Рынок bug bounty в России на пороге бурного роста: предпосылки и перспективы. Обзор TAdviser
В мире растёт популярность программ bug bounty, в ходе которых компания привлекает сторонних специалистов по безопасности – так называемых «белых хакеров» – для тестирования своего ПО на уязвимости за вознаграждение или иные «плюшки». В отличие от пентестов с привлечением подрядчиков, в случае с bug bounty оплата происходит за обнаруженные уязвимости, а не за время, потраченное ИБ-специалистом. В России интерес к этой практике тоже увеличивается, причем не только со стороны бизнеса, который раньше начал прибегать к bug bounty, но появляется и со стороны госсектора. TAdviser изучил текущее состояние и перспективы этого рынка и подготовил соответствующий обзор. Партнёром материала выступила компания Positive Technologies.
Об обзоре
Целью обзора являлась проверка ряда гипотез:
- Рынок bug bounty в РФ – формирующийся, только зарождается, и его в ближайшее время ждёт бурный рост;
- Рынок bug bounty в РФ сегодня формируют B2C-продукты и сервисы, где есть зрелые процессы кибербезопасности: ИТ-компании, финансы, e-commerce;
- Рынок bug bounty в РФ будет расти за счёт появления программ в объектах критической инфраструктуры (КИИ) как расширение процессов управления уязвимостями (в дополнение к сканерам безопасности и периодическим пентестам);
- Интерес к bug bounty в КИИ в первую очередь лежит в плоскости проверки возможности реализации их кибер-рисков, а не в поиске отдельных уязвимостей.
Positive Technologies выступила в качестве стороны, предложившей гипотезы выше, а также в качестве компании, которая поделилась экспертизой в обозначенной области, не влияя на редакционную работу при подготовке материала, на оценки и выводы, приведённые редакцией в обзоре.
Обзор не ставил целью сравнительный анализ Positive Technologies с конкурентами в обозначенной области, и редакция при использовании информации, связанной с конкурентами, придерживалась политики нейтральности, избегая, чтобы кто-то выглядел более или менее выгодно на фоне остальных.
Для подготовки данного материала TAdviser использовал информацию из общедоступных ресурсов, а также полученную аналитиками TAdviser примерно от 20 источников из сферы ИБ. Сюда входят представители всех ключевых компаний-провайдеров услуг bug bounty в России на данный момент, ряд компаний-пользователей программ bug bounty, открыто поделившихся данными и комментариями, а также несколько экспертов, пожелавших сохранить анонимность, один из которых – источник в Минцифры. Известный писатель-фантаст Сергей Лукьяненко выступит на TAdviser SummIT 28 ноября. Регистрация
Работа над обзором проводилась в сентябре-октябре 2022 года.
Текущее состояние рынка
С точки зрения профиля деятельности в настоящий момент основная масса заказчиков программ bug bounty в России представлена крупным бизнесом, преимущественно таким, который обслуживает очень большое количество пользователей/клиентов, и для которого бреши в безопасности несут крайне высокие финансовые и репутационные риски. Среди них:
- банки,
- интернет-сервисы,
- электронная коммерция,
- разработчики ИТ-продуктов,
- ритейл.
Для крупных ИТ-компаний в РФ, в частности, использование процессов bug bounty уже стало распространенной практикой, считают в «Авито».
Интернет-компании можно назвать первопроходцами в области bug bounty. Так, «Яндекс» заявляет, что он первым запустил подобную программу в 2012 году. Это всего на год позже, чем, например, соцсеть Facebook. В июне 2021 года «Яндекс» сообщал, что с момента запуска «Охоты за ошибками» он перечислил участникам программы больше 30 млн рублей[1].
VK – ещё одна из первых компаний в России, которая начала платить внешним исследователям за найденные уязвимости. С 2013 года VK получила более 15 тыс. отчётов, что позволило ей усилить защиту пользовательских данных и исправить уязвимые места. Всего за время действия программы bug bounty компания выплатила более 185 млн рублей. (данные на август 2022 года)[2].
Текущих пользователей программ bug bounty, даже тех, для кого создание и предоставление ИТ-продуктов и сервисов не является основным бизнесом, характеризует наличие развитой собственной разработки ПО. Как известно, за последние годы упор на инсорсинг разработки ПО делали в том числе многие банки, ритейл. Об усиливающейся роли инсорсинга разработки в российских компаниях TAdviser пишет уже несколько лет подряд[3].
Онлайн-банк «Точка» запустил публичную программу bug bounty в 2020 году. С февраля 2022 года компания перестала использовать программу из-за санкций, но за время её использования успела оценить экономическую выгоду, рассказал TAdviser Алексей Киреев, менеджер направления «Информационная безопасность» в «Точке». За время пользования bug bounty «Точка» получила отчёты от почти 300 исследователей со всего мира и выплатила им вознаграждение, соответствующее критичности найденных уязвимостей – всего около $6 000.
Организации, которые не делают ставку на инсорсинг разработки ПО, менее склонны прибегать к программам bug bounty. При этом они могут уделять не меньшее внимание кибербезопасности, чем те, кто разрабатывает собственное ПО, используя другие способы и инструменты обеспечения надёжности своей ИТ-инфраструктуры, включая пентесты, которые проводит специально нанятые компании. Так, например, в банке «Держава», небольшом по размеру активов московском банке, рассказали TAdviser, что не планируют прибегать к bug bounty, пока не начнут разработку собственных решений.
Bug bounty, как правило, объявляют разработчики приложений и сетевых платформ, чтобы обнаружить проблемы в безопасности своих продуктов. Банк «Держава» не занимается разработкой собственных информационных систем и сервисов, а использует решения сторонних разработчиков, поэтому и опыта использования таких программ у банка нет, - поясняет TAdviser Вадим Жилин, начальник департамента информационных технологий АКБ «Держава». - Задачи по поиску уязвимостей в этих решениях – зона ответственности самих разработчиков. Для проверки ИТ-инфраструктуры банка на постоянной основе привлекаются внешние компании, имеющие опыт работ и лицензии на выполнение соответствующих работ. В целях минимизации рисков и получения максимального результата мы стараемся использовать разные компании. |
В HackerOne, самой популярной в мире специализированной платформе, где заказчики размещают свои программы bug bounty, отмечают, что это практика не для всех: организация должна обладать развитой корпоративной программой безопасности, позволяющей исправлять найденные новые уязвимости. Без наличия базового процесса исправлений bug bounty не лучшее решение, констатируют в HackerOne[4].
Некоторые компании проводят открытые программы bug bounty, в которых может участвовать широкий пул хакеров, а другие предпочитают закрытый формат, когда к участию допускается ограниченный круг тщательно отобранных исследователей. Эксперты рынка ИБ, с которыми пообщался TAdviser, дают разные оценки соотношения открытых и закрытых программ. Исходя из них, можно склоняться к тому, что не менее 50% программ bug bounty в России сейчас являются закрытыми. Один из собеседников TAdviser оценил долю закрытых программ «до 80%». В чём причина этого?
Многие пока только пробуют эту услугу, боятся публичных упоминаний, говорит Лука Сафонов, технический директор компании «Синклит», которая развивает платформу Bugbounty.ru. Он цитирует руководство одного из предприятий, где говорят: «наша компания не может иметь уязвимостей, поэтому никаких публичных программ».
Для многих компаний bug bounty — это новый процесс, его еще нужно тестировать и налаживать. Бизнес подходит к этому осторожно и сильно перестраховываясь. Чтобы лучше контролировать бюджет на вознаграждения и не получить чрезмерно много отчетов, не имея ресурса для должной обработки, клиенты сначала пробуют приватные программы, объясняет Евгений Волошин, директор блока экспертных сервисов компании BI.ZONE.
Обкатав этот процесс в закрытом режиме, некоторые компании затем переходят к формату открытой программы. Примером может служить Rambler&Co. У компании уже был опыт использования подобной программы в закрытом режиме, когда приглашают участвовать ограниченное число исследователей, а в сентябре 2022 года она объявила о запуске открытой программы Bug Bounty[5].
TAdviser насчитал порядка 40 компаний, объявивших в разное время открытые программы bug bounty. В их числе:
- Rambler&Co,
- VK (включая «ВКонтакте», «Одноклассники», Mail.ru, VK Cloud Solution, VK Play, «Дзен», ТАРМ, «Учи.Ру», Skillbox (Скилбокс), GeekBrains, «Алгоритмика», «Тетрика» и другие проекты в контуре VK),
- «Сбермаркет»,
- Delivery Club,
- Ozon,
- «Яндекс»,
- QIWI,
- ПИК,
- «Азбука вкуса»,
- Avito,
- «ЮMoney»,
- «Тинькофф»,
- «Лаборатория Касперского»,
- «СКБ Контур»,
- Mamba,
- Wildberries,
- Банк «Точка»,
- Webinar.ru,
- Cloud4Y,
- Jivo,
- ISPsystem,
- «Конфидент»,
- LiveAgent,
- Beget,
- «Центральная касса»,
- Get Your Guide,
- проект «Бессмертный полк» и др.
Кроме того, по информации TAdviser, приватными программами bug bounty отметились SkyEng, Drive.ru (бесплатная), Cian (бесплатная), «Альфа-Банк» и Райффайзенбанк.
По данным, полученным от игроков рынка, пользоваться программами bug bounty только-только начинает и госсектор, но пока очень ограниченно и исключительно в приватном режиме. О причинах этого и перспективах приведена подробная информация в одном из блоков обзора ниже.
Компании проводят программы bug bounty как полностью своими силами, так и с помощью специализированных платформ. Об особенностях обоих подходов подробнее тоже будет рассказано в блоках ниже.
Что касается специализированных платформ для размещения программ bug bounty, до недавнего времени в России, как и в мире, наиболее популярной была HackerOne, запущенная в 2012 году и базирующаяся в Сан-Франциско (США). Её пользователями являются многие крупные глобальные компании. Прибегают к её услугам и госорганы, в том числе Минобороны США. И в поиске уязвимостей по программам, размещённым на HackerOne, участвуют исследователи со всего мира.
Среди российских пользователей HackerOne числились компании Mail.ru, Ozon, «Лаборатория Касперского», «Авито» и другие. Россия также была в тройке стран, чьи хакеры получали наибольшие объёмы выплат на этой платформе[6].
Однако в марте 2022 года на фоне российско-украинского конфликта HackerOne отключила российских пользователей. В связи с этим остро встала необходимость в развитии собственных аналогичных платформ. При этом из-за санкций российские платформы имеют ограничения по сравнению с такими глобальными платформами: в связи со сложностями по части международных платежей их исследовательская аудитория ограничена преимущественно «белыми хакерами» из России.
До 2022 года попытки создать российские аналоги HackerOne предпринимались, но, как правило, они оканчивались неуспехом. Одним из первопроходцев был проект BugHunt, запущенный группой разработчиков ещё в 2014 году. Первым его клиентом стал сервис DocShell – система комплексного управления ИБ. За 3 недели существования сервиса BugHunt и программы вознаграждения DocShell было получено почти 40 отчетов с информацией о различных «дырах»[7]. Несмотря на бодрое начало, BugHunt не «взлетел» и довольно скоро был вынужден закрыться.
TAdviser пообщался с источником, хорошо знакомым с историей запуска этого проекта. Он считает, что BugHunt опередил время: «сейчас реакция рынка на ИБ стала совсем другой, и законодательство в области ИБ стало значительно более комплексным, а в 2014-м даже услуги по выполнению 152-ФЗ о персональных данных было сложно продвигать на рынке». Кроме того, команде BugHunt не хватило опыта по запуску стартапов и денег на маркетинг, добавил собеседник TAdviser.
По состоянию на октябрь 2022 года действуют три основные российские платформы для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей. В частности, с февраля 2021 года работает платформа Bugbounty.ru. В мае 2022-го в рамках международной конференции по практической кибербезопасности Positive Hack Days была представлена платформа Standoff 365 Bug Bounty, созданная российским разработчиком Positive Technologies. А недавно, в августе, на другой международной конференции по практической кибербезопасности – OFFZONE 2022 – была представлена платформа по поиску уязвимостей от BI.ZONE, «дочки» Сбера.
Специализированные платформы для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей
Ниже в таблице представлены некоторые характеристики основных существующих на текущий момент в России платформ bug bounty, актуальные на середину октября 2022 года.
Название площадки | Bug Bounty Ru | Standoff 365 Bug Bounty | BI.ZONE Bug Bounty |
Вендор | «Киберполигон», «Синклит» | Positive Technologies | BI.ZONE |
Сайт | https://bugbounty.ru | https://bugbounty.standoff365.com/ | https://bugbounty.bi.zone/ |
Примеры пользователей | «Тиньков Банк», «Сбермаркет», «Бессмертный полк» | VK, «Азбука Вкуса», Rambler&Co | «Авито» |
Основана | 02.2021 | 05.2022 | 08.2022 |
Сообщество | Телеграм/OWASP | Телеграм/Positive Hack Days/Standoff/Standoff Talks | Телеграм/OFFZone |
Зарегистрировано хантеров/активных хантеров | Около 2500/800 | Более 2500/не делят на активных и неактивных | Более 400/не делят на активных и неактивных |
Кол-во действующих программ Bug Bounty на текущий момент | Порядка 10 | 21 (запущенные отдельными брендами и, чаще всего, юрлицами, которые могут принадлежать одной материнской компании) | 2 |
Рейтинг хантеров | + | + | + |
Модели монетизации | Взимает процент от выплат хакерам, за хостинг (приватных программ и подбор хантеров) и триаж (разбор отчётов). | Годовая подписка, процент от выплат хакерам, дополнительные услуги (триаж отчётов, реализация недопустимых событий и др.) | •Годовая подписка, которая даёт возможность размещать программы на платформе; •Выплата компанией комиссии BI.ZONE с каждого вознаграждения за подтвержденную уязвимость; •дополнительные услуги от BI.ZONE (например, триаж уязвимостей). |
Источник: TAdviser
Примечание. В таблице выше использовались общедоступные данные, а также данные, предоставленные самими платформами, актуальные на середину октября.
Bugbounty.ru, запущенная раньше остальных, и Standoff 365 Bug Bounty к середине октября 2022 года привлекли сопоставимое количество участников. В Bugbounty.ru рассказали, что за время работы платформы через неё «белые хакеры» получили выплаты более 2 млн рублей.
Standoff 365 Bug Bounty привлекала хантеров в том числе за счёт активной раскрутки платформы в СМИ и в обширном профессиональном сообществе, поддерживаемом Positive Technologies. К примеру, организуемое компанией мероприятие Positive Hack Days собирает порядка 10 тыс. участников. В Positive Technologies рассказали TAdviser, что с момента запуска платформы к середине октября через неё получено 532 отчёта, выплаты назначены более чем по 100 отчетам. Из них 300 отчетов об уязвимостях компании от внешних экспертов получила одна только VK за три месяца работы своей программы, и более 50 исследователей безопасности получили вознаграждение на общую сумму три миллиона рублей[8].
BI.ZONE Bug Bounty, самая молодая платформа, продолжает активно набирать аудиторию исследователей. По состоянию на середину октября на BI.ZONE Bug Bounty более 400 зарегистрированных исследователей, и её используют две компании – BI.ZONE и «Авито». На платформе пока что запущена публичная программа BI.ZONE, а «Авито» готовит свою программу, рассказали TAdviser в компании. А в сентябре компания докладывала, что спустя три недели после запуска программы зарегистрировавшиеся на платформе Bug Bounty багхантеры получили в общей сложности более 160 тыс. рублей за найденные уязвимости в рамках программы BI.ZONE[9].
Ничто не мешает «белым хакерам» регистрироваться на всех трёх площадках и участвовать в наиболее выгодных и интересных программах bug bounty. Лука Сафонов, технический директор «Синклит», считает, что спустя какое-то время все крупнейшие площадки bug bounty придут примерно к одинаковому показателю по количеству исследователей: по его оценке, это может быть порядка 4 тыс. специалистов.
Вместе с тем, само по себе количество хакеров на платформе не говорит о результативности, гораздо более важным показателем является количество получаемых валидных отчётов о найденных уязвимостях. Таковыми, как правило, считаются отчёты исследователей, по которым впоследствии выплачиваются вознаграждения.
Помимо трёх вышеуказанных платформ стоит сказать ещё об одной. В качестве площадки для запуска программы bug bounty специально для госсектора, крупнейших коммерческих компаний и повышения уровня защищённости объектов критической информационной инфраструктуры (КИИ) планировалось использовать национальный киберполигон. Об этом «Ростелеком» объявлял на ПМЭФ в 2021 году[10]. Национальный киберполигон, в свою очередь, функционирует на базе ресурсов «РТК-Солар», «дочки» «Ростелекома».
В «РТК-Солар» в сентябре 2022-го рассказали TAdviser, что программа bug bounty действует на базе национального киберполигона с 2021 года, но каких-либо конкретных результатов работы этой программы сообщить не смогли.
В рамках программы уже проведен ряд успешных исследований, в настоящее время расширяется круг вендоров, предоставляющих свои решения для тестирований. Однако в силу закрытого режима исследований мы не можем раскрывать их детали, - заявил Дмитрий Малинкин, замдиректора национального киберполигона компании «РТК-Солар». |
Цена вопроса для «белого хакера» и заказчика
«Вилка» размера вознаграждений, которые компании готовы выплачивать исследователям за найденные уязвимости, довольно широкая – от нескольких тысяч рублей до нескольких сотен тысяч. В отдельных случаях выплаты составляют более 1 млн рублей.
Размеры выплат зависят от ряда факторов: от бюджета, которым располагает компания, пользующаяся программой bug bounty, от того, насколько критичной является найденная уязвимость, от простоты её эксплуатации и воздействия на данные пользователей.
В компании Cloud4Y рассказали, что, в частности, при оценке уязвимостей руководствуются своим экспертным мнением и шкалой рейтинга уязвимостей VRT (Vulnerability Rating Taxonomy). Вознаграждение в зависимости от критичности уязвимости составляет от $30 до $1000. По данным, полученным TAdviser от специализированных платформ bug bounty, по состоянию на середину октября максимальный размер выплат по действующим у них программам – порядка 250-300 тыс. рублей.
Схожий максимум вырисовывается, если взглянуть на программы bug bounty, организованные компаниями на собственных ресурсах. Так, например, в программе bug bounty умных устройств с «Алисой» «Яндекса» вознаграждения варьируются от 15 тыс. до 300 тыс. рублей[11]. Подробнее см. в таблице ниже.
Размеры выплат хакерам за найденные уязвимости по программе bug bounty умных устройств с «Алисой» «Яндекса»
Уровень критичности проблемы | Критичный | Высокий | Средний | Низкий |
Вознаграждение | 300 000 руб. | 150 000 руб. | 75 000 руб. | 15 000 руб. |
Источник: «Яндекс»
А в честь десятилетия своей программы bug bounty «Яндекс» расщедрился и объявил, что победители конкурса, которые сообщат о найденной уязвимости в период с 20 сентября по 19 октября включительно, получат денежное вознаграждение, увеличенное в десять раз[12].
Очень крупное вознаграждение – до 1 800 000 рублей – за найденную уязвимость можно получить, например, и в VK. Важно отметить, что несмотря на привлекательные денежные вознаграждения зачастую это не является решающим фактором участия исследователя в bug bounty. Такие программы позволяют ИБ-специалистам легально «пощупать» безопасность интересных систем и приобрести ценный опыт. И, как можно заметить на рекрутинговом портале HH.ru, нередко опыт участия в bug bounty и положительный рейтинг на различных площадках bug bounty указывается в вакансиях в качестве требования к ИБ-специалистам определённой специализации. В Positive Technologies считают, что интересные задачи – это не менее важная мотивация к участию в bug bounty, чем деньги.
Что касается бюджета, который компании стоит закладывать на программу bug bounty, если она проводит её на специализированной платформе, он должен включать:
- оплату подписки,
- выплату комиссии с оплаты хакерам за найденные уязвимости (если платформа взимает такую комиссию),
- непосредственно выплаты вознаграждения хакерам,
- накладные расходы на денежные переводы физлицу (хакеру).
Дмитрий Ким, бизнес-лидер Standoff в Positive Technologies, объясняет, что три последние указанные статьи расходов будут сильно зависеть от скоупа (scope), который определит для себя компания — разрешенная область действий, устанавливаемые программой bug bounty границы, в рамках которых разрешено производить багхантинг. Чем шире скоуп, тем более крупный бюджет надо закладывать.
Основываясь на опыте работы платформы, своим клиентам с большим скоупом (более десяти полноценных многофункциональных веб-приложений) в Positive Technologies рекомендуют закладывать 5 млн рублей на год, и в эту сумму не входит стоимость подписки. При небольшом скоупе эта сумма может быть значительно ниже. За это время будет можно будет оценить объёмы реально необходимых расходов, потому что заранее нельзя предсказать, сколько уязвимостей и насколько критических найдут в системах исследователи – их может быть 10, а может и 100. Но при рекомендуемом объёме предусматриваемых средств в 5 млн рублей, как показывает практика Positive Technologies, заказчик не рискует ошибиться с порядком бюджетом, и это позволяет ему комфортно пользоваться программой.
Вместе с тем, добавляют в компании, при формировании бюджетов разные заказчики отталкиваются от разных вещей: кто-то за точку отсчёта берёт стоимость определённого количества критических уязвимостей, кто-то – определённый процент от своего бюджета на управление уязвимостями. Некоторые сначала запускают закрытую программу и смотрят, сколько отчётов о найденных уязвимостях приходит и, оценив потенциальный поток, рассчитывают бюджет.
Причины обращения организаций к bug bounty
Опрошенные TAdviser компании, использующие bug bounty программы, объясняют преимущества этого подхода следующим образом:
- В первую очередь, в bug bounty нас привлекает возможность постоянного контроля за уязвимостями и процессами в ИБ. Этот метод позволяет выявить ошибки и устранить их до того, как ими мог бы воспользоваться злоумышленник;
- Использование bug bounty в дополнение к существующим у нас внутренним ИБ-системам позволяет усилить непрерывный анализ защищенности периметра и продуктов компании с привлечением множества независимых специалистов, таким образом, масштабируя команду ИБ;
- Bug bounty позволяет передавать узкоспециализированную работу подрядчикам. Так мы можем экономить время фулстек-специалистов и распоряжаться им более эффективно;
- Загруженность штатных специалистов, которые не могут всё свободное время посвятить поиску уязвимостей — это тоже повод задуматься о привлечении «добровольцев»;
- Свежий и разнообразный взгляд на действующие системы защиты, проверка на прочность, желание развивать инфраструктуру дальше, перед этим убедившись в её стабильности и надёжности;
- С программой bug bounty ИБ более точно знает все свои слабые места и неработающие процессы, а, следовательно, действует эффективнее;
- Позволяет обеспечить непрерывный анализ защищенности сервисов силами независимых исследователей безопасности, при этом сохраняя высокую экономическую эффективность;
- Желание стать сильнее, крепче в плане защищённости, и в долгосрочной перспективе — получить снижение затрат на киберзащиту.
Стоимость найденной уязвимости в bug bounty в 7-9 раз ниже, чем в пентесте, так как вознаграждение выплачивается по факту найденной ошибки. При проведении исследования оплачивается время специалистов, потраченное на поиск уязвимости. В некоторых частных случаях экономия получается существенной, - говорит Алексей Гришин, руководитель направления Bug Bounty, VK. |
«Bug bounty для ИБ – как специи для блюда»
При всех преимуществах bug bounty, в компаниях, использующих эту практику, и поставщиках услуг, опрошенных TAdviser, единодушны, что она не заменит собой традиционные технологические решения и методы, такие как, например, сканеры безопасности и периодические пентесты. Bug bounty, скорее, является дополнением к существующим средствам защиты, позволяет дополнительно повысить уровень зрелости компании в области ИБ и дополнить безопасную разработку.
Руководитель направления Bug Bounty VK Алексей Гришин красиво описывает этот метод: «bug bounty для ИБ – как специи для блюда».
Bug bounty не заменяет традиционные решения, а дополняет их. Первые позволяют найти относительно простые уязвимости, хакерам остается вручную искать небанальные, сложные, - говорит Евгений Руденко, директор по кибербезопасности Rambler&Co. |
При этом при полном отказе от автоматизированных средств в программах bug bounty увеличивается число простых уязвимостей, и у исследователей смещается фокус на них, вместо того чтобы участвовать в действительно интересных кейсах, за которые можно получить большее вознаграждение.
Классические инструменты ИБ – для сетевой фильтрации, надёжной аутентификации, авторизации и криптографии – будут актуальны в любом случае, считают в «ЮMoney». Bug Bounty лишь дополняет этот набор и помогает находить недочёты в системах.
Bug bounty могут стать более выгодным и эффективным методом контроля защищенности в сравнении с классическим тестированием на проникновение. Как правило, пентесты проводятся в течение ограниченного времени, а их результаты заведомо не прогнозируемы. Программы bug bounty обычно рассчитаны на более длительный срок и углубленную работу, заказчики таких исследований платят исключительно за результат.
С нашей точки зрения, максимальный эффект достигается при комбинированном использовании этих методов. Однако не стоит забывать, что внешние аудиты и программы bug bounty являются, пусть и важной, но только частью мер, реализуемых при комплексной защите информационных систем, - отмечает директор Национального киберполигона компании «РТК-Солар» Дмитрий Малинкин. |
Бизнес-лидер Standoff в Positive Technologies Дмитрий Ким подчёркивает, что bug bounty очень комплементарно остальным процессам ИБ, которые есть у заказчика: компании делают и пентесты, выполняют анализ защищённости приложений, имеют цикл управления уязвимостями и др. Bug bounty хорошо дополняет эти вещи, потому что сканеры, например, помогают находить уязвимости, но они несопоставимы с живым человеком по креативности подходов. Сканеры могут обеспечить порядка 80% результата, но остальные 20% нельзя получить автоматизированными средствами, говорит он.
Это очень творческий процесс. От исследователя требуется проверка разных гипотез – что можно сломать, как можно это сделать, - говорит Дмитрий Ким. |
Оценка эффективности программы
Общение с пользователями программ bug bounty показывает, что компании используют схожие подходы к оценке их эффективности. В «Авито», например, говорят, что, как правило, сопоставляют затраты на программу и результативность работ привлеченных исследователей. Исходя из этого можно делать выводы об эффективности работы программы.
В Cloud4Y результативность оценивается по количеству и критичности найденных уязвимостей. Но при этом компания не имеет права расслабляться:
Если багхантеры не шлют сообщения о серьёзных проблемах, это не значит, что их нет. Их могли не найти или найти, но желать заэксплуатировать, - поясняет специалист по информационной безопасности Cloud4Y Виталий Павлов. |
При проведении программы bug bounty на специализированной платформе наиболее сильно на эффективность влияют прозрачность программы, адекватные суммы вознаграждений, высокий уровень триажеров и быстрые ответы, считает технический директор компании «Синклит» Лука Сафонов.
После получения данных об уязвимости для компании важно оперативно закрыть её, чтобы не успела состояться её эксплуатация. Дмитрий Ким из Positive Technologies говорит, что платформы bug bounty, как правило, не отслеживают, закрыла компания уязвимость или нет.
Однако бывает, что заказчик снова обращается к исследователю, обнаружившему уязвимость, чтобы перепроверить её и убедиться в том, что она закрыта, - поясняет он. |
Сделай сам vs. багхантинг на платформе: что лучше?
Как упоминалось ранее, компании, привлекающие «белых хакеров», организуют поиск уязвимостей в своей ИТ-инфраструктуре с их помощью либо за счёт собственных ресурсов, либо на специализированных платформах. Выбор подхода зависит от ограничений и условий, в которых существует компания.
Оба этих подхода имеют право на существование, выбор компании зависит от ее приоритетов и готовности решать возникающие сложности самостоятельного управления программой. Например, надо решить, готова ли компания самостоятельно работать над организацией платежей и привлечением исследователей. Плюсы организации программы инхаус – полный контроль над процессом и экономия на сервисных сборах площадки, - считает Валентин Лякутин, руководитель продуктовой безопасности «Авито». |
В VK поясняют, что для удачного запуска программы необходима платформа для обмена сообщениями с исследователями, внутренний трекер для отслеживания процесса разбора багов, техническая команда для создания правил, исправления и валидации уязвимостей. Также необходимо использовать инструменты для привлечения исследователей, продумать каналы для выплаты вознаграждений.
Если компания решает организовать bug bounty самостоятельно, ей придётся, как минимум, самой организовать взаимодействие с багхантерами – от привлечения их внимания до юридического оформления, говорит Евгений Волошин, директор блока экспертных сервисов BI.ZONE. Используя платформу bug bounty, компания снимает с себя рутинные действия и концентрируется только на закрытии найденных уязвимостей, верификация может быть осуществлена также силами платформы. Плюс бизнесу не нужно разбираться с юридической стороной выплаты вознаграждений багхантерам – всё это уже налажено на стороне платформы.
Сами компании-пользователи специализированных платформ bug bounty, опрошенные TAdviser, приводят следующие аргументы в пользу их применения:
- Отдельная площадка для программы bug bounty – это удобно как для хакеров, так и для заказчиков. Первые могут в одном месте найти компании, которые готовы платить за найденные уязвимости, и, кроме того, не нужно дополнительно разбираться в особенностях оплаты конкретного заказчика. Вторые могут сэкономить на запуске собственной внутренней программы;
- Платформа выступает гарантом и экспертом в решении спорных ситуаций;
- Платформа агрегирует в себе множество вариантов оплачивать работу исследователей и самих исследователей тоже больше. Правда, количество в данном случае не обязательно переходит в качество.
Есть и мнение, что, возможно, гибридная схема, т.е. организация багхантинга собственными силами + применение внешней платформы – это оптимальный вариант.
Внешние платформы могут стать посредником в ситуации, когда обе стороны опасаются или не доверяют друг другу. Например, багхантер не уверен, заплатят ли ему за уязвимость, а компания – что человек не получит деньги за найденную проблему как от самой компании, так и от всех «желающих». Внешняя платформа создаёт некоторое доверие. Наш опыт показывает, что удобно использовать внешнюю платформу. Она дает больший охват, статистику, гарантии. С другой стороны, не про все уязвимости хотелось бы говорить на сторонней площадке. Чем меньше людей знают о ней, тем спокойнее компании. Гибридная схема позволяет дать на откуп платформе небольшие уязвимости, а серьёзные предлагает обсуждать напрямую с багхантером, - объясняет Виталий Павлов, специалист по информационной безопасности Cloud4Y. |
Перспективы и точки роста
Развитие ИТ и ИБ в России хотя и имеет региональную специфику, но в целом происходит в русле глобальных тенденций. А последние указывают на рост популярности программ bug bounty. Об этом говорит, в частности, платформа HackerOne[13]. Глобально расширяется спектр организаций, прибегающих к bug bounty: теперь этот метод используют в том числе небольшие компании и госорганизации. Растёт и количество «белых хакеров».
Аудитория «белых хакеров», доступных сейчас для российских организаций, сузилась на фоне санкций и отказа иностранных платформ работать с россиянами. Кроме того, часть ИБ-специалистов, которые и ранее были в дефиците, уезжают за рубеж. Рынок ИБ довольно узкий, в нём есть костяк из наиболее активных участников, какого-то значительного притока ждать пока неоткуда.
Придать импульс российскому рынку bug bounty могло бы развитие сотрудничества с паназиатским рынком, включая сотрудничество в области платёжных систем. Тогда исследовательская аудитория могла бы расшириться за счёт специалистов, например, из Индии и других стран.
Как бы то ни было, некоторые опрошенные TAdviser заказчики, имеющие опыт в bug bounty, и представители российских платформ считают, что в ближайшем будущем популярность этого метода в России будет расти, и что он может стать массовым. Так, Лука Сафонов прогнозирует, что «массовым он обязательно станет на горизонте 2-3 лет».
Евгений Волошин из BI.ZONE также считает, что в ближайшие годы bug bounty в России станет одним из популярных путей для бизнеса, чтобы увеличивать защищённость систем. При этом полагает он, перспективы использования bug bounty в госсекторе не отличаются от перспектив для частного бизнеса: «клиентам от государства придётся подготовиться к Bug Bounty и чётко понять, что они хотят получить».
Как уже говорилось, в России в настоящий момент подавляющее большинство заказчиков программ bug bounty – это частный бизнес, но уже можно говорить, что интерес к данной практике как способу повышения уровня защищённости есть не только у него. В той или иной степени он также присутствует у госкомпаний, госорганов и в целом владельцев объектов критической информационной инфраструктуры (КИИ). Потенциально они могли бы составить существенную долю пользователей программ bug bounty.
За последнее время, особенно в 2022 году, значительно выросло количество кибератак на ИКТ-инфраструктуру российских организаций, что связано, в том числе, с текущей геополитической обстановкой. Это один из факторов, заставляющих обращать внимание на bug bounty наряду с ростом спроса на решения ИБ: организации сейчас вынуждены всё больше фокусироваться на ИБ и готовы смотреть на самые различные опции для повышения уровня защищённости своей ИКТ-инфраструктуры.
Кроме того, рост требований со стороны государства и усиление контроля за исполнением этих требований стимулируют организации повышать уровень зрелости ИБ-процессов и обращать внимание на различные способы усиления защиты.
Вместе с тем, даже при наличии интереса к bug bounty со стороны госсектора, госкомпаний и владельцев объектов КИИ на текущий момент есть ряд факторов, сдерживающих применение этой практики в данных сегментах в России. При этом регулярные пентесты с привлечением внешних исследователей в этих сегментах уже широко распространены и, более того, закреплены в нормативно-методических документах Банка России и ФСТЭК.
Ограничения для использования bug bounty
Один из ключевых барьеров, препятствующих сейчас более широкому распространению bug bounty в России, лежит в юридической плоскости. В «Ростелекоме», например, рассказали TAdviser, что их компания обладает опытом проведения программ/мероприятий типа bug bounty, однако в силу ряда организационных и юридических ограничений на сегодняшний день невозможно сделать это постоянной практикой.
Программы/мероприятия типа bug bounty — достаточно перспективное решение для повышения уровня защищенности. Однако для применения этого решения в качестве стандартного механизма обеспечения ИБ, в частности, для повышения уровня защищенности объектов КИИ, необходимо привлечение государства, чтобы создать юридические условия, которые будут позволять проводить такие мероприятия максимально прозрачно и, что важно, оперативно. При условии появления юридической базы мы готовы использовать этот механизм в будущем, - говорят в «Ростелекоме». |
На ту же проблему указывает директор Национального киберполигона компании «РТК-Солар» Дмитрий Малинкин. В компаниях государственного сектора и на объектах КИИ тестирования с участием независимых исследователей в формате bug bounty практически не проводятся. Это объясняется отсутствием четкого законодательного определения деятельности по поиску уязвимостей.
Строгость действующего законодательства в области КИИ и отсутствие четких границ, нормативно определяющих такие действия, служат барьером как для самих заказчиков исследований, так и для потенциальных исполнителей, - поясняет он. |
Основные ограничения, затрудняющие использование bug bounty, связаны с отсутствием определения в законодательстве как самих исследований, так и их границ. Также в этой области отсутствует и правоприменительная практика. Поэтому проведение подобных мероприятий, особенно на объектах КИИ, может трактоваться неоднозначно с юридической точки зрения.
Юридические риски сейчас присутствуют как для заказчиков bug bounty из госсектора и субъектов КИИ, так и для «белых хакеров»: действия последних по поиску уязвимостей могут быть квалифицированы как неправомерный доступ к компьютерной информации в соответствии со ст. 272 УК РФ.
Роль государства
В распространении bug bounty сейчас заинтересованы профильные ведомства, в первую очередь Минцифры, что создаёт перспективы для снятия ряда юридических барьеров и более широкого применения этой практики в том числе в госсекторе и на объектах КИИ.
Так, в мае 2022 года директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин (с 2019 года занимал в Positive Technologies должность директора департамента по развитию продуктового направления) в рамках форума Positive Hack Days 11 анонсировал планы запустить программу bug bounty для госсистем[14]. А в начале октября министр цифрового развития Максут Шадаев на конференции TAdviser IT Government Day рассказывал, что ведомство планирует объявить и провести до конца года bug bounty, в частности, по «Госуслугам»[15].
В июле 2022 года в СМИ появилась информация о том, что Минцифры работает над возможностью ввести понятие bug bounty в правовое поле[16]. А в начале октября 2022-го Владимир Бенгин в интервью TAdviser сообщил, что, более того, ведомство уже прорабатывает вопрос внедрения практики применения программ bug bounty для всех владельцев государственных информационных систем[17].
В Минцифры рассчитывают, что в дальнейшем это должно стать примером и для госкомпаний, таким образом, расширив область применения подобных услуг. Услуги «белых хакеров» могут использоваться здесь как расширение процессов управления уязвимостями в дополнение к сканерам безопасности и периодическим пентестам. Интерес к bug bounty в госсекторе, госкомпаниях и для применения на объектах КИИ в Минцифры оценивают как очень высокий, говорил Бенгин в интервью.
Надо сказать, что идеи, связанные с тем или иным применением bug bounty, для Минцифры не новы. Они витали в ведомстве ещё тогда, когда оно звалось Минсвязью. Например, в 2016 году в министерстве рассматривали возможность привлечения хакеров по модели bug bounty для поиска уязвимостей в софте, внесенном в реестр отечественного программного обеспечения[18].
На этот раз информация об активной работе ведомства по внедрению в «массы» практик bug bounty появилась вскоре после выхода указа президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». В Минцифры говорили, что под действие этого указа попали сотни тысяч российских организаций[19]. В их числе – госорганы, госфонды, госкорпорации, системообразующие организации экономики, субъекты КИИ и ряд др.
Указ существенно меняет процессы ИБ на предприятиях, попадающих под его действие. Одно из нововведений – предприятия должны защитить себя от «недопустимых событий», т.е. событий, которые не должны быть реализованы и которые должны быть предотвращены в первую очередь. Это означает, что в организации:
- Сформулирован перечень недопустимых событий и негативных последствий (ущерба) для организации;
- Проведена оценка возможности возникновения и реализации недопустимых событий путем моделирования целевых атак.
- Проводятся мероприятия по недопущению и отслеживанию недопустимых событий и негативных последствий (ущерба).
- Проводится контроль эффективности (результативности) мероприятий по недопущению и отслеживанию недопустимых событий и негативных последствий (ущерба).
Некоторые ИБ-эксперты после выхода указа № 250 обращали внимание на то, что понятие «недопустимых событий» в нём являются аналогом понятия «негативных последствий» по ФСТЭК.
А 13 мая 2022 г. вышло постановление №860 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений». Он проводиться с 16 мая 2022 года по 30 марта 2023 года, и ответственность за организацию и мониторинг работ, проводимых в рамках эксперимента, возложена на Минцифры. Один из пунктов эксперимента – участвующие в нём организации должны определить у себя недопустимые события.
Участие в эксперименте добровольное, но после его окончания по постановлению №860 предполагается распространить данный подход на все организации, подпавшие под 250-й указ.
На этом фоне Минцифры планирует создать также реестр недопустимых событий в области кибербезопасности, который будет открыт для всех организаций. Об этом стало известно в августе 2022-го[20].
Услуги, связанные с реализацией недопустимых событий, Positive Technologies предлагает на своей платформе bug bounty, запущенной в мае 2022-го. Другие ИБ-компании вне платформ bug bounty также оказывают услуги, которые могут помочь организациям выполнять требования указа № 250. Так, в «Киберполигон» и «Синклит» тоже работают с объектами, попадающими под указ № 250, рассказал TAdviser Лука Сафонов. После выхода данного указа у предприятий возникает много вопросов касательно нововведений. Это, а также необходимость соответствовать новым требованиям, подталкивает их обращаться за услугами к профессионалам.
Надо сказать, что в целом последние обновления нормативной базы в области ИБ резонируют с концепцией создания качественно и количественно измеримых систем защиты информации, о которой не первый год говорят в разных ИБ-компаниях. Так, например, «Лаборатория Касперского» ещё в 2017 году представила свой принцип «кибериммунитета». Основатель «Лаборатории Касперского» Евгений Касперский считает, что он должен прийти на смену принципу кибербезопасности. «Кибериммунитет» предполагает такой уровень защиты, при котором стоимость разработки атаки на компанию (или устройство, или пользователя) превысит сумму возможного ущерба.
Безопасность должна лежать в основе каждой системы, а не быть надстройкой над ней, как это происходит сейчас. В таком случае у нас есть шанс сделать стоимость атаки настолько дорогой, что её реализация будет просто бессмысленной. Это и будет основа безопасного цифрового мира, - говорил он[21]. |
В «РТК-Солар» тоже озвучивают идею, что нужен новый подход к кибербезопасности, ориентированный на результат.
Бизнес не мыслит категориями функций ИБ и ИТ, для него значим только конечный результат – киберустойчивость, - высказывал мнение в интервью TAdviser в октябре гендиректор «РТК-Солар» Игорь Ляпунов. |
Новый подход предполагает серьёзный пересмотр подходов к менеджменту в области кибербезопасности[22]. В этой парадигме Сколково запустило образовательную программу по управлению кибербезопасностью бизнеса для топ-менеджеров «Построение киберустойчивого бизнеса», где «РТК-Солар» выступает партнёром.
В 2021 году также Positive Technologies озвучивала идею качественной и количественной измеримой системы защиты информации, когда рассказывала о планах запустить в России платформу по поиску уязвимостей и планах проводить программы bug bounty не только в традиционном, но и в «новом формате». Последний предполагает формирование реестра недопустимых событий и выплату вознаграждения за цепочку атак, которая однозначно приведет к неприемлемому ущербу[23].
Говоря непосредственно о bug bounty, сейчас, по информации хорошо осведомлённого источника TAdviser в ИБ-индустрии, идеи распространения этой практики поддерживает не только Минцифры, но и ФСТЭК, и ещё ряд ведомств. Тот же источник говорит, что сейчас обсуждается, каким образом мог бы быть реализован ресурс для использования bug bounty госорганами.
Один из рассматриваемых вариантов – создание специальной площадки, что-то вроде «гос. bug bounty», где операторами выступали бы три уже известных игрока – Bugbounty.ru, Positive Technologies, BI.ZONE.
В случае с госорганами может потребоваться более сложная схема реализации программ bug bounty, нежели для бизнес-заказчиков, говорит собеседник TAdviser. Например, может быть необходима авторизация через ЕСИА и допуск в закрытый контур так называемого «гос. bug bounty» только верифицированных хантеров с контролем их действий – чтобы кто-то из них что-нибудь не утаил или не «докрутил». Оператор сможет увидеть подобные вещи.
Теоретически подобная площадка могла бы быть создана под патронажем ФСТЭК – на базе БДУ ФСТЭК, или могла бы быть создана на базе НКЦКИ. Источник TAdviser в Минцифры подтверждает, что обсуждается идея создания подобной площадки, и считает, что использование bug bounty могло бы радикально повысить защищённость госсистем и способствовать развитию рынка bug bounty. Вместе с тем, говорит он, в ведомстве неоднозначно относятся к пути реализации через создание отдельной платформы «гос. bug bounty» из соображений, что чрезмерное вмешательство государства ни к чему, и заказчики больше выиграли бы от свободной конкуренции.
Профессиональные площадки более эффективно смогли бы и привлечь исследователей к госпрограммам bug bounty, и провести триаж найденных уязвимостей. Поэтому альтернативой «гос. bug bounty» могла бы стать, например, разработка требований к госпрограммам bug bounty, а дальше госзаказчики действовали бы в соответствии с 44-ФЗ (закон о госзакупках), рассказывает источник.
Точные сроки, в которые планируется разработать и принять правовую базу, открывающую больше возможностей для применения bug bounty в новых сегментах, публично не озвучивались. Однако, судя по решительному настрою регулятора, вероятность, что эта инициатива будет доведена до конца, очень велика.
Выводы
- Рынок bug bounty в РФ начал зарождаться примерно 8-10 лет назад. Среди первопроходцев на нём были крупные интернет-компании, затем пул пользователей таких программ расширился. Российский рынок сейчас можно назвать формирующимся, если сравнивать его с некоторыми другими странами, такими как, например, США, где к практике bug bounty прибегает уже не только крупный и средний бизнес, но и госсектор, и небольшие компании. Более 50% программ bug bounty в России пока закрытые. При этом есть предпосылки для дальнейшего роста рынка – и благодаря государственным инициативам и регуляторным мерам в области ИБ, и из-за роста количества и сложности киберугроз.
- Пользователи программ bug bounty в России сейчас представлены в основном частным бизнесом, преимущественно крупным и работающем в массовых сегментах, таким как интернет-сервисы, электронная коммерции, финсектор. Заметными пользователями программ также являются ИТ-компании. Тех, кто сейчас активно применяет bug bounty, характеризует наличие собственной разработки ПО и довольно зрелых процессов в области ИБ в компании.
- При устранении юридических ограничивающих факторов, на которое сейчас направлена работа регуляторов, рынок bug bounty в РФ мог бы, по аналогии с зарубежным опытом, органически расти за счет появления программ bug bounty в большем спектре секторов экономики, чем сейчас. В том числе в госсекторе, в госкомпаниях, а также на объектах КИИ, как расширение процессов управления уязвимостями. Предпосылки к этому уже есть. Способствовать тому, чтобы метод bug bounty стал более массовым, могло бы и расширение аудитории исследователей за счёт вовлечения зарубежных «белых хакеров».
- Интерес к bug bounty в КИИ в первую очередь лежит в плоскости общего повышения защищённости КИИ. Вместе с тем, новые регуляторные требования в области ИБ, в т.ч. обозначенные в майском указе президента №250, создают предпосылки к тому, что субъекты КИИ будут более активно обращаться за услугами, связанными с реализацией кибер-рисков.
Фото для обзора предоставлены Positive Technologies