Каждая десятая найденная багхантерами уязвимость — категории high
В рамках OFFZONE 2023 эксперты подвели итоги работы платформы BI.ZONE Bug Bounty. Среди ключевых результатов — 17 зарегистрированных на платформе компаний и 51 программа по поиску уязвимостей.
Общая сумма выплат за найденные уязвимости составила более 15 млн рублей. BI.ZONE Bug Bounty также стала лидером по числу публичных программ среди российских платформ.
В 2022–2023 годах российский рынок багбаунти значительно вырос. На это повлияло не только развитие отечественных багбаунти-платформ, но и отказ зарубежных площадок от сотрудничества с заказчиками и исследователями из России. Если год назад на трех отечественных платформах были представлены всего пять компаний, то сейчас только на BI.ZONE Bug Bounty размещена 51 программа от 17 организаций.
Если два года назад к багбаунти относились как к экспериментальному инструменту, то сейчас такие платформы завоевали доверие со стороны не только бизнеса, но и государства. Яркий тому пример — проект Минцифры по поиску уязвимостей на «Госуслугах», в реализации которого приняла участие BI.ZONE. А сейчас мы разместили на нашей платформе первую в России программу по поиску уязвимостей операционных систем совместно с ГК «Астра».
Итоги первого года работы платформы подтвердили, что программы багбаунти позволяют ускорить выявление уязвимостей, не требуя при этом значительного расширения штата специалистов по безопасности. Как итог, эффективность выявления уязвимостей повышается, а стоимость их обнаружения, напротив, сокращается, если сравнивать с результатами использования других инструментов анализа.
Итоги первого года работы платформы подтвердили, что программы багбаунти позволяют ускорить выявление уязвимостей, не требуя при этом значительного расширения штата специалистов по безопасности. Как итог, эффективность выявления уязвимостей повышается, а стоимость их обнаружения, напротив, сокращается, если сравнивать с результатами использования других инструментов анализа».
Наиболее активный интерес к багбаунти проявляют компании из финансового сектора: по данным BI.ZONE, на них приходится 37% спроса на услуги багхантеров. При этом тренд на особую востребованность багбаунти со стороны финансовых организаций совпадает с общемировым. Это связано с тем, что сложные цифровые экосистемы банков заинтересованы в максимальной комплексной защите. Другой важный фактор — сохраняющийся в отрасли высокий уровень киберугроз: только за первый квартал 2023 года российские банки отразили 2,7 млн атак, предотвратив хищения на сумму 712 млрд рублей.
Мы уже много лет развиваем собственную программу багбаунти, а выход на публичные платформы позволил расширить аудиторию багхантеров и обеспечить более тесное и эффективное сотрудничество.
Для нас вопрос безопасной разработки имеет первостепенное значение. Мы постоянно проводим внешние аудиты от лучших компаний на рынке безопасности, рады, что сейчас открывается все больше возможностей для привлечения внешних исследователей и максимальной защиты наших клиентов. „Тинькофф“ регулярно увеличивает выплаты багхантерам, а также вкладывается в развитие комьюнити специалистов по безопасности и будущего поколения кадров для отрасли в целом с помощью мероприятий, образовательных и стипендиальных программ.
К середине 2023 года BI.ZONE Bug Bounty стала лидером среди российских багбаунти-платформ по числу публичных программ, соотношение которых с приватными составляет почти 8 к 1. Из всех уязвимостей, обнаруженных багхантерами за первый год работы BI.ZONE Bug Bounty, 3% оказались критическими, а 10% относились к категории high. Еще 28% уязвимостей представляли собой угрозу средней степени, а 59% — угрозу низкой степени и «инфо» (репорты о недочетах, не влияющих на защищенность). Общая сумма выплат за найденные баги составила более 15 млн рублей. Рейтинг лучших багхантеров доступен на сайте BI.ZONE Bug Bounty.
BI.ZONE удалось выстроить оптимальный процесс работы с отчетами и наладить быстрые выплаты. Исследователи получают вознаграждение в среднем в течение 30 часов после подтверждения найденной уязвимости. В ближайшие планы по развитию BI.ZONE Bug Bounty входят открытая публикация отчетов для изучения лучших практик и расширение сотрудничества с крупнейшими российскими компаниями.
