней платформе, что позволит расширить охват и повысить интерес", - завила Юлия Гайсина, но не уточнила, на какой именно платформе, поскольку компания находится в процессе подписания договора.
На вопрос корреспондента ComNews, что более выгодно и эффективно - иметь постоянный штат ИБ-аналитиков или прибегать к багбаунти через аутсорс, Юлия Гайсина ответила, что "СКБ Контур" сочетает оба варианта: "Наша команда безопасности непрерывно проводит аудит продуктов и инфраструктуры, реагирует на угрозы. Но для повышения эффективности мы дополняем эту работу программой багбаунти. Программа багбаунти привлекает внешних исследователей, обеспечивает свежий взгляд и выявление уязвимостей, которые могли пропустить внутренние специалисты".
Технический директор ООО "ХФ Лабс" (ИТ-компания HFLabs) Никита Назаров согласен с прогнозами Positive Technologied и BI.ZONE по росту количества багхантеров, но, по его словам, это не обязательно приведет к кратному росту выявляемых уязвимостей: "Багхантером может стать каждый, для этого не требуется специальных знаний и навыков, нужно только зарегистрироваться на платформе. А вот квалифицированных этичных хакеров (white hat) все еще счетное количество, причем многие из них уже трудоустроены".
"Рост популярности платформ для багбаунти случится, если крупные компании станут предлагать реальное вознаграждение, адекватное обнаруженным проблемам. Пока нередки ситуации, когда компании предлагают минимальное вознаграждение или полностью отказывают в выплате награды, поэтому выгоднее быть black hat и производить взлом для личной выгоды, а не в интересах компании", - объясняет Никита Назаров.
По его словам, можно и иметь постоянный штат аналитиков, и прибегать к услугам багхантеров - одно не противоречит другому. "Багбаунти - это фреймворк для оценки эффективности внутреннего ИБ. Внутренние ИБ-аналитики - это гигиенический минимум, а багхантеров можно привлекать, если уровень внутренних процессов высок и позволяет выложить решение в открытый доступ для поиска уязвимостей и затем работать с обнаруженными проблемами", - заключил Никита Назаров.
https://www.comnews.ru/content/230182/2023-11-16/2023-w46/1008/bug-boun…