Компания Positive Technologies и TAdviser провели пресс-конференцию, на которой поделились результатами исследования рынка услуг оплаты за обнаруженные уязвимости (Bug Bounty). Специалисты Positive Technologies изучили мировой опыт, а сотрудники TAdviser проанализировали российский рынок. В 2021 году количество программ bug bounty, по данным HackerOne, увеличилось на 34%, а исследователи безопасности выявили на 21% больше уязвимостей. По оценкам экспертов к 2027 году мировой рынок услуг коммерческого поиска уязвимостей может вырасти до 5,5 млрд дол., однако российский рынок уже сейчас отделился от мирового и развивается самостоятельно.
Российские «жуколовы»
Исследователи TAdviser в сентябре-октябре этого года провели опрос участников рынка услуг bug bounty. Для его подготовки использовалась данные из общедоступных источников, а также был проведен анализ информации, полученной примерно из 20 источников в сфере ИБ. Среди источников эксклюзивных сведений были представители всех ключевых платформ услуг покупки уязвимостей в России, ряд компаний-пользователей программ bug bounty, открыто поделившихся данными и комментариями, а также несколько экспертов, пожелавших сохранить анонимность, один из которых – представитель Минцифры.
С точки зрения профиля деятельности в настоящий момент основная масса заказчиков программ bug bounty в России представлена крупным бизнесом, преимущественно таким, который обслуживает очень большое количество пользователей или клиентов. Среди них: банки, интернет-сервисы, электронная коммерция, разработчики ИТ-продуктов и ритейл. Интернет-компании можно назвать первопроходцами в области bug bounty. Так, «Яндекс» заявляет, что он первым запустил подобную программу в 2012 году. В июне 2021 года «Яндекс» обнародовал данные, что с момента запуска «Охоты за ошибками» он перечислил участникам программы больше 30 млн руб. Холдинг VK одним из первых начал платить внешним исследователям за найденные уязвимости. С 2013 года она получила более 15 тыс. отчётов и выплатила более 185 млн руб.
«Bug bounty, как правило, объявляют разработчики приложений и сетевых платформ, чтобы обнаружить проблемы в безопасности своих продуктов, — пояснил в интервью для TAdviser начальник департамента информационных технологий АКБ «Держава» Вадим Жилин. — Банк «Держава» не занимается разработкой собственных информационных систем и сервисов, а использует решения сторонних разработчиков, поэтому и опыта использования таких программ у банка нет. Задачи по поиску уязвимостей в этих решениях – зона ответственности самих разработчиков. Для проверки ИТ-инфраструктуры банка на постоянной основе привлекаются внешние компании, имеющие опыт работ и лицензии на выполнение соответствующих работ. В целях минимизации рисков и получения максимального результата мы стараемся использовать разные компании».
В результате, проведенного исследования эксперты TAdviser пришли к выводу, что рынок услуг поиска уязвимостей в РФ начал зарождаться примерно 8-10 лет назад. Российский рынок сейчас можно назвать формирующимся, если сравнивать его с некоторыми другими странами, такими как, например, США. Пользователи программ bug bounty в России сейчас представлены в основном частным бизнесом, преимущественно крупным и работающем в массовых сегментах, таким как интернет-сервисы, электронная коммерции, финансовый сектор. Развитию же рынка мешают юридические риски. При их устранении, на которое сейчас направлена работа регуляторов, рынок услуг выкупа уязвимостей в РФ мог бы, по аналогии с зарубежными, органически расти за счет появления программ bug bounty в государственных компаниях и ведомствах, а также во всех крупных российских компаниях.
Мировой опыт
В Positive Technologies проанализировали крупные и активные платформы bug bounty по всему миру. Эксперты отметили, что наиболее востребованными платформы оказались у ИТ-компаний (16%), онлайн-сервисов (14%), сферы услуг (13%) и торговли (11%), финансовых организаций (9%). Эти тенденции мирового рынка в целом коррелируют с российскими. По данным Positive Technologies, лидер по количеству крупных bug-bounty-платформ — Азиатский регион, в котором располагаются 38% проанализированных ресурсов. На втором месте расположился Европейский регион, включая Россию. Доля платформ Североамериканского и Ближневосточного регионов составила 21% и 8% соответственно.
В среднем за критически опасные уязвимости компании в мире готовы платить исследователям более 7 тыс. долл. За выявление уязвимостей, связанных с некорректной авторизацией и аутентификацией, исследователь может в среднем рассчитывать на 3 тыс. долл. на различных платформах. А выплата за самую распространенную уязвимость межсайтового выполнения сценариев (cross-site scripting — XSS), которая была выявлена в 13% приложений, может составить от 250 до 700 долл. в зависимости от степени воздействия. Причем самые дорогие выплаты были от проектов, связанных с блокчейн-индустрией, где средняя стоимость уязвимостей находиться на уровне 13 тыс. долл. Появляются даже отдельные площадки по организации программ bug bounty, которые специализируются на крипто-индустрии.
«Бизнес не упускает возможности прибегнуть к таким перспективным способам обеспечения кибербезопасности, как программы bug bounty, и пробует внедрять их в свои процессы, — сказано в отчете Positive Technologies. — ИТ-компании, постоянно работающие над улучшением своих приложений, являются наиболее частыми клиентами таких платформ (16%). Каждое десятое приложение на платформах bug bounty предоставлено финансовым или торговым секторами: согласно отчету платформы HackerOne, прирост числа клиентов из этих секторов в 2021 году составил 62% и 51% соответственно. Недавние взломы криптовалютных площадок (9%) выявили потребность в создании программ bug bounty для поиска уязвимостей в протоколах криптовалют и смарт-контрактах».
Первые результаты
На пресс-конференции компания Standoff 365, которая в России предлагает платформу поиска уязвимостей в виде программы Standoff 365 Bug Bounty, поделилась первыми результатами своей работы. Сейчас на платформе зарегистрировано уже 2,5 тыс. исследователей (багхантеров). С мая эти «жуколовы» прислали 600 отчетов, после анализа которых были найдены и исправлены более 150 уязвимостей. В целом участникам различных программ на платформе выплачено более 5 млн руб. — максимальное вознаграждение составило 1,8 млн руб. Сейчас на площадке запущено уже 24 программы исследований, в которых участвуют в том числе «Азбука вкуса», различные проекты интернет-холдингов VK и Rambler, а также сама Positive Technologies. Развитие проекта активно продолжается.
