В рамках OFFZONE 2022 компания BI.ZONE провела презентацию своей платформы BI.ZONE Bug Bounty. Об отличиях от других программ, функциональности и том, что такое «Bug Bounty по-русски», для Cyber Media рассказал Сергей Колесников, тимлид BI.ZONE Bug Bounty.
Cyber Media: Насколько сложно создать собственную Bug Bounty-платформу?
Сергей Колесников: На начальных этапах работы над платформой мы ориентировались на то, что предстоит конкурировать с мировыми брендами в этой отрасли, компаниями с многолетней успешной историей.
Чтобы получить конкурентное преимущество перед ними, мы сосредоточились на сохранении привычных функций и создании прозрачной работы для компаний и багхантеров: от организации выплат до отслеживания статуса найденной уязвимости.
Российские реалии накладывают свой отпечаток, но мы уделили этой части большое внимание и минимизировали обязательные процедуры: при регистрации багхантер соглашается с договором-офертой, а чтобы получить выплаты необходимо подписать документы электронно. Куда-то ездить, сканировать документы и прочие рутинные процедуры выполнять не нужно, все функции автоматизированы.
Второй аспект тесно связан с экономикой платформы. Мы реализовали для хантеров возможность работать через самозанятость, и получили сразу несколько плюсов:
Каких-то технических сложностей в процессе создания платформы я не могу назвать. У нас хорошая команда разработчиков, многие – сами практикующие хантеры. В работе над платформой на всех этапах было понимание того, какой продукт мы хотим получить в итоге и чем он будет привлекателен для пользователей.
Cyber Media: Кто может подключиться к вашей платформе в качестве багхантера?
Сергей Колесников: Мы уже сейчас работаем с гражданами России и стран ЕАЭС.
Такая локализация имеет свои плюсы: над поиском уязвимостей в продуктах российских компаний работают люди, которые имеют пользовательских опыт взаимодействия с этими программами, понимают их логику и назначение.
Мы исходим из простой парадигмы: багхантеры должны иметь возможность спокойно заниматься своим делом, не оглядываясь на территориальные, экономические или другие факторы.
Cyber Media: Какой функционал ваша платформа предлагает багхантерам?
Сергей Колесников: Назначение платформы – быть независимой площадкой, которая дает достаточный функционал для работы и обладает достаточной экспертизой для разрешения спорных ситуаций.
Относительно функционала – мы не придумали ничего революционно нового, просто взяли лучшие решения из мировой практики и воплотили их в своем продукте. Из интересных фич можно выделить компоновку личной страницы участника – с отображением его достижений, ранжированием найденных уязвимостей и другими данными. Фактически, скрин этого экрана – готовая страница в портфолио специалиста.
Экран с информацией о компаниях, которые участвуют в bounty, мы тоже постарались сделать полезным: на нем можно узнать, как долго организация участвует в программе, сколько денег выплатила за это время. Такая информация важна для хантера при выборе проекта. Помимо этого, мы добавили прямой чат между хантером и компанией, чтобы была возможность вести прямую и эффективную, «горячую» коммуникацию без формализма.
Главное, что мы старались реализовать – это ощущение защищенности как для комьюнити, так и для компаний-клиентов. Доверие особенно важно в актуальных условиях, когда ряд международных площадок в одностороннем порядке разорвали отношения с российскими багхантерами. Чтобы нивелировать этот ущерб, мы, например, предусмотрели возможность «перехода» хантера на наш сервис вместе со всеми регалиями и рейтингом, который он уже успел «набить» на другой площадке.
Мы не предлагаем комьюнити революционно новые решения – все привычно и понятно. Только проще, быстрее и надежнее. Этого должно быть достаточно для эффективной работы.
Cyber Media: А какой функционал предлагается для компаний?
Сергей Колесников: В первую очередь, мы постарались «победить» стереотип о том, что bounty – это только для зрелых, с точки зрения кибербезопасности, компаний. Наша платформа открыта для всех, и мы изначально заложили механизмы для сопровождения новичков. Если компания ни разу не участвовала в bug bounty и пришла впервые – специалисты BI.ZONE и «экскурсию» проведут, и с первыми шагами помогут.
Что касается более зрелых компаний, для них мы подготовили возможность гибко настраивать свою программу. Они сами могут выбрать тип, открытое или закрытое bounty. Во втором случае – могут контролировать количество хантеров и, основываясь на рейтинге, их уровень.
Триаж, то есть оценка найденных уязвимостей, может проводиться как силами специалистов компании, так и с помощью наших сотрудников. Если этим занимаемся мы – то компания получает уже готовые отчеты о проверенных уязвимостях, с рекомендациями по устранению. Сотрудникам компании остается только сопоставить наши выводы со своей инфраструктурой (всей специфики мы, как внешние специалисты, знать не можем) и принять решение.
Большой плюс нашей платформы для бизнеса – это отсутствие проблем с выплатами. Прозрачность и полная легальность этого процесса дает теоретическую возможность поучаствовать в программах тем компаниям, которые ранее не могли этого сделать. Например, представителям государственного сектора.
Cyber Media: Для всех платформ bug bounty, в большей или меньшей степени, актуальны две глобальные проблемы: это появление дублей и неизбежные конфликты между хантером и заказчиком. Как вы планируете их решать?
Сергей Колесников: С дублями все достаточно просто: система автоматически фиксирует первого хантера, который нашел уязвимость, и все «регалии», в том числе и вознаграждение, достаются ему. Эта модель достаточно справедлива и не требует доработки.
Что же касается конфликтов, то да, они неизбежны. Есть огромное количество примеров, когда у хантеров возникали расхождения с заказчиками в части оценки найденной уязвимости и ее стоимости.
В решении этой проблемы мы опираемся на институт репутации. Поскольку комьюнити маленькое, любое негативное действие как со стороны заказчика, так и со стороны хантера, уже завтра станет известно всем участникам сообщества. Соответственно, работать с недобросовестными людьми никто не станет.
Мы же, как модератор, обязуемся прозрачно и беспристрастно разбираться в каждом таком случае. Все участники должны понимать, что финансовые издержки в этой истории не идут ни в какое сравнение с возможными репутационными рисками внутри профессионального сообщества.
Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.
Эксперты представили первый аналитический отчет об уровне зрелости ИБ в 52 российских компаниях, выявивший «парадокс роста»: огромные бюджеты корпораций не гарантируют лидерства в безопасности из-за масштабов и сложности их инфраструктуры.
Олег Иевлев, декан факультета КиИБ МТУСИ, в интервью для Кибер Медиа рассказал, как выстраивается баланс между академическим качеством и требованиями индустрии, какую роль в обучении играют киберполигоны и CTF, чего сегодня ждут работодатели от выпускников и почему информационная безопасность в ближайшие годы станет базовой компетенцией для всех технических специалистов.
Защита самых важных данных в последние годы среди главных приоритетов крупного бизнеса и государственных организаций, стремящихся усилить информационную безопасность.
За последние годы рынок информационной безопасности в России прошел через масштабную трансформацию.
На фоне дефицита кадров и трансформации рынка ИТ и ИБ участие женщин в отрасли остается противоречивым: с одной стороны, их доля растет, с другой — сохраняются как профессиональные, так и внутренние барьеры, замедляющие карьерное развитие.
Роман Семенов, директор департамента мониторинга и реагирования на киберугрозы блока информационной безопасности «Ростелекома», в интервью Cyber Media рассказал, как крупнейший в России интегрированный провайдер цифровых услуг и решений строит работу центра мониторинга информационной безопасности, справляется с новыми угрозами и готовит специалистов для защиты сети.
В 2026 году киберугрозы продолжают усложняться, а требования регуляторов — ужесточаются.
Кирилл Рудик, главный архитектор по кибербезопасности Cloud X, в интервью для Cyber Media рассказал, как меняется ландшафт облачных угроз, какие риски связаны с Kubernetes и cloud-native архитектурами и какие технологии уже в ближайший год могут стать стандартом де-факто в сфере облачной безопасности.
Андрей Масалович — ведущий эксперт по конкурентной разведке, известный широкой аудитории как блогер КиберДед, Президент Консорциума «Инфорус» и создатель аналитической технологии Avalanche.
