В зоне кибербезопасности. BI.ZONE – о российских проектах багбаунти

Директор департамента анализа защищенности и противодействия мошенничеству компании BI.ZONE Евгений Волошин напомнил, что в России в настоящее время действуют три отечественные платформы, предоставляющие среду для взаимодействия заказчиков (в проектах багбаунти их называют вендорами) и являющиеся провайдерами услуг багбаунти в публичном (т. е. доступном всем желающим) и приватном (при использовании которого к своей программе багбаунти вендор допускает строго определенный список участников) форматах. Эти платформы разработаны компаниями BI.ZONE, Solar и Positive Technologies.

К августу 2024 года о публичных программах багбаунти на площадке BI.ZONE Bug Bounty объявили 34 российских компании, некоторые из них реализуют несколько программ, включая приватные. Согласно данным BI.ZONE, наибольшую активность в подобных проектах сегодня проявляют финансовые организации, ИТ-компании, предприятия розничной торговли, провайдеры онлайн-сервисов и учреждения госсектора.

«Эксперты рынка багбаунти на пресс-конференции BI.ZONE Bug Bounty (справа налево):
Артем Бельченко, независимый исследователь; Роман Мылицын, «Группа Астра»;
Евгений Волошин, BI.ZONE; Сергей Крайнов, Сбер; Андрей Лёвкин, BI.ZONE»
Фото: ICT-Online.ru

В частности, на конференции по практической кибербезопасности OFFZONE 2024 о старте своих публичных программ багбаунти на ресурсах площадки BI.ZONE Bug Bounty объявили три компании, входящие в структуру Сбера. По словам начальника управления экспертизы кибербезопасности Сбера Сергея Крайнова, в свои программы багбаунти группа сразу включила свои наиболее критичные приложения.

Основным драйвером вовлечения госструктур в проекты багбаунти в BI.ZONE считают Минцифры РФ. Эксперты BI.ZONE отмечают, что с сентября 2023 г. по август 2024 г. количество программ багбаунти от госструктур увеличилось в шесть раз. Кроме того, в этом году на BI.ZONE Bug Bounty стартовала первая в стране программа по поиску уязвимостей в ИКТ-инфраструктуре субъекта федерации – Ленинградской области.

Суммарные выплаты с августа прошлого года по август нынешнего года на площадке BI.ZONE Bug Bounty превысили 60 млн. руб. Руководитель продукта BI.ZONE Bug Bounty компании BI.ZONE Андрей Лёвкин отметил трехкратный рост выплат за обнаружение критических уязвимостей и уязвимостей высокого уровня. Он также сообщил о том, что BI.ZONE первой в России запустила публичную программу информирования об уязвимостях (аналог Vulnerability Disclosure Program, позволяющей «этичным хакерам» сообщать об обнаруживаемых ими уязвимостях), и обратил внимание на рост конкуренции за багхантеров на российском рынке багбаунти.

Руководитель направления перспективных исследований и инновационных проектов «Группы Астра» Роман Мылицын рассказал, что к тому времени, когда в России появились отечественные площадки  багбаунти, «Группа Астра», решая задачи обеспечения кибербезопасности своих программных разработок, уже накопила большой опыт организации поиска в них уязвимостей. Это происходило, в том числе, через реализацию приватных программ багбаунти и несостоявшиеся попытки создания собственной аналогичной платформы. По словам спикера, «Группа Астра» довольно долго вкладывала средства в подрядные организации, которые подключала к исследованиям кибербезопасности разработок компании, насчитывающих несколько десятков. Для этого в компании были сформированы специальные бюджеты. Однако результаты проводимых проектных исследований не удовлетворяли менеджмент группы, и когда появились отечественные площадки багбаунти, было решено переместить эти бюджеты с проектных исследований на публичные конкурсы. Это позволило компании получать более эффективные результаты.

По количеству, качеству и стоимости предоставляемых услуг багбаунти российские площадки, по оценкам Романа Мылицына, примерно одинаковы. Однако площадка BI.ZONE Bug Bounty показалась заказчикам «Группы Астра» технологически более удобной и точнее учитывающей их специфические требования: например, в части обнаружения недопустимых событий.

Экспертиза специалистов BI.ZONE Bug Bounty позволила «Группе Астра» быстро найти взаимопонимание с ее  командой, выстроить необходимые процессы для работы с площадкой, подключить к ним наработанные ранее внутри группы системы и механизмы поиска уязвимостей. Вместе с тем, как сообщил Роман Мылицын, «Группа Астра» намерена обратиться также и к другим российским площадкам багбаунти, что даст возможность привлечь к исследованиям разные группы багхантеров, располагающих разной экспертизой.

Отмечая, что программы багбаунти постоянно дорожают, приглашенные на пресс-конференцию эксперты обратили внимание российских компаний на то, что, помимо размеров выплат, российских багхантеров к работе на той или иной площадке, с теми или иными вендорами привлекает эксплуатационное удобство площадок, оперативное и конструктивное реагирование на передаваемые багхантерами отчеты.