В Positive Technologies проанализировали крупные и активные платформы bug bounty по всему миру. Эксперты отметили, что наиболее востребованными платформы оказались у IT-компаний (16%), онлайн-сервисов (14%), сферы услуг (13%) и торговли (11%), финансовых организаций (9%). Этот мировой тренд в целом коррелирует с российским. Основная масса заказчиков российских программ bug bounty представлена частным бизнесом, обслуживающим большое количество клиентов: банками, онлайн-сервисами, электронной коммерцией, разработчиками IT-продуктов. Главным драйвером развития bug bounty в России могут стать госсектор и организации критической инфраструктуры.
В 2021 году количество программ bug bounty, по данным HackerOne, увеличилось на 34%, а исследователи безопасности выявили на 21% больше уязвимостей. К 2027 году рынок bug bounty может вырасти до 5,5 млрд долларов.
По данным Positive Technologies, лидер по количеству крупных bug-bounty-платформ — Азиатский регион, в котором располагаются 38% проанализированных ресурсов. На втором месте расположился Европейский регион, включая Россию: здесь находится треть исследованных платформ, в том числе одни из наиболее крупных, например Intigriti, YesWeHack, Zerocopter и Standoff 365 Bug Bounty. Доля платформ Североамериканского и Ближневосточного регионов составила 21% и 8% соответственно.
Российский рынок bug bounty активно формируется. В 2020 году Россия вошла в тройку стран с самым высоким уровнем дохода багхантеров, обогнав Китай и Германию. В разное время порядка 40 компаний запускали открытые программы bug bounty. В стране действуют три основные платформы: Bugbounty.ru, Standoff 365 Bug Bounty и BI.ZONE Bug Bounty. При этом половина программ bug bounty в России закрытые, то есть количество исследователей в них ограничено и заранее оговорено.
Российские компании готовы платить багхантерам от нескольких десятков до сотен тысяч рублей за найденную уязвимость. В отдельных случаях выплаты достигают 1 млн рублей и более. Например, средняя выплата за критически опасную уязвимость на платформе Standoff 365 Bug Bounty составляет 420 тыс. рублей, что сопоставимо с выплатами по миру. В целом наибольшие средние суммы вознаграждений за нахождение уязвимостей критического и высокого уровня опасности оказались в bug-bounty-программах блокчейн-проектов (13,1 тыс. и 5,3 тыс. долларов соответственно) и IT-компаний (6,6 тыс. и 2,2 тыс. долларов соответственно).
В Positive Technologies ожидают бурный рост числа российских программ bug bounty в ближайшее время. Предпосылки для дальнейшего роста рынка — увеличение количества и сложности киберугроз, недоступность в России многих мировых сервисов, а также расширение спектра организаций, прибегающих к bug bounty: этот метод обеспечения кибербезопасности стали использовать небольшие компании и государственные учреждения.
Драйвером отечественного рынка bug bounty может стать устранение юридических барьеров, на которое сейчас направлена работа регуляторов — Минцифры и ФСТЭК. Российский рынок органически вырастет за счет появления программ поиска уязвимостей в большем спектре секторов экономики. Эксперты отмечают, что росту также будет способствовать появление программ в объектах критической инфраструктуры (КИИ), необходимое для расширения процессов управления уязвимостями (в дополнение к сканерам безопасности и периодическим пентестам). При этом организации КИИ уже заинтересованы в bug bounty: это способ проверить, возможна ли реализация недопустимых событий, которые могут привести к непоправимым последствиям, в их информационных системах.
Провести такую программу предлагает платформа Standoff 365: исследователи могут не только искать уязвимости в инфраструктурах компаний, но и пытаться реализовать недопустимые события на основе найденных брешей.
«Новаторский подход к поиску уязвимостей выгоден всем пользователям Standoff 365 Bug Bounty, — отмечает CPO Standoff 365 Ярослав Бабин. — Компания получает подробный отчет об эксплуатации ряда уязвимостей, которые привели к реализации недопустимого события, и может сразу приступить к их исправлению. Исследователю же выплачивается значительно большее вознаграждение, чем за обычный поиск брешей в защите».
За пять месяцев работы платформы Standoff 365 Bug Bounty багхантеры прислали 550 отчетов, найдены и исправлены более 150 уязвимостей, за которые участникам выплачено более 3 млн рублей. По числу участников и программ платформа стала лидером среди российских аналогов: на ней зарегистрировались уже более 2500 человек, запущено 24 программы (в том числе «Азбука вкуса», «ВКонтакте», «Дзен», Mail.ru, Rambler&Co).
Основываясь на опыте работы платформы Standoff 365 Bug Bounty, эксперты Positive Technologies рекомендуют своим клиентам с большим скоупом для поиска уязвимостей (более десяти полноценных многофункциональных веб-приложений) закладывать на проведение программ bug bounty в среднем 5 млн рублей на год без учета стоимости подписки. В компании считают, что за это время можно оценить объемы реально необходимых расходов. При рекомендуемом объеме предусматриваемых средств, как показывает практика Positive Technologies, заказчик не рискует ошибиться с бюджетом, что позволит ему комфортно пользоваться программой.