Рынок Bug Bounty в РФ кратно вырос за год
На фото слева направо: начальник управления экспертизы кибербезопасности ПАО "Сбербанк" Сергей Крайнов, директор департамента анализа защищенности и противодействия мошенничеству ООО "Бизон" (BI.Zone) Евгений Волошин, руководитель направления перспективных исследований и инновационных проектов ООО ГК "Астра" Роман Мылицын
Вчера, 22 августа, в рамках международной конференции по кибербезопасности OFFZONE 2024 директор департамента анализа защищенности и противодействия мошенничеству ООО "Бизон" (BI.Zone) Евгений Волошин вместе с другими спикерами подвел итоги года платформы BI.Zone Bug Bounty. "Хочу отметить, что мы оцениваем рынок багбаунти с августа по август, поскольку именно в августе 2022 г. появилась наша платформа. Год назад на всех российских багбаунти-платформах было 16 компаний с публичными программами, на данный момент их насчитывается 29", - сказал Евгений Волошин.
Руководитель продукта BI.Zone Bug Bounty Андрей Левкин заметил, что с запуска платформы в августе 2022 г. по сегодняшний день через BI.Zone Bug Bounty компании выплатили белым хакерам более 60 млн руб. При этом из них 45 млн руб. - только за последний год. Таким образом, размер выплат вырос в три раза год к году. "Мы обновили платформу и ее дизайн, сделали ее более удобной и современной. Одна из наших задач - сделать BI.Zone Bug Bounty не только выгодной для багхантеров и компаний, но также комфортной в использовании. Мы ввели мотивационную программу для исследователей безопасности. Таким образом, мы хотим показать, что можно заниматься багхантингом полный рабочий день и получать хороший доход, не имея основного места работы. Средняя сумма вознаграждения по платформе составила 35 тыс. руб. Самое крупное вознаграждение было со стороны ООО "ВК" (VK) - 2,4 млн руб.", - отметил Андрей Левкин.
На вопрос корреспондента ComNews, изменился ли спрос компаний на багхантеров в 2024 г. по отношению к 2023 г., генеральный директор ООО "Стингрей Технолоджиз" Юрий Шабалин ответил, что да: "Тут надо рассматривать с двух сторон. С одной стороны, это спрос компаний на подобные услуги. Этому очень сильно способствует то, что в РФ есть три открытые площадки для того, чтобы люди в них участвовали. Российским компаниям, даже банкам, финтеху и всем остальным намного проще войти через них в область Bug Bounty и намного проще юридически заключить отношения с багхантерами для официальных выплат. Некоторые компании регулярно проводят различные ивенты, выпуская большой трехдневный скоуп с различными наградами. А с другой стороны, зарубежные площадки регулярно замораживают активы белых хакеров. В России очень многие идут в багхантинг и пробуют себя в этой сфере, в том числе и молодые специалисты.
В настоящее время в РФ действуют три платформы для проведения программ Bug Bounty – BugBounty.ru, Standoff 365 Bug Bounty от АО "Позитив Текнолоджиз" (Positive Technologies) и Bi.Zone Bug Bounty.
Руководитель Bug Bounty VK Петр Уваров рассказал корреспонденту ComNews, что у VK - одна из старейших программ Bug Bounty на российском рынке: "Более 30 программ VK представила на всех трех российских платформах Bug Bounty - Standoff Bug Bounty, BI.Zone Bug Bounty, bugbounty.ru. Это сделано специально для того, чтобы охватить как можно больше багхантеров. В 2023 г. суммарное вознаграждение на всех трех платформах превысило 39 млн руб., что в три раза больше, чем в 2022 г., а размер максимальной единовременной выплаты составил 2,4 млн руб. В 2024 г. мы запустили механику Bounty pass и повысили стоимость максимальных вознаграждений в ряде программ, что, очевидно, повлияет на итоговую сумму выплат в конце года".
Представитель пресс-службы ООО "Вайлдберриз" (Wildberries) сообщил корреспонденту ComNews, что выплаты в программе Bug Bounty Wildberries соответствуют средним на рынке: "Мы добавляем в программу Bug Bounty все наши новые сервисы и продукты. Также в прошлом месяце были добавлены домены, относящиеся к складской инфраструктуре. За первое полугодие 2024 г. выплачено более 1 млн руб., а количество продуктов, на которых выявлены уязвимости, составило около 20. При этом во второй половине 2024 г. мы существенно повысили размер выплат, и теперь максимальный размер вознаграждения составляет полмиллиона рублей. За все время существования программы Bug Bounty в Wildberries сервисы компании проверили более 100 специалистов, которым выплачено более 5 млн руб.".
Руководитель отдела безопасности программного обеспечения АО "Лаборатория Касперского" Дмитрий Шмойлов рассказал, что компания реализует многоуровневый подход к тестированию продуктов, который является частью жизненного цикла безопасной разработки ПО: "Перед выходом на рынок любое решение проходит тщательный внутренний аудит, анализ со стороны команды профессиональных тестировщиков из отдела обеспечения качества (QA), а также тесты на проникновение со стороны команды внутренних пентестеров. Вместе с тем, чтобы свести практически к нулю вероятность обнаружения уязвимостей и их злонамеренного использования, в 2016 г. "Лаборатория Касперского" запустила программу Bug Bounty, которая реализуется в рамках глобальной инициативы по информационной открытости (Global Transparency Initiative, GTI). Мы работаем с французской площадкой Yogosha (с 2023 г. по 2024 г. выплаты составили 13 тыс. евро). C 2016-2022 гг. работали с основной площадкой Bug Bounty - HackerOne (выплаты составили $80 тыс.). При этом максимальное вознаграждение в программе Bug Bounty - до $100 тыс. за обнаружение наиболее серьезных уязвимостей в ПО "Лаборатории Касперского" - до сих пор не было присуждено никому".