Евгений Волошин, директор по стратегии BI.ZONE, рассказал порталу Cyber Media о том, как развились российские багбаунти-платформы с момента своего появления, эффективности этого инструмента с точки зрения бизнеса и основных вызовах, которые стоят перед платформами.
Cyber Media: Если говорить о рынке багбаунти в цифрах и фактах, какие достижения вы могли бы отметить за прошедший год?
Евгений Волошин: За последние полтора года рынок багбаунти в России вошел в фазу активного роста. Например, на платформе BI.ZONE Bug Bounty около года назад была всего одна компания. Сегодня их более 20, а программ по поиску уязвимостей — свыше 50.
Значительно выросло и число багхантеров на российских платформах. Год назад, когда мы только запустили BI.ZONE Bug Bounty, на предрегистрацию пришли всего 300 независимых исследователей, а сейчас их больше 4000.
По данным нашей платформы, в среднем каждая десятая найденная уязвимость относится к категории high. Еще 28% обнаруженных багов представляют собой угрозу среднего уровня, а 59% — угрозу низкой степени и информационного уровня, то есть репорты о недочетах, которые не влияют на защищенность. Критическими, то есть самыми опасными, являются 3% найденных уязвимостей.
Выплаты за найденные баги также повысились. Некоторые компании увеличили суммы вознаграждений в два — четыре раза. Отчасти это связано с тем, что большинство уязвимостей низкого или среднего уровня критичности уже найдены. И вендоры стремятся простимулировать исследователей копать как можно глубже и искать сложные для выявления, но потенциально опасные баги.
Cyber Media: Как изменился рынок багбаунти за последний год? Какие события повлияли на эти изменения?
Евгений Волошин: Как я уже говорил, российский рынок багбаунти активно развивается. Конечно, важную роль сыграл уход крупных зарубежных багбаунти-платформ, но это не единственный значимый фактор. По инициативе Минцифры был запущен поиск уязвимостей на «Госуслугах» и в ЕСИА — Единой системе идентификации и аутентификации.
По сути, государство открыто заявило о своем доверии к российским багбаунти-платформам и этим подало пример бизнесу. Программы оправдали (а в чем-то и превзошли) все ожидания и подтвердили, что инструмент работает по-настоящему эффективно. В результате сегодня все больше компаний из разных отраслей начинают использовать багбаунти для защиты своего бизнеса.
Cyber Media: Если говорить об отраслях и секторах экономики, какие из них проявляют наибольший интерес к багбаунти?
Евгений Волошин: По нашим данным, один из ключевых драйверов рынка багбаунти — компании финансового сектора. На них приходится порядка 37% спроса на услуги багхантеров. В целом этот тренд совпадает с общемировым. На втором месте — ритейл, формирующий 25% спроса, а замыкает тройку лидеров IT-отрасль (19%). Интерес к багбаунти проявляют также поставщики и разработчики различных онлайн-сервисов (13% от общего спроса) и, конечно же, госсектор (6%).
Cyber Media: Ряд российских компаний и в прошлые годы присутствовали на иностранных платформах либо проводили багбаунти самостоятельно. Насколько выросло их количество после открытия российских платформ и какой прогноз вы можете дать на будущее?
Евгений Волошин: Чуть больше года назад на трех отечественных багбаунти-платформах было представлено всего пять компаний. Сегодня их количество выросло в несколько раз — на одной только BI.ZONE Bug Bounty свои программы размещают более 20 организаций. Важно отметить, что практически все компании, которые пришли на багбаунти-платформы, остаются. Они убедились в эффективности такого формата и оценили низкую стоимость обнаружения уязвимостей по сравнению с другими инструментами.
В ближайшие годы спрос на багхантинг будет только увеличиваться. А это, в свою очередь, простимулирует активность независимых исследователей и приведет к росту их числа.
Cyber Media: В контексте импортозамещения часто упоминаются риски, связанные с приходом решений из дружественных или нейтральных стран. Свои платформы багбаунти есть, например, в Индии и Китае. Насколько они составляют конкуренцию российским сейчас и есть ли у них перспективы в этом направлении?
Евгений Волошин: В Индии и Китае действительно есть багбаунти-платформы, но они скорее ориентированы на внутренний рынок и не стремятся продвигать свои услуги в России и СНГ в целом. Вряд ли эта тенденция изменится в ближайшие год или два. При этом багхантеры из Индии и Китая могут участвовать в поиске уязвимостей на российских платформах.
Алексей Лукацкий, Chief Evangelist Officer, Positive Technologies, в интервью для Кибер Медиа рассказал, как работают «белые списки» VPN, почему ТСПУ не справляются с нагрузкой, и возможна ли монополизация доступа.
В интервью для Кибер Медиа Андрей Лёвкин, руководитель продукта BI ZONE Bug Bounty, рассказал, когда багбаунти станет обязательным инструментом для проверки уровня защищенности, как внутренним командам кибербезопасности работать с внешними исследователями и чего ожидать от багбаунти в будущем.
Российская ИТ-инфраструктура столкнулась с новыми вызовами в обеспечении киберустойчивости.
Классический патч-менеджмент в крупных компаниях часто превращается в войну: ИБ заваливает айтишников тысячами CVE из сканера, а ИТ-отдел включает режим глухой обороны.
Портал Кибер Медиа взял интервью у Кирилла Мякишева, директора по информационной безопасности Ozon.
Геймификация в корпоративном обучении давно перестала быть экзотикой — квесты и рейтинги стали привычной частью рабочей среды.
Эдуард Мураховский — директор по информации и ИТ фармацевтической компании СКОПИНФАРМ.
Анастасия Ашаева, кандидат исторических наук и научный сотрудник Музея криптографии, рассказала Кибер Медиа о том, чьи имена история так и не вернула, какие барьеры сложно преодолеть и почему разговор еще не закончен.
Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.
Эксперты представили первый аналитический отчет об уровне зрелости ИБ в 52 российских компаниях, выявивший «парадокс роста»: огромные бюджеты корпораций не гарантируют лидерства в безопасности из-за масштабов и сложности их инфраструктуры.
