BI.ZONE подвёл итоги первого года работы платформы BI.ZONE Bug Bounty
28/08/2023
Финальным событием лета 2023 стала конференция по кибербезопасности OFFZONE 2023, которую провела компания BI.ZONE. В рамках мероприятия прошла пресс-конференция «BI.ZONE Bug Bounty: итоги года».
Итоги первого года работы платформы BI.ZONE Bug Bounty подвели Евгений Волошин, директор по стратегии BI.ZONE и Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty, а также Дмитрий Гадарь, вице-президент, директор департамента информационной безопасности «Тинькофф», и багхантер Рамазан Рамазанов (r0hack), руководитель отдела внешних пентестов DeteAct.
Подводя итоги первого года работы платформы, которая стартовала на OFFZONE 2022, Евгений Волошин отметил, что в экспериментальном режиме BI.ZONE Bug Bounty начала разрабатываться до событий февраля 2022-го. Начало работы в августе прошлого года фактически совпало с уходом иностранных платформ, в частности HackerOne, которая «некрасиво ушла с российского рынка».
Год назад в России работали три платформы, на которых были представлены пять компаний — бизнес и комьюнити багхантеров скептически отнеслись к отечественным решениям. За минувший год была компаниями и Минцифры проведена активная разъяснительная работа, интерес к российским платформам Bug Bounty значительно вырос. Сейчас на трёх платформах Bug Bounty работают 17 компаний, представлены 51 публичная и некоторое количество непубличных программ, в том чисде свои системы в закрытом режиме проверяет Сбер. Соотношение публичных программ с приватными составляет почти восемь к одному. К середине 2023 года платформа BI.ZONE Bug Bounty стала лидером среди российских багбаунти-платформ по числу публичных программ, подчеркнул Евгений Волошин.
Помимо возросшего интереса к программам поиска уязвимостей за деньги со стороны коммерческих компаний спикер отметил и рост интереса со стороны госсектора. Положительный отклик от государства получила программа поиска уязвимостей на Госуслугах, которую Минцифры провело в том числе на платформе BI.ZONE Bug Bounty. «Государству нужен инструмент для общения с исследователями», — считает Евгений Волошин. Он подчеркнул, что планируется выход на платформу Bug Bounty государственных институтов, однако, не раскрыл подробностей этой программы.
За год работы платформы BI.ZONE Bug Bounty на ней было выявлено 3% критических уязвимостей, 10% относились к категории high. Эти опасные уязвимости находили преимущественно в финтехе, ритейле и ИТ — они могли нанести многомиллионные убытки компаниям. 28% «находок» составили уязвимости средней степени значимости, еще 59% — угрозу низкой степени и информационные, то есть отчёты о недочётах, не влияющих на защищённость.
Лидерство финтеха во многом связано с тем, что компании из финансового сектора проявляют наибольший интерес к программам Bug Bounty. На отрасль приходится 37% спроса на услуги багхантеров. Следом идут ритейл (25%), ИТ (19%), онлайн-сервисы (13%) и госсектор (6%). Общая сумма выплат за найденные баги на платформе составила более 15 млн рублей.
По мнению Евгения Волошина, итоги первого года работы платформы BI.ZONE Bug Bounty подтвердили, что программы багхантинга позволяют ускорить выявление уязвимостей, стоимость их обнаружения сокращается, если сравнивать с результатами использования других инструментов анализа, например, пентестов. Он отметил, что повышается доверие к платформе и со стороны комьюнити багхантеров. Директор по стратегии BI.ZONE прогнозирует дальнейший 4-6-кратный рост отечественных программ Bug Bounty.
Банк «Тинькофф» уже много лет развивает собственную программу Bug Bounty, рассказал Дмитрий Гадарь. На платформе HackerOne работы велись в приватном режиме, однако, прекратились с уходом западной компании. Выход на публичные платформы, в частности BI.ZONE Bug Bounty, позволил банку расширить аудиторию багхантеров и обеспечить более тесное и эффективное сотрудничество. 2022 год стал провальным для банка в части программ Bug Bounty. Но уже за первую половину текущего года «Тинькофф» вышел на уровень работы с платформой HackerOne. Показатели первого полугодия в три раза превысили итоги всего 2022 года, как по числу найденных уязвимостей, так и по выплатам багхантерам, отметил спикер.
«Тинькофф» открывается всё больше возможностей для привлечения внешних исследователей и максимальной защиты своих клиентов, регулярно увеличивает выплаты багхантерам, а также вкладывается в развитие комьюнити с помощью мероприятий, образовательных и стипендиальных программ. Такие акции позволяют в короткий период троекратно повысить эффективность поиска уязвимостей по сравнению с обычной работой на платформе Bug Bounty, отметил представитель «Тинькофф». Для самых активных участников программы банк также запустил программу лояльности и карту багхантера, которая была представлена на OFFZONE 2023.
Банк дает возможность багхантерам не только выводить полученные средства, но и передавать их на благотворительность, увеличивая со своей стороны сумму перевода в пять раз. Таким образом, более миллиона рублей было передано в благотворительные фонды.
Bug Bounty — это легкая монетизация знаний, считает Андрей Левкин, руководитель продукта BI.ZONE Bug Bounty.
За минувший год были решены многие проблемы платформы, BI.ZONE пошел по пути расширения функционала для вендоров и багхантеров, что принесло свои положительные результаты. В последней версии платформы, которая была представлена накануне OFFZONE, появился соревновательный элемент и рейтинги багхантеров. BI.ZONE совместно с коллегами из дружественных компаний, в частности VK, ведёт работу по продвижению платформы в комьюнити, в котором сегодня участвует порядка четырёх тысяч человек.
Средняя сумма выплат за найденную уязвимость составляет 20 тыс. рублей, максимальная разовая выплата — 400 тыс. рублей. При расчёте стоимости уязвимости критичность уязвимости умножается на критичность сервиса — таким образом определяется стоимость выплаты за найденную уязвимость, отметил Андрей Левкин. По его словам, этот подход позволяет компаниям определять стоимость уязвимостей при работе на платформе. При этом выплаты должны регулярно повышаться, чтобы сохранить интерес исследователей к программе компании.
BI.ZONE выстроил оптимальный процесс работы с отчетами, багхантеры получают вознаграждение в среднем в течение 30 часов после подтверждения найденной уязвимости. В ближайшие планы по развитию платформы входят открытая публикация отчётов для изучения лучших практик и расширение сотрудничества с российскими компаниями, отметил Андрей Левкин. Он призывает все компании и багхантеров публиковать отчёты для популяризации Bug Bounty и привлечения новых исследователей.
BI.ZONE пошёл по пути открытости и ежемесячно проводит обновления платформы, активно работая с вендорами и багхантерами, публикуя отчеты о проведенной работе.
На платформе BI.ZONE Bug Bounty совместно с ГК «Астра» запущена первая в России программа по поиску уязвимостей операционных систем, — отметил Андрей Левкин. Он подчеркнул, что «Астра» будет выплачивать значительные вознаграждения — порядка 250 тыс. рублей — за найденные критические уязвимости в ОС Astra Linux.
Bug Bounty — это не изолированный процесс, а один из значимых элементов application security, вокруг которого строится часть общей системы по защите информации наравне с SOC, антифродом, это входная точка для многих образовательных программ. Процесс поиска уязвимостей не может заменить пентесты, хотя программы багхантинга обходятся компаниям намного дешевле оценки безопасности компьютерных систем средствами моделирования атаки злоумышленника, считает Дмитрий Гадарь. Он прогнозирует расширение интереса к багхантингу со стороны всех участников.
Последнее обновление платформы во многом улучшило её работу и повысило геймификацию, что привлекает многих искателей уязвимостей, считает Рамазан Рамазанов. Ранее он работал на иностранных платформах, однако, после их отказа работать с российскими гражданами перешёл на отечественные решения. Исследователь отметил резкий рост числа компаний, которые вышли на платформу, в том числе крупных финансовых организаций. Спикер подчеркнул важность соревновательного элемента: не всегда багхантеров интересуют только деньги — часто на первый план выходят сложность задачи и полученный опыт. Говоря о перспективах развития платформы, Рамазанов полагает, что платформа BI.ZONE Bug Bounty пока уступает в функциональности решениям HackerOne, но регулярные обновления значительно улучшают удобства работы с платформой.
Сам Рамазанов рассматривает багхантинг как увлечение в свободное от работы время. С начала 2023 года на поиск уязвимостей он потратил три месяца, заработав при этом порядка 8 млн рублей.
Говоря о перспективах развития платформы на 2023-2024 годы, директор по стратегии BI.ZONE Евгений Волошин отметил 4-5-кратный рост за прошедший год. Он считает, что темп роста отечественных программ Bug Bounty сохранится на уровне роста в 4-6 раз. Многие компании ориентируются на лидеров, уже пришедших на платформу Bug Bounty, и идут за ними. Российские компании с критической информационной инфраструктурой, подпадающие под жёсткие требования регуляторов, получили доверенные отечественные площадки, на которые могут зайти проверенные багхантеры. Поэтому ожидается рост программ среди таких организаций.
Компании, включая BI.ZONE, проводят много активностей для сообщества и вендоров: мероприятия и вложения в комьюнити, снижение порога входа для новичков, увеличение мотивации, направленные на расширение сообщества исследователей уязвимостей. Участники пресс-конференции напомнили, что 20% хантеров приносят 80% результатов. Они ожидают двукратный рост числа багхантеров, особенно среди молодых людей до 20 лет.
Оценивая выход на иностранные рынки, BI.ZONE отмечает высокий потенциал рынков СНГ и региона MENA (стран Ближнего Востока и Магриба).