Багбаунти по-нашему, или Как развиваются российские платформы сегодня

За последние два года многие российские багхантеры и вендоры перешли на отечественные багбаунти-площадки. За это время им удалось оценить как минусы, там и плюсы платформ. О них, а также о перспективах российского рынка Bug Bounty – в этой статье.

Крутое пике 2022-го

Раньше российские багхантеры активно зарабатывали на иностранных площадках. На тех же багбаунти-платформах базировались известные российские компании.

Лука Сафонов

Технический директор компании Weblock (ГК «Гарда»)

Большинство компаний (в том числе и российских) было представлено на площадках-агрегаторах, таких как HackerOne или BugCrowd. Среди них были VK (Mail.ru), QiWi и многие другие компании.

Как отмечают эксперты, российским вендорам было выгодно размещаться на международных платформах. Все-таки поиском уязвимостей здесь занимаются сотни тысяч исследователей. Вероятность, что кто-то добьется цели, всегда остается высокой.

Некоторые компании пошли своим путем и развернули самостоятельные программы багбаунти, без привязки к конкретным платформам. Как правило, такой путь избирают очень крупные компании с целой экосистемой публичных сервисов и продуктов. К таким, например, можно отнести Яндекс, который развивает свою, автономную программу, с 2012 года.

Однако большинство компаний и пентестеров предпочитали оставаться на площадках-агрегаторах, причем зарубежных. Ozon – в и числе. Ритейлер запустил программу на HackerOne в 2020 году.

Кирилл Мякишев

CISO Ozon

Для команды информационной безопасности Ozon программа Bug Bounty становится дополнительным инструментом по поиску уязвимостей. Важными для нас являются несколько аспектов: совершенствование безопасности сервисов Ozon, своевременная обработка отчетов от багхантеров и предоставление им обратной связи.

Мы перезапустили программу Bug Bounty в конце 2022 года и довольны результатом: почти за год работы проверили более сотни отчетов, закрыли ряд уязвимостей и выплатили багхантерам почти 1 млн рублей.

Весна 2022 года принесла огромные перемены на рынке багбаунти. Российские хантеры и вендоры столкнулись с санкциями зарубежных платформ.

Лука Сафонов

Технический директор компании Weblock (ГК «Гарда»)

Практически незаметно для большинства пользователей Рунета прошла новость о закрытии для граждан РФ, Беларуси и Украины площадки HackerOne. Вместе с блокировкой счетов.

Но не для багхантеров и холдеров: на счету HackerOne были заморожены суммы в несколько миллионов долларов (депозит на выплаты, предоплата) от холдеров программ и до $150000 (максимально известный случай блокировки) – у хантеров.

Более того, по словам Луки Сафронова, проблема касалась даже не вывода денег на свои счета. Зарубежные багбаунти-площадки заблокировали средства, чтобы направить их на благотворительность. «Хакеры из зон санкций не могут участвовать в финансовых транзакциях, поэтому вознаграждения за найденные ими уязвимости будут перенаправлены ЮНИСЕФ (Детский фонд ООН)», – сообщил тогда гендиректор HackerOne Мартен Микос в своем Twitter-аккаунте. 

Лука Сафонов

Технический директор компании Weblock (ГК «Гарда»)

Позже Микос уточнил, что компания пересылает вознаграждения хакеров в фонд только после их согласия. Но HackerOne все равно удерживает оплату хакерам из стран, подпадающих под санкции (Россия, Республика Беларусь и т. д.).

Свой путь

Санкции привели к очевидному итогу – с 2022 года в России активно развиваются отечественные багбаунти-платформы. На данный момент их три: Bug Bounty Ru, BI.ZONE Bug Bounty и Standoff 365 Bug Bounty. Многие пентестеры переключились на них. На российские платформы также пришли Тинькофф, VK и другие вендоры, которые еще недавно размещались на западных площадках. 

Андрей Лёвкин

Руководитель продукта BI.ZONE Bug Bounty

Рынок багбаунти в России сейчас проходит этап активного роста: последние полтора года мы наблюдаем значительный интерес к российским платформам и со стороны багхантеров, и со стороны компаний. Например, на платформе BI.ZONE Bug Bounty около года назад был всего один вендор, сегодня их более 20.

Пока вендоры предпочитают размещать свои программы сразу на двух-трех платформах. На всех площадках, например, фигурируют проекты VK. Но такой подход не говорит о недоверии российским багбаунти-агрегаторам – отмечают эксперты. Даже наоборот, компаниям зачастую нравится работать с российскими конкурентами HackerOne.

Андрей Баширов

Генеральный директор Timeweb

Зарубежные мэйджоры известны давно, пользуются доверием тестеров и являются де-факто стандартом качества. На протяжении трех лет мы пользовались четырьмя программами багбаунти, в том числе международного уровня. Сейчас, пользуясь российской программой, мы получаем эффект не меньше, а даже больше, чем получали от зарубежных площадок. Эффективность – на высоте.

С Андреем Башировым согласны и другие представители компаний. Результативность для многих вендоров остается одним из главных плюсов российских платформ. 

Кирилл Ильин

CISO СберАвто

На мой взгляд, российские платформы, организующие программы Bug Bounty, достаточно эффективны. Нашу программу мы запустили на платформе от BI.ZONE и смогли привлечь достаточно много экспертов, которые помогают найти баги, оставшиеся незамеченными.

Однако, по его словам, у российских и западных платформ есть как минимум одно важное различие – это количество хантеров, которые откликаются на анализ уязвимостей компаний. В иностранных их больше, как и интересных программ от известных вендоров.

Кирилл Ильин

CISO СберАвто

Нам нужно работать над узнаваемостью наших платформ и программ, привлекать больше специалистов, делать задачи нетривиальными. Конечно, многое зависит и от типа программ – они могут быть приватными или публичными. В последних участников, как правило, многократно больше.

Пентестеров на российских платформах действительно пока мало. На три площадки не больше 10 тыс. участников. Однако это лишь начало и волноваться не стоит – по большому счету, наш рынок зародился только в 2022 году.

Эксперты уверяют: нужно смотреть на динамику – российские платформы сильно развились за последние полтора года. И это подтверждают списки новых вендоров-участников.

Рамазан Рамазанов

TeamLead отдела внешних пентестов, DeteAct, багхантер

Один из плюсов российских платформ заключается в том, что на наши площадки стали выходить те вендоры, которые скорее всего никогда бы не вышли на иностранные.

В частности, в августе о своем участии рассказали в  ГК «Астра». За найденные баги разработчик операционных систем готов платить пентестерам до 250 тыс. рублей. 

Минцифры у руля

Также за последние два года на российских платформах появились государственные программы, хотя раньше представить такое было сложно. Активное участие госсектора ускорило развитие багхантинга в стране, считают эксперты.

Андрей Лёвкин

Руководитель продукта BI.ZONE Bug Bounty

Прежде всего на рост рынка повлиял запуск проекта по поиску уязвимостей в Госуслугах, ЕСИА (Единой системе идентификации и аутентификации) и других ресурсах электронного правительства. Инициатор – Минцифры России. Масштабная программа оправдала все ожидания и стала отличным примером того, что инструмент работает и приносит ощутимые результаты.

Масштабы участия Минцифры в багбаунти растут. До конца 2023-го года на суд белых хакеров представят 20 государственных информационных систем.

Причины интереса Минцифры к багхантингу эксперты видят по-разному. Кто-то считает, что таким образом власть демонстрирует, что достигла зрелости в вопросах защиты данных. Другие опасаются, что багбаунти могут зарегулировать или ввести как обязательную процедуру для некоторых тендеров. Однако все это лишь теории, а практика пока говорит об одном – государство вряд ли останется в стороне от всего, что сейчас происходит с платформами, компаниями и хантерами.

Рубли, коллеги и задачи

Раньше пентестеры за найденные уязвимости получали от 50 до нескольких тысяч долларов. Такие вознаграждения предлагали вендоры на иностранных площадках. На российских платформах цифры, конечно, ниже. Средний чек – 50-100 тыс. рублей. Максимальное вознаграждение по публичным программам пока составляет 3,6 млн рублей (VK).

Но деньги – не единственное, что волнует белых хакеров в России. Многие хотят влиться в сообщество багхантеров и получить признание в нем, напоминают эксперты. Именно поэтому для них так важны ивенты и прочие комьюнити-активности. 

Анатолий Иванов

Руководитель направления багбаунти Standoff 365

В России прошло первое закрытое мероприятие для багхантеров. Его провела площадка Standoff 365. Такие мероприятия помогают исследователям познакомиться друг с другом и с компаниями, а также наиболее быстро провести проверки на безопасность.

Помимо ивентов, активным участникам обещают привилегии и бонусы. В их числе повышенные вознаграждения, банковские программы лояльности и карты багхантеров.

Вероятно, усилия платформ и вендоров не проходят даром. Комьюнити постепенно становится преимуществом российского багбаунти – считают эксперты. Однако слабой стороной остаются небольшой выбор задач и функциональность платформ, которая пока отстает от западных аналогов.

Есть куда расти

Рамазан Рамазанов

TeamLead отдела внешних пентестов, DeteAct, багхантер

Российские платформы на данный момент еще достаточно сырые. Хотя некоторые могут сильно измениться. Большие обновления, по моим инсайтам, готовят Standoff и BI.ZONE.

Я ожидаю, что в платформах должна появиться система рейтинга. Сейчас она чаще либо работает некорректно, либо ее вообще нет. Кроме того, хотелось бы видеть hacktivity. Без такого функционала невозможно представить полноценную платформу Bug Bounty – начинающие багхантеры должны видеть, какие баги сдаются и сколько за них платят. В BI.ZONE что-то похожее на это есть. Но думаю, что можно сделать платформу еще лучше.

Также багхантеры ожидают, что на российских платформах появятся геймификации и возможность добавлять в отчет участников. Хотя это далеко не все их пожелания.

Юрий Ряднина

Специалист группы исследования безопасности банковских систем, Positive Technologies, багхантер

Мне бы хотелось видеть баунти за ретесты – когда ты сдал уязвимость, а потом её исправили и просят проверить, исправлена ли она. Этот функционал реализован на зарубежных площадках, у нас его пока нет.

По мнению эксперта, российским платформам также нужен рейтинг для программ. Он формируется на мнениях хакеров, которые уже находили уязвимости по ней. Благодаря такому рейтингу багхантерам будет проще выбирать программы для участия.

Андрей Баширов

Генеральный директор Timeweb

Сейчас крайне важна возможность расчетов между заказчиками и тестерами. Российские площадки ее обеспечивают – на фоне того, что работать с зарубежными теперь стало сложнее.

Важный момент – квалификация и количество тестеров на площадке. Российским площадкам уже удается поддерживать серьезный уровень. Смогут ли они заменить зарубежных полностью? Скорее не на 100%, так как разнообразие подходов и количество участников – это очень важно. Хотя на текущий момент темп развития российских программ высокий, что очень радует.

Выводы и прогнозы

История с Bug Bounty в России наглядно показывает, что санкции несут в себе не только риски, но и возможности. В данном случае они послужили драйвером для развития отечественных платформ.

Исследователи получили возможность работать с надежными платформами, поведение которых не зависит от политических факторов. А также более простую и прозрачную систему выплат, интегрированную с российскими финансовыми практиками, такими как самозанятость и ИП.

Появление российских багбаунти-платформ также выгодно тем компаниям и организациям, которые, в силу разных причин, не могли развернуть свою программу на иностранных платформах.

Далеко не все российские компании верят в багбаунти. Многие по-прежнему считают, что хантеры могут найти только некритичные уязвимости и игра не стоит свеч. Но уже скоро бизнес изменит свое мнение – считают собеседники Cyber Media.

Анатолий Иванов

Руководитель направления багбаунти Standoff 365

В ближайшие годы мы ожидаем бум программ багбаунти. И особенно со стороны государства, поскольку Минцифры задало хороший тренд тем, что провело первые такого рода исследования своей безопасности.

Более того, ожидаем большое количество технологических компаний и компаний из различных сфер экономики. Надеемся, что крупный бизнес вскоре также начнет присоединяться к таким инициативам все чаще.

Новых вендоров ждут и на другой платформе – BI.ZONE Bug Bounty. Там считают, что спрос на багхантинг в ближайшие годы будет только увеличиваться. Он скажется на предложении – количество пентестеров, желающих проявить себя на российском поле, тоже продолжит расти.