На международной конференции по практической кибербезопасности OFFZONE 2022, прошедшей 25 августа этого года, компания BI.ZONE представила собственную платформу по поиску уязвимостей Bug Bounty. Информационная служба Хабра побывала на этом мероприятии. Это уже вторая платформа, представленная в 2022 году российскими кибербез-компаниями. Первая в этом году вышла у компании Positive Technologies под названием The Standoff 365. Она была представлена на мероприятии Positive Hack Days в мае. Однако, есть еще одна платформа запущенная раньше озвученных — это bugbounty.ru. Последнюю запустили еще в 2021 году.
Новую отечественную Bug Bounty платформу представляли директор блока экспертных сервисов BI.ZONE Евгений Волошин и тимлид BI.ZONE Bug Bounty Сергей Колесников.
Евгений Волошин
Директор блока экспертных сервисов BI.ZONE
«На глобальном рынке программы bug bounty уже доказали свою эффективность. Их число за последние три года выросло на треть по всему миру, а за прошлый год багхантеры обнаружили более 70 тысяч валидных уязвимостей. Если раньше bug bounty могли позволить себе только крупные организации, сегодня запустить такую программу может бизнес любого масштаба. Появление российской платформы делает участие в bug bounty ещё доступнее».
В данной программе у исследователей будет учитываться рейтинг, накопленный на международных платформах. Кроме того, эксперты BI.ZONE будут содействовать в решении спорных вопросов между компаниями и исследователями. Также команда BI.ZONE планирует отдельно развивать российское комьюнити багхантеров.
Как сказал директор блока экспертных сервисов BI.ZONE Евгений Волошин, один из главных принципов, на который ориентировалась компания при создании платформы — это прозрачность и удобство взаимодействия между компанией и независимыми исследователями. Поэтому разработкой занимались специалисты, которые раньше сами были багхантерами. Исследователи получат удобные инструменты для работы с отчётами и будут принимать выплаты от компаний любым способом: как физическое лицо, самозанятый или ИП. Бизнесу компания предлагает гибкие настройки, которые сделают работу с полученными отчётами эффективнее.
На платформе прошли предрегистрацию более 300 багхантеров, первым заказчиком станет компания «Авито». На вопрос о составе багхантеров в BI.ZONE указали, что на платформе могут работать белые хакеры как из России, так и из других стран, но они должны иметь рублёвый счёт для получения вознаграждений. Выступивший на пресс-конференции по Bug Bounty руководитель продуктовой безопасности Валентин Лякутин поделился опытом публикации программ bug bounty и ожиданиями от работы с BI.ZONE.
Валентин Лякутин
Руководитель продуктовой безопасности компании «Авито»
«Когда компания прибегает к услугам Bug Bounty, это говорит о серьёзности подхода к безопасности и защите данных своих клиентов. Мы верим в BI.ZONE Bug Bounty как в передовую российскую разработку. «Авито» ожидает плодотворных результатов от использования этого инструмента. Сейчас наша компания преследует три основных цели использования платформы. Мы хотим масштабировать команду кибербезопасности, обогатить внутреннюю экспертизу по детектам и процессам работы с уязвимостями. Также мы рассчитываем, что платформа поможет привлечь независимых исследователей и дополнительно усилить продуктовую безопасность».
Также в день презентации BI.ZONE компания объявила о запуске публичной программы Вug Вounty для своей платформы. BI.ZONE будет выплачивать независимым исследователям до 300 тысяч рублей в зависимости от критичности и вероятности использования обнаруженной уязвимости.
Кроме компаний BI.ZONE и «Авито» на платформе Bug Bounty публичных программ от других компаний нет, на вопрос информационной службы Хабра о прогнозируемом количестве выступающие ответили, что такого прогноза нет.
Кроме того, на вопрос о привлечении к Bug Bounty госорганов и госведомств в компании ответили, что работа над этим ведётся, и государство очень заинтересовано в привлечении сервисов своих структур к подобным платформам. Однако в данном случае очень острым остаётся вопрос законодательства, поскольку даже за взлом госструктур в рамках Bug Bounty на текущий момент предусмотрена ответственность как минимум по статьям 272, 273 и 275 УК РФ. Точных сроков представители BI.ZONE озвучивать не берутся, но уверяют, что работа в этом направлении идёт активно.
