Rambler's Top100
Статьи
Николай НОСОВ  27 августа 2024

«Белые» хакеры помогут найти «жуков»

В России работают три платформы багбаунти, число программ по поиску уязвимостей на которых быстро растет. Тестировщиков не хватает. Привлечение зарубежных багхантеров ограничивается трудностями выплаты вознаграждения.

Багбаунти (bug bounty) – программа выплаты вознаграждения за найденные уязвимости (баги, в дословном переводе -- «жуки»), – наиболее эффективный способ оценки уровня защищенности информационной системы. В рамках программы «белые» хакеры (багхантеры) пытаются взломать информационные системы компании, но не с преступными целями, как «черные» хакеры, а легально, за вознаграждение. Компания же получает информацию о выявленных проблемах и исправляет ошибки. Автоматические сканеры уязвимости, тесты на проникновение, конечно, важны и полезны. Но только завершающий этап выстраивания системы информационной безопасности – проверка в «боевых» условиях настоящих атак – может рассказать о реальной защищенности информационных ресурсов компании. 

Багбаунти – относительно новое направление информационной безопасности. В России первой платформой стала появившаяся в феврале 2021 г. Bugbounty.ru. В мае 2022 г. к ней присоединилась Standoff 365 Bug Bounty компании Positive Technologies, а в августе того же года – платформа по поиску уязвимостей «дочки» Сбера компании BI.ZONE. 

Направление быстро развивается. В рамках международной конференции по практической кибербезопасности OFFZONE 2024 директор по стратегии, директор департамента анализа защищенности и противодействия мошенничеству BI.ZONE Евгений Волошин отметил, что за два года число программ на платформе увеличилось более чем в два раза. Если в августе 2022 г. работали 34 публичные программы (их проводили пять компаний), то в августе 2024-го их стало 74, а число компаний увеличилось до 29. В 2022 г. общая сумма выплат исследователям составила полмиллиона рублей, а в 2024-м превысила 60 млн руб.
Источник: BI.ZONE
Распределение долей клиентов платформы BI.ZONE Bug Bounty по отраслям

Среди отраслей лидирует финтех, прежде всего банки. За последний год число финансовых компаний – участников программы увеличилось более чем в три раза, на платформе разместили свои программы пять банков из списка топ-10 «Банки.ру». 

К программе BI.ZONE по поиску уязвимостей присоединился и Сбербанк. Теперь багхантеры смогут искать «жуков» в веб- и мобильных версиях официального приложения СберБанк Онлайн для iOS и Android; в мессенджере и сервисе для входа на сайты и в приложения экосистемы Сбер ID. Выплаты за подтвержденные уязвимости в зависимости от уровня критичности могут достигать 500 тыс. руб. «Мы рассчитываем, что программа Сбера при поддержке сообщества этичных хакеров и компании BI.ZONE в скором времени станет одной из самых активных и конкурентоспособных программ багбаунти», – сообщил начальник управления экспертизы кибербезопасности Сбербанка Сергей Крайнов.

В числе других компаний, проводящих программы на BI.ZONE Bug Bounty: VK(«Вконтакте»), ГК «Астра», Т-Банк, Timeweb, Avito, Ozon, «Хоум банк». Рекордсмены по назначенным наградам – «Вконтакте» и RuStore – готовы выплатить за найденные критические уязвимости по 3,6 млн руб. Причем, как рассказал в кулуарах один из багхантеров, уязвимость может быть простой, например, слабый пароль администратора, выявить которую сможет и начинающий «белый» хакер. 

Проводит программы багбаунти и Минцифры России. На платформе BI.ZONE Bug Bounty запущена первая в стране программа по поиску уязвимостей в инфраструктуре субъекта РФ – Ленинградской области. За год число программ от госсектора выросло в шесть раз.

Не сильно отстают конкуренты BI.ZONE. В настоящее время Standoff 365 Bug Bounty предлагает 59 публичных программ, Bugbounty.ru – 32, в основном они связаны с продуктами «Вконтакте».

Не все компании готовы сразу объявлять публичные программы, многие начинают с непубличных, когда информационные системы атакуют не все желающие, а только отобранные и проверенные «белые» хакеры. По понятным причинам их подсчет затруднителен и общее число подобных программ неизвестно.
 
Руководитель направления перспективных технологий, исследований и разработки ГК «Астра» Роман Мылицын пояснил нашему изданию, что прежде чем объявлять о вознаграждении за выявленные уязвимости, информационные системы тщательно тестируются в компании специалистами-безопасниками, в том числе с помощью сканеров уязвимостей. Но багхантеры благодаря свежему взгляду и нестандартным подходам могут выявить бреши, незамеченные сотрудниками. На платформе BI.ZONE Bug Bounty проверяется операционная система Astra Linux и наиболее критичные продукты недавно вошедших в ГК «Астра» компаний. Например, в публичную программу попала платформа виртуализации VMmanager от компании ISPsystem.
 
«Белых» хакеров не хватает, компании борются за них, увеличивая вознаграждение за выявленные уязвимости. Да и платформы заинтересованы в участии как можно большего числа багхантеров, поскольку это повышает качество проверки программ. К сожалению, привлечение зарубежных участников ограничено трудностями выплаты вознаграждения. В условиях санкций можно было бы использовать криптовалюты, но они пока не вышли из серой зоны. Отвечая на вопрос нашего издания, руководитель продукта BI.ZONE Bug Bounty Андрей Лёвкин предположил, что компания сможет воспользоваться криптовалютами для оплаты, когда регуляторы до конца прояснят ситуацию, и это позволит расширить круг багхантеров.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!