«Белым хакерам» найдут работу
Отрасль информбезопасности создает новые платформы для этичных кибервзломщиков
Отечественные ИБ-компании работают над запуском маркетплейсов, где можно будет заказать хакерскую атаку для проверки своей информационной защиты. На данный момент такие разработки в России ведут «Ростелеком», Positive Technologies, BI.ZONE и «Киберполигон». RSpectr выяснил, на какой стадии находятся проекты и когда они будут запущены.
BUG BOUNTY НА ПИКЕ ПОПУЛЯРНОСТИ
Новости о появлении площадок оказались как нельзя кстати, так как крупнейшая в мире платформа по поиску уязвимостей HackerOne в марте приостановила деятельность на территории России и Беларуси.
В пресс-службе Минцифры рассказали RSpectr, что в этом году ведомство инициирует создание масштабных программ для проверки защищенности IT-инфраструктуры силами этичных хакеров (Bug Bounty) для объектов критической информационной инфраструктуры (КИИ). К тестированию планируется привлечь ведущие российские IТ-компании.
Минцифры прогнозирует высокий спрос на платформы для программ Bug Bounty
В тестировании, по мнению министерства, будут заинтересованы госорганы, коммерческие компании, владельцы объектов КИИ. Также, возможно, некоторые правообладатели софта захотят проверить свои решения сразу на нескольких платформах. В Минцифры подчеркнули, что занимались вопросом создания площадки для программ Bug Bounty еще до приостановки работы HackerOne.
Первым о запуске отечественного аналога заявил «Ростелеком». Это произошло еще в сентябре прошлого года. Заместитель генерального директора «Ростелеком-Солар» Александр Чечин сказал RSpectr, что программа Bug Bounty – полезная и интересная, поскольку позволяет в конечном итоге повысить защищенность программно-технических средств.
Александр Чечин, «Ростелеком-Солар»:
– Мы внимательно смотрим за развитием рынка в этой области, изучаем новые возможности и модели проведения исследовательских работ, а в ряде разработок принимаем непосредственное участие, но детали хода проекта пока раскрывать не можем.
А.Чечин добавил, что «Ростелеком-Солар» приветствует аналогичные инициативы других компаний, так как конкуренция ведет к повышению качества продукта для конечных пользователей.
В декабре 2021 года о разработке такого проекта сообщила Positive Technologies. Тогда в компании заявляли, что платформа запустится в мае текущего года. Руководитель продукта The Standoff Ярослав Бабин сказал RSpectr, что
за последние годы спрос на российские ИБ-решения кратно увеличился
Все чаще стали встречаться вакансии специалистов по безопасности приложений, по разработке защиты на всех жизненных циклах создания ПО, добавил эксперт. Я.Бабин также отметил, что после выстраивания внутренних процессов и нескольких этапов аудитов, когда приглашенные команды находят все меньше уязвимостей, следующий логичный шаг – привлечение независимых хакеров. Поэтому, по его мнению, если сегодня спрос есть у 10-20 компаний, то в следующем году он вполне может вырасти до 50.
Ярослав Бабин, Positive Technologies:
– На горизонте трех лет основной спрос будут создавать компании со зрелыми процессами кибербезопасности, чей бизнес связан с частными пользователями. Именно для них критичны уязвимости, которые могут повлиять на других клиентов. В основном это IT-компании, e-commerce, банки, финтех и так далее.
Эксперт сообщил, что его фирма ведет переговоры с семью клиентами. На платформе будет создан инструмент по отбору людей – у каждого хакера появится профиль. В нем будет отображаться его активность на площадке, число найденных слабых мест, закрытых рисков, рейтинг (выдается за успешно сданные уязвимости или реализацию недопустимых событий), полученные сертификаты и другая информация, которую укажет сам пользователь.
В конце марта текущего года о работе над созданием отечественного аналога HackerOne заявила и компания «Киберполигон» (один из проектов информбезопасности, реализуемых в рамках нацпрограммы «Цифровая экономика»). В пресс-службе рассказали RSpectr, что платформа «Киберполигона» – bugbounty.ru – работает в приватном режиме с февраля 2021 года. Компании с трудом идут на размещение публичных тестирований из-за возможных репутационных рисков, отметили там.
«Киберполигон», пресс-служба:
– В данный момент мы планируем запуск нескольких публичных программ по выявлению уязвимостей. Переговоры идут со многими крупными российскими компаниями, сотрудничавшими с HackerOne. К сожалению, процесс согласований в больших фирмах гораздо дольше, поэтому всем желающим «багхантерам» придется немного подождать.
В пресс-службе «Киберполигона» также рассказали RSpectr, что размер вознаграждений на платформе определяется заказчиком. Максимальная сумма выплат – 3 млн рублей.
По данным компании, на площадке зарегистрировано порядка 1 тыс. «багхантеров». Ожидается увеличение этой цифры в два-пять раз до конца года.
В «Киберполигоне» заявили, что
блокировка HackerOne для российских и белорусских хакеров в рамках санкций лишила многих этичных взломщиков источника доходов
В начале апреля IT-компания BI.ZONE заявила о разработке платформы для программ Bug Bounty. В пресс-службе компании рассказывали, что работа над проектом началась в 2021 году, когда российский рынок испытывал сильный кадровый голод из-за нехватки инженеров по безопасности. Компании искали дополнительные инструменты для непрерывной проверки на прочность своих ресурсов. Это вызвало интерес бизнеса к площадкам по охоте за уязвимостями.
Платформа BI.ZONE призвана устранить трудности, с которыми сталкиваются компании при запуске программ Bug Bounty. Разработка упрощает поиск независимых исследователей безопасности, оформление сотрудничества с ними и проведение оплат. Кроме того, владельцы платформы могут взять на себя экспертную проверку найденных хакерами уязвимостей, чтобы компании сосредоточились на устранении недостатков в защите.
Директор блока экспертных сервисов BI.ZONE Евгений Волошин сообщил RSpectr, что релиз платформы запланирован на лето. В ближайшее время будет открыта предварительная регистрация для компаний и «багхантеров». BI.ZONE рассчитывает, что уже на первых этапах сможет привлечь на платформу не менее 200 хакеров.
Е.Волошин рассказал, что, по данным международных организаций, число программ Bug Bounty ежегодно растет в среднем на 34 процента. Только в России в начале 2022 года BI.ZONE насчитала около 15 организаций, открывших программы Bug Bounty.
Евгений Волошин, BI.ZONE:
– Активный интерес появился у финтех-компаний, цифровых сервисов, e-commerce и ритейла. Кто-то запустил такие проекты у себя на сайте, другие ждут появления отечественных платформ.
КОНКУРЕНЦИЯ РАСТЕТ
Ведущий инженер CorpSoft24 Михаил Сергеев сообщил RSpectr, что благодаря растущему числу платформ в этом сегменте игроки рынка будут быстрее развиваться.
Михаил Сергеев, CorpSoft24:
– Нормальных аналогов в РФ нет, и все стремятся занять эту нишу, но спрос появится, только если площадка будет ориентирована на международный рынок. Также она должна наработать заказчиков и белых хакеров, а на это уйдут годы и достаточно много вложений в ее продвижение. Никто не будет пользоваться «пустым» сервисом, где мало заказов и исполнителей.
По мнению М.Сергеева, важно дать любому желающему возможность работать на платформе и выполнять свои обязательства перед клиентами.
Михаил Сергеев, CorpSoft24:
– Крупнейшая в мире площадка HackerOne не выплатила белорусскому хакеру 25 тыс. долларов за найденную уязвимость, так как он «из зоны санкций». После таких событий ее репутация была уничтожена, у многих русскоязычных специалистов пропало желание там работать.
Изображение: RSpectr, Adobe Stock