Взлёт белой шляпы. Перспективы развития рынка bug bounty в России

Взлёт белой шляпы. Перспективы развития рынка bug bounty в России

Во всём мире растёт популярность программ bug bounty, в ходе которых компании привлекают исследователей безопасности (этичных хакеров) к поиску уязвимостей в своём ПО за вознаграждение.

В отличие от пентестов, в bug bounty оплачивается не время, потраченное специалистами, а результат — описанная и подтверждённая уязвимость, при этом от её опасности зависит размер вознаграждения, которое может получить исследователь. Отсутствие временных рамок и обращение к самым квалифицированным специалистам на рынке выгодны компаниям, а возможность заработать, тестируя надёжность популярных онлайн-платформ и сервисов, привлекает независимых исследователей.

СОСТОЯНИЕ МИРОВОГО РЫНКА

Согласно отчёту популярной международной платформы HackerOne, 92% её исследователей способны обнаруживать уязвимости, которые не замечают сканеры. В 2022 году исследователи платформы нашли 65 000 уязвимостей. Хотя большинство (70%) этичных хакеров работают в программах bug bounty помимо своей основной занятости, 47% из них заявили, что в прошедшем году они уделяли хакингу больше времени, чем в 2021-м.

Центр маркетинговых исследований All The Research прогнозирует рост международного рынка bug bounty до 5,5 млрд долларов к 2027 году.

Разработчик платформы Standoff 365 Bug Bounty, компания Positive Technologies совместно с TAdviser исследовала мировой и российский рынок агрегаторов программ поиска уязвимостей за вознаграждение. Лидер по количеству крупных платформ bug bounty — Азиатский регион, где располагаются 38% проанализированных ресурсов. Платформы Североамериканского и Ближневосточного регионов занимают 21 и 8% рынка соответственно. Европейский регион, куда входит Россия, находится на втором месте рейтинга и включает в себя треть исследованных платформ, в том числе такие крупные, как Intigriti, YesWeHack, Zerocopter и Standoff 365 Bug Bounty.

ПОЛОЖЕНИЕ В РОССИИ

Российский рынок bug bounty активно формируется. В 2020 году Россия вошла в тройку стран с самым высоким уровнем дохода багхантеров, обогнав Китай и Германию. В разное время порядка 40 отечественных компаний (например, VK, Yandex, Tinkoff) запускали открытые программы bug bounty.

Кроме того, в России на фоне кибератак последнего года появился запрос на повышение киберустойчивости организаций в целом. Всё больше компаний понимает, что кибератаки могут приводить к неприемлемому для бизнеса ущербу, и готовы тестировать свои IT-системы, чтобы убедиться в их защищённости. Программы bug bounty — часть этого процесса: только с помощью bug bounty можно на практике проверить, что конкретное недопустимое событие невозможно реализовать.

Заметна и необычная динамика: если раньше такие программы запускали представители крупного бизнеса, то теперь привлекать на свои сервисы сторонних исследователей безопасности начинают и небольшие организации, а также компании госсектора.

КОМУ И ЗАЧЕМ НУЖНЫ BUG BOUNTY

Сегодня основные заказчики программ bug bounty в России — крупный бизнес, имеющий большое количество клиентов или пользователей: банки, интернет-сервисы, электронная коммерция и ретейл, разработчики IT-продуктов. У таких компаний высоки финансовые и репутационные риски, а также, как правило, есть собственные отделы разработки ПО и возможность оперативно устранять найденные уязвимости.

Компании получают от программ bug bounty следующие выгоды:

• привлечение к процессу поиска уязвимостей сотен и тысяч специалистов с различным опытом и квалификацией;
• непрерывное исследование ИT-инфраструктур на прочность и безопасность;
• возможность оперативно устранять уязвимости до того, как ими воспользуются злоумышленники;
• экономическая эффективность, в том числе в долгосрочной перспективе.

СЛОЖНОСТИ РЕАЛИЗАЦИИ ПРОГРАММ BUG BOUNTY

Несмотря на значительные преимущества программ bug bounty, не все компании могут позволить себе их проведение. Среди причин могут быть:

• сложности с определением исследуемых информационных активов и границ исследований;
• необходимость привлекать внимание этичных хакеров к своей программе;
• трудности в отслеживании показателей эффективности программы;
• отсутствие специалистов, способных проверять присланные отчёты, отсеивать сообщения об уязвимостях с низким уровнем опасности и выстраивать эффективную коммуникацию с исследователями;
• необходимость построить процесс исправления уязвимостей.

ПЛАТФОРМЫ BUG BOUNTY

Часть этих сложностей (и координацию в вопросах, которые должны быть решены внутри компании) могут взять на себя платформы bug bounty — агрегаторы, на которых размещены программы поиска уязвимостей, предлагаемые различными компаниями, а исследователи могут выбрать интересующую. Платформы bug bounty удачно объединяют в себе сообщество этичных хакеров и команду экспертов по кибербезопасности, которые выстраивают коммуникацию между компаниями и исследователями, организуют процесс выплат, а по запросу занимаются проверкой отчётов и верификацией обнаруженных уязвимостей.

Исследователи, ищущие уязвимости на платформах, придерживаются принципа ответственного разглашения, так что компании могут рассчитывать на сохранение информации о найденной уязвимости в тайне от общественности и получают время на её устранение.

В УСЛОВИЯХ ИМПОРТОЗАМЕЩЕНИЯ

В марте 2022 года международные платформы поиска уязвимостей прекратили выплаты пользователям из России, а российские компании, среди которых были Mail.ru, Ozon, «Лаборатория Касперского», «Авито», утратили возможность размещать на платформах свои программы.

Анонсированная за полгода до этих событий платформа Standoff 365 Bug Bounty появилась как раз в этот непростой момент. Отечественные компании обрели возможность проверять защищённость своей инфраструктуры с помощью независимых исследователей, а последние получили предложение выплат, сопоставимых с уровнем международных платформ.

В настоящий момент, помимо Standoff 365 Bug Bounty, существуют платформы BugBounty.ru и BI.ZONE Bug Bounty. При этом половина программ bug bounty в России закрытые, то есть количество исследователей в них ограничено и заранее оговорено. Российские компании готовы платить багхантерам от нескольких десятков до сотен тысяч рублей за найденную уязвимость. В отдельных случаях выплаты достигают 1 млн рублей и более. Например, средняя выплата за критически опасную уязвимость на Standoff 365 Bug Bounty составляет 420 тыс. рублей, что сопоставимо с выплатами по миру.

За шесть месяцев работы платформы Standoff 365 Bug Bounty багхантеры прислали 860 отчётов, найдены и исправлены более 190 уязвимостей, за которые участникам назначено вознаграждение в размере более 11 млн рублей. По числу участников и программ платформа стала лидером среди российских аналогов: на ней зарегистрировались уже более 3300 человек, запущено 36 программ (в том числе «Азбука вкуса», RuStore, «ВКонтакте», «Дзен», Mail.ru, Rambler&Co).

BUG BOUNTY НОВОГО ТИПА

В ноябре 2022 года Positive Technologies объявила о запуске программы bug bounty нового типа, которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критически опасного для компании события — хищения денег со счетов Positive Technologies. Это новаторский подход к поиску уязвимостей: теперь исследователю нужно разобраться с тем, как выстроены бизнес-процессы компании, обойти системы защиты и продемонстрировать факт хищения денег. Но и объявленное вознаграждение в 10 миллионов рублей также беспрецедентно для России.

В отличие от классических bug bounty, этичным хакерам разрешено использовать для проникновения практически любые способы проведения удалённых атак (включая социальную инженерию). Программа не ограничена по времени и будет действовать вплоть до совершения названного недопустимого события.

Мы считаем такой подход к программам bug bounty новым витком в развитии индустрии кибербезопасности, так как это единственный способ для руководителя компании контролируемо убедиться, что система защиты работает.

ЧТО ДАЛЬШЕ?

Рост киберугроз и возрастание их сложности, вовлечение всё большего числа компаний в вопросы кибербезопасности и недоступность в России многих мировых сервисов позволяют ожидать бурного роста российского рынка bug bounty в ближайшее время.

Этому определённо будет способствовать устранение юридических барьеров, над которым сейчас работают Минцифры и ФСТЭК.

Программы поиска уязвимостей появятся в организациях из различных отраслей экономики, что органически расширит рынок. В программах bug bounty уже сейчас заинтересованы объекты критической инфраструктуры (КИИ), чья деятельность подпадает под действие Указа Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

При этом пул этичных хакеров, к которым могут обращаться российские организации, уменьшился на фоне санкций и отказа иностранных платформ работать с россиянами. Некоторые из них уехали из страны, и в небольшом сообществе экспертов по ИБ не приходится ждать притока специалистов.

Решением «кадрового вопроса» на рынке bug bounty могло бы стать развитие сотрудничества с паназиатским рынком, что подразумевает в первую очередь возможность осуществлять платежи. Мы в Standoff 365 Bug Bounty работаем над увеличением исследовательской аудитории и анонсируем новые возможности уже в 2023 году.