Positive Techologies: Госсектор и КИИ станут драйверами рынка bug bounty

Работник в офисе. Архивное фото

МОСКВА, 26 окт — РИА Новости. Отечественный рынок bug bounty (поиск уязвимостей в ПО, приложениях и ИТ инфраструктуре за вознаграждение) динамично формируется, основными драйверами его роста могут стать госсектор и субъекты критической информационной инфраструктуры (КИИ), уверены эксперты в области кибербезопасности — представители компании Positive Technologies и сайта TAdviser.

На пресс-конференции в среду, прошедшей на площадке МИА «Россия сегодня», они представили результаты первого в России масштабного исследования рынка bug bounty. Обзор «Поиск уязвимостей за вознаграждение – реальная обстановка на мировом и российском рынке bug bounty» стал результатом анализа деятельности 27 наиболее крупных и активных мировых и российских платформ bug bounty.

Positive Techologies: Госсектор и КИИ станут драйверами рынка bug bounty

Как отмечается в обзоре, в 2020 году Россия вошла в тройку стран с самым высоким уровнем дохода багхантеров. «Не менее 40 российских компаний запускали открытые программы bug bounty. В стране созданы три основные платформы, где заказчики могут нанять «белого хакера»: Bugbounty.ru, Standoff 365 Bug Bounty и BI.ZONE Bug Bounty», — говорится в исследовании.

Российские компании готовы платить багхантерам от нескольких десятков до сотен тысяч рублей за найденную уязвимость, что сопоставимо с выплатами мировых платформ. В отдельных случаях размеры вознаграждения достигают миллиона рублей и более.

Компании, применяющие эту краудсорсинговую технологию, получают целый ряд преимуществ. На платформе Standoff 365, к примеру, исследователи — «белые хакеры» могут не только искать уязвимости в инфраструктурах компаний, но и пытаться реализовать недопустимые события на основе найденных брешей. «В этом случае компания получает подробный отчет об эксплуатации ряда уязвимостей, которые привели к реализации недопустимого события, и может сразу приступить к их исправлению. Исследователю же выплачивается значительно большее вознаграждение, чем за обычный поиск брешей в защите», — отметил директор продукта Standoff 365 Bug Bounty Ярослав Бабин.

За пять месяцев работы платформы Standoff 365 Bug Bounty багхантеры прислали 550 отчетов, найдены и исправлены более 150 уязвимостей, сообщил он.

Драйверами дальнейшего роста рынка bug bounty могут стать госсектор и субъекты критической информационной инфраструктуры (КИИ), считают эксперты. «На развитых рынках госкомпании активно пользуются этими программами. Можно было бы расширяться за счет госкомпаний и субъектов КИИ», — сказала заместитель главного редактора TAdviser Наталья Лаврентьева.

Дополнительным стимулом для рынка, отмечается в исследовании, может стать устранение юридических барьеров, на которое сейчас направлена работа регуляторов — Минцифры и ФСТЭК.

Согласно данным крупнейшей платформы HackerOne, приведенным на пресс-конференции, по итогам 2021 года количество программ bug bounty увеличилось на 34%, выявлено на 21% больше уязвимостей, чем годом ранее. К 2027 году прогнозируется рост этого рынка до 5,5 миллиардов долларов.

Positive Techologies: Госсектор и КИИ станут драйверами рынка bug bounty

От Admin