На конференции OFFZONE 2022 компания BI.ZONE представили платформу по поиску уязвимостей Bug Bounty. На момент объявления платформы предварительную регистрацию на ней прошли уже более 300 исследователей, которые занимаются поиском уязвимостей (багхантеров). Публичных клиентов у платформы пока два: «Авито» и сама BI.ZONE, а еще порядка пяти клиентов ведут приватное тестирование.
Оплата за дыры
BI.ZONE Bug Bounty — это хаб между компаниями, которые хотят улучшить безопасность своих продуктов за счет публичного тестирования, и независимыми исследователями. На платформе организации размещают программы по поиску уязвимостей, в которых могут участвовать любой из зарегистрированных специалистов. За каждую обнаруженную уязвимость исследователь получает вознаграждение в соответствии с ее опасностью и легкостью эксплуатации — расценки устанавливаются правилами программы открытого тестирования.
Релиз платформы BI.ZONE Bug Bounty состоялся 25 августа в рамках международной конференции по практической кибербезопасности OFFZONE 2022. Представленная платформа позволит компаниям запускать публичное или приватное тестирование с оптимальными условиями и размерами вознаграждений, привлекать экспертов с разными подходами, а также снять с себя рутину верификации полученной информации об уязвимостях — верификацию и арбитраж обнаруженных проблем берут на себя сотрудники BI.ZONE. В результате, клиенты с помощью платформы открытого тестирования могут повысить киберустойчивость своих информационных систем за счет привлечения для аудита механизмов безопасности независимыми исследователями.
«На глобальном рынке программы bug bounty уже доказали свою эффективность, — пояснил на пресс-конференции директор блока экспертных сервисов BI.ZONE Евгений Волошин. — Их число за последние три года выросло на треть по всему миру, а за прошлый год багхантеры обнаружили более 70 тыс. валидных уязвимостей. Если раньше bug bounty могли позволить себе только крупные организации, сегодня запустить такую программу может бизнес любого масштаба. Появление российской платформы делает участие в bug bounty еще доступнее».
Багхантерам платформа дает возможность легально получать доходы от обнаруженных уязвимостей и выбирать наиболее удобные варианты зачисления средств. В частности, исследователи могут быть ИП или самозанятыми с соответствующим режимом льготного налогообложения.
Эксперты BI.ZONE будут содействовать в решении спорных вопросов между компаниями и исследователями. Также команда BI.ZONE планирует развивать сообщество багхантеров, формируя рейтинг каждого исследователя, в том числе и накопленный на международных платформах, и учитывая его в работе над приватными проектами.
«Один из главных принципов, на который мы ориентировались при создании платформы — это прозрачность и удобство взаимодействия между компанией и независимыми исследователями, — раскрыл правила развития платформы Евгений Волошин. — Поэтому разработкой занимались ребята, которые раньше сами были багхантерами. Исследователи получат удобные инструменты для работы с отчетами и будут принимать выплаты от компаний любым способом: как физическое лицо, самозанятый или ИП. Бизнесу мы предлагаем гибкие настройки, которые сделают работу с полученными отчетами эффективнее».
Первые клиенты
В день презентации BI.ZONE Bug Bounty объявила, что запускает публичную программу открытого тестирования для самой платформы. Компания будет выплачивать независимым исследователям до 300 тыс. руб. в зависимости от критичности и вероятности использования обнаруженной уязвимости.
Первым коммерческим заказчиком на платформе станет ИТ-компания «Авито», которая раньше уже пользовалась услугами иностранных организаторов публичных тестов. Руководитель продуктовой безопасности Валентин Лякутин поделился опытом публикации программ bug bounty и ожиданиями от работы с BI.ZONE Bug Bounty. «Когда компания прибегает к услугам bug bounty, это говорит о серьезности подхода к безопасности и защите данных своих клиентов, — полагает Валентин Лякутин. — Мы верим в BI.ZONE Bug Bounty как в передовую российскую разработку. «Авито» ожидает плодотворных результатов от использования этого инструмента. Сейчас наша компания преследует три основных цели использования платформы. Мы хотим масштабировать команду кибербезопасности, обогатить внутреннюю экспертизу по детектам и процессам работы с уязвимостями. Также мы рассчитываем, что платформа поможет привлечь независимых исследователей и дополнительно усилить продуктовую безопасность».
Кроме двух публичных клиентов у компании есть порядка пяти заказов на проведение приватных тестов. Причем, в программе BI.ZONE может участвовать не только боевая инфраструктура компании, но и созданный для этого специальный полигон для тестирования. Это может быть полезно для поиска ошибок, например, в государственных информационных системах или критической информационной инфраструктуре, где лучше исследовать на наличие ошибок копии ресурсов и приложений.
