26/08/24
На OFFZONE 2024 прошла презентация итогов года BI.ZONE Bug Bounty. Сегодня на платформе 34 компании и 78 программ по поиску уязвимостей, а общая сумма выплат независимым исследователям — более 60 миллионов рублей. На презентации совместно со Сбером, «Группой Астра» и представителем комьюнити команда BI.ZONE Bug Bounty обсудила основные тенденции рынка.
За последний год одними из драйверов российского рынка багбаунти стали финтех и госсектор. На BI.ZONE Bug Bounty более чем в 3 раза увеличилось количество компаний из финансовой отрасли. 5 банков из топ-10 «Банки.ру» разместили программы на платформе. В 6 раз выросло число программ от госсектора. На BI.ZONE Bug Bounty запустили первую в стране программу по поиску уязвимостей в инфраструктуре субъекта РФ — Ленинградской области.
На платформу выходят все больше компаний из ритейла и IT-сектора, а также онлайн-сервисы. Это связано с высокой скоростью цифровизации и темпами разработки новых решений в перечисленных сегментах, общим трендом на безопасную разработку, а также пониманием значительных финансовых и репутационных рисков для компаний в случае успешной кибератаки.
Евгений Волошин, директор по стратегии, директор департамента анализа защищенности и противодействия мошенничеству, BI.ZONE:
Багбаунти как инструмент анализа защищенности внешнего периметра становится все более востребованным со стороны компаний. За год на нашей платформе в 2 раза увеличилось количество компаний и в 1,5 раза — программ. Мы также отмечаем тренд — экосистемы и группы компаний все активнее пользуются багбаунти. Яркий пример — запуск сразу 3 публичных программ от экосистемы Сбера, а также программы от «Группы Астра» для исследования ОС Astra Linux Special Edition и платформы VMmanager.
Мы активно развиваем нашу платформу: в этом году обновили ее, ввели прогрессивную шкалу выплат, совместно с Республикой Татарстан первыми в России запустили публичную программу информирования об уязвимостях, а также регулярно проводим мероприятия для исследователей.
За последний год на BI.ZONE Bug Bounty более чем в 1,5 раза возросло количество отчетов от независимых исследователей. При этом каждая 6-я обнаруженная уязвимость относилась к уровню high и critical.
Компании активно привлекают багхантеров к программам, расширяя скоуп и повышая размеры вознаграждений. За последний год на платформе почти в 3 раза увеличились выплаты: их общая сумма составила 45 миллионов рублей, а за уязвимости уровня high и critical заплатили 28 миллионов рублей.
Сергей Крайнов, начальник управления экспертизы кибербезопасности, Сбер:
Очевидно, что кратное увеличение количества программ на платформе BI.ZONE Bug Bounty демонстрирует возрастающий интерес у все большего числа компаний к такому инструменту обеспечения безопасности как багбаунти. Вместе с этим, учитывая острый дефицит кадров на рынке кибербезопасности, компаниям придется серьезно конкурировать за возможность привлечения наиболее квалифицированных исследователей к своим программам. Мы уверены, что развитие багбаунти в России должно сопровождаться не только популяризацией среди компаний, но и постоянным привлечением, обучением и подготовкой новых исследователей.
Роман Мылицын, руководитель направления перспективных исследований и инновационных проектов, «Группа Астра»:
По нашему опыту багбаунти — эффективный способ выявления реальных проблем безопасности. Креативный подход исследователей позволяет нам увидеть неочевидные векторы атак, за что мы им очень признательны. Мы считаем, что публичная программа багбаунти — обязательный этап проверки системного ПО и в первую очередь механизмов защиты.
