В 2 раза выросло количество компаний на BI.ZONE Bug Bounty за год
На OFFZONE 2024 прошла презентация итогов года BI.ZONE Bug Bounty. Сегодня на платформе 34 компании и 78 программ по поиску уязвимостей, а общая сумма выплат независимым исследователям — более 60 миллионов рублей.
На презентации совместно со Сбером, «Группой Астра» и представителем комьюнити команда BI.ZONE Bug Bounty обсудила основные тенденции рынка.
За последний год одними из драйверов российского рынка багбаунти стали финтех и госсектор. На BI.ZONE Bug Bounty более чем в 3 раза увеличилось количество компаний из финансовой отрасли.
5 банков из топ-10 «Банки.ру» разместили программы на платформе. В 6 раз выросло число программ от госсектора. На BI.ZONE Bug Bounty запустили первую в стране программу по поиску уязвимостей в инфраструктуре субъекта РФ — Ленинградской области.
На платформу выходят все больше компаний из ритейла и IT-сектора, а также онлайн-сервисы. Это связано с высокой скоростью цифровизации и темпами разработки новых решений в перечисленных сегментах, общим трендом на безопасную разработку, а также пониманием значительных финансовых и репутационных рисков для компаний в случае успешной кибератаки.
Евгений Волошин, директор по стратегии, директор департамента анализа защищенности и противодействия мошенничеству, BI.ZONE, сказал: «Багбаунти как инструмент анализа защищенности внешнего периметра становится все более востребованным со стороны компаний. За год на нашей платформе в 2 раза увеличилось количество компаний и в 1,5 раза — программ. Мы также отмечаем тренд — экосистемы и группы компаний все активнее пользуются багбаунти. Яркий пример — запуск сразу 3 публичных программ от экосистемы Сбера, а также программы от «Группы Астра» для исследования ОС Astra Linux Special Edition и платформы VMmanager.
Мы активно развиваем нашу платформу: в этом году обновили ее, ввели прогрессивную шкалу выплат, совместно с Республикой Татарстан первыми в России запустили публичную программу информирования об уязвимостях, а также регулярно проводим мероприятия для исследователей».
За последний год на BI.ZONE Bug Bounty более чем в 1,5 раза возросло количество отчетов от независимых исследователей. При этом каждая 6-я обнаруженная уязвимость относилась к уровню high и critical.
Компании активно привлекают багхантеров к программам, расширяя скоуп и повышая размеры вознаграждений. За последний год на платформе почти в 3 раза увеличились выплаты: их общая сумма составила 45 миллионов рублей, а за уязвимости уровня high и critical заплатили 28 миллионов рублей.
Сергей Крайнов, начальник управления экспертизы кибербезопасности, Сбер, подчеркнул: «Очевидно, что кратное увеличение количества программ на платформе BI.ZONE Bug Bounty демонстрирует возрастающий интерес у все большего числа компаний к такому инструменту обеспечения безопасности как багбаунти. Вместе с этим, учитывая острый дефицит кадров на рынке кибербезопасности, компаниям придется серьезно конкурировать за возможность привлечения наиболее квалифицированных исследователей к своим программам. Мы уверены, что развитие багбаунти в России должно сопровождаться не только популяризацией среди компаний, но и постоянным привлечением, обучением и подготовкой новых исследователей».
Роман Мылицын, руководитель направления перспективных исследований и инновационных проектов, «Группа Астра», подчеркнул: «По нашему опыту багбаунти — эффективный способ выявления реальных проблем безопасности. Креативный подход исследователей позволяет нам увидеть неочевидные векторы атак, за что мы им очень признательны. Мы считаем, что публичная программа багбаунти — обязательный этап проверки системного ПО и в первую очередь механизмов защиты».
О платформе
BI.ZONE Bug Bounty — это платформа для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей. Компании размещают программы на платформе и получают отчеты об обнаруженных уязвимостях. Багхантеры при этом могут выбирать интересные для себя программы и получать денежное вознаграждение за найденные баги.
О конференции
OFFZONE — международная конференция по практической кибербезопасности, которая проходит в Москве с 2018 года. Она объединяет безопасников, разработчиков, инженеров, исследователей, преподавателей и студентов. В центре внимания — только технический контент, посвященный актуальным темам отрасли. Предыдущую конференцию посетили больше 2500 человек, а своим опытом с участниками поделились больше 100 экспертов. В этом году OFFZONE прошла 22–23 августа.