Привет Хабр! Меня зовут Петр Уваров, я руководитель направления Bug Bounty в VK. Есть много статей, где багхантеры рассказывают о Bug Bounty и своем опыте в нем. Но в этой статье, я бы хотел проанализировать текущую ситуацию на российском рынке, сравнив её с тем, что было раньше, и поговорить про ситуацию с багхантерами. Некоторые вещи, которые я буду говорить прозвучат как цитаты Капитана Очевидность. Другие могут быть приписаны Генералу Ясенпеню, но тем не менее, про них стоит рассказать.
Что сейчас происходит с рынком Bug Bounty в России?
Итак, в начале 2022 года по понятным причинам российский рынок Bug Bounty претерпел ряд изменений. Сейчас у нас существует 4 основные площадки для сдачи уязвимостей: 3 платформы и одна self-hosted программа. Каждая обладает своими особенностями. Для общего понимания, разница в том, что платформы предоставляют сервис по размещению программ для различных компаний (вендоров), а self‑hosted — это собственная программа одной компании. Итак, про платформы:
Старейшая площадка — это bugbounty.ru, существует с 2021 года и объединяет более 5 тысяч российских багхантеров.
Standoff Bug Bounty запустилась в мае 2022 года, и программы VK разместились здесь в числе первых. На площадке часто организуются специальные события для багхантеров, а недавно стало возможным получать отчеты от иностранных хакеров из нескольких стран.
BI.ZONE Bug Bounty запустилась в августе 2022 года. Эта площадка с большим количеством программ, с прогрессивным рейтингом багхантеров и возможностью раскрытия отчетов.
Программы VK представлены на всех трех российских Bug Bounty платформах, и это сделано специально для того, чтобы охватить как можно больше багхантеров — аудитории хоть и пересекаются на разных площадках, но все же отличаются.
Давайте посмотрим на статистику программ Bug Bounty в России с конца 2022 года.
На январь 2023 года в России было запущено около 55 различных программ Bug Bounty, и за год их количество увеличилось до 90+. Помимо колоссального увеличения программ — почти на 60%, также произошло общерыночное повышение цен, а максимально возможное вознаграждение по итогу выросло в 2 раза. Звучит очень круто, но как обстоят дела с багхантерами на российском рынке?
Цифры всё объяснят
Начну чуть‑чуть издалека. Возможно, вы знаете, что сейчас на российском рынке крайне не хватает ИБ‑специалистов Накопленный дефицит кадров составляет 100 тысяч человек, и дальше будет только расти. 62 % опрошенных компаний отмечают дефицит квалифицированных специалистов по информационной безопасности. Еще 32 % посетовали на чрезмерную занятость специалистов — это когда времени меньше, чем существующий объем задач.
И причем тут багхантеры? Дело в том, что поиском багов занимаются преимущественно как раз ИБ‑специалисты (ваш К.О.), а учитывая их нехватку, логично предположить, что и багхантеров тоже не хватает.
Чем отличаются багхантеры от специалистов по ИБ? Если говорить про технические навыки, то по сути — ничем. Тут скорее про желания, время, деньги и то, как человек всем этим может распоряжаться. Все начинается с общего интереса к поиску багов, а дальше это либо заменяется полноценной работой в ИБ, либо становится основным способом заработка, либо остается любимым хобби.
Известно много историй, как люди приходили в багхантинг из пентестов, AppSec и даже разработки, и наоборот, как из энтузиастов‑самоучек становились профессионалами в направлениях AppSec, DevSecOps и пр. и не бросали это дело. Я и сам иногда ищу уязвимости, но наскоками — когда есть свободное время. Чаще всего, когда лечу куда‑то. Поэтому, если вдруг в аэропорту вы увидите человека, который сидит за ноутом и шепотом ругается, то это я — привет!
Кстати, у нас в прошлом году вышло интервью с этичными хакерами (так еще называют багхантеров) про то, как они попали в профессию и что их мотивирует искать уязвимости. Они до сих пор участвуют в наших программах VK Bug Bounty — кто‑то, совмещая с основной работой, а кто‑то, уделяя поиску багов все свое время.
Давайте обратимся к статистике. Мы решили проанализировать, сколько активных багхантеров в России было на начало 2023 и 2024 года, чтобы понять, как изменилось их количество. Прежде всего, кто такой активный багхантер? В нашем понимании это тот, кто сдал хотя бы 1 отчет за 4 квартал прошлого года и январь текущего.
Кроме того, если бы мы взяли только наши собственные данные, то это было бы не репрезентативно и не показало бы всю картину, которая есть на рынке. Чтобы обогатить статистику, мы проанализировали количество и активность исследователей, зарегистрированных на российских платформах.
Получилось довольно интересная картина — на начало 23-го года было порядка 250 активных багхантеров, а через год (в январе 2024 года) их количество выросло до 300–330 багхантеров.
То есть прирост составил от 20 до 30 %. Хорошо ли это? Несомненно. Но если сравнить с увеличением количества программ, то видно, что прирост багхантеров не такой значительный, и это ведет к проблемам.
Оглянемся назад
Сперва предлагаю посмотреть на статистику программ Bug Bounty, которая была у VK на HackerOne с 2014 по начало 2022 года
Можно сделать вывод, что количество отчетов коррелирует с количеством багхантеров. Идем дальше и смотрим на среднее количество отчетов от багхантера в месяц — оно варьируется в диапазоне 1–1,5, увеличиваясь во время запусков каких‑либо программ, повышения стоимости вознаграждений, раскрытия отчетов либо других активностей.
А теперь давайте сравним со статистикой на отечественных платформах в 2023 году:
Если проанализировать среднее количество отчетов от одного багхантера в программах VK, то можно увидеть, что с января по март они находятся в диапазоне от 1,6 до 2,7.
Если смотреть уже на статистику платформ без данных VK, то картина получается похожая:
То есть дела обстоят примерно также — в диапазоне от 1,5 до 2,5 отчетов на одного багхантера. Возникает вопрос: почему репортов от багхантеров стало больше?
Одной из возможных причин стало то, что теперь нет сильной конкуренции с международными Bug Bounty программами, что привело к снижению «стоимости» уязвимостей.
Раз вознаграждения стали меньше, то багхантерам, чтобы получать хорошую прибыль, надо находить больше уязвимостей. Отсюда и увеличение среднего количества отчетов.
Но это еще не все. Давайте обратимся к статистике платформ Bug Bounty. Если соотнести статистику прироста программ и багхантеров, то можно заметить, что количество исследователей на платформах снижается.
А вспоминая корреляцию с количество отчетов, получается, что раз снижается среднее количество багхантеров в программах…
… то и снижается среднее количество отчетов в программе на площадках.
То есть среднее количество отчетов одной программы снижается из-за возрастающего количества программ и слаборастущего количества активных багхантеров.
С одной стороны, для багхантеров хорошо, когда есть большой выбор программ, это открывает множество возможностей. Для программ же все не так радужно, потому что среди них начинается конкуренция за багхантеров.
Где брать багхантеров?
Лично я вижу выход в том, чтобы активно воспитывать новых багхантеров — привлекать старшеклассников и студентов, демонстрировать юным талантам, как правильно заходить на программы, чтобы первый опыт не стал последним. Я неоднократно читал лекции студентам и школьникам, рассказывая про карьерный путь в ИБ и про программы Bug Bounty как классную возможность попробовать себя в роли этичного хакера, получить благодаря этому новые скиллы и начать на этом зарабатывать.
Также стоит смотреть на молодых специалистов по ИБ, особенно в направлениях AppSec и пентест, потому что по профилю ИБ они максимально близки именно к поиску уязвимостей. Думаю, что и среди состоявшихся специалистов можно найти тех, кто захочет на досуге поискать баги, но для этого условия программ должны стать для них максимально интересными и комфортными. Кроме того, необходимо поддерживать качественную коммуникацию в программах багбаунти, чтобы хакеры приходили и продолжали искать уязвимости.
Чтобы было понятно, как привлечь хакеров, можно обратится к исследованию HackerOne про причины выбора и ухода с той или иной программы.
В абсолютном топе – вознаграждение за уязвимости, и это логично.
А вот среди причин ухода — много пунктов, связанных с неправильной работой с багхантерами. Заметьте, что именно коммуникация с исследователями в итоге выходит на первый план — «медленные ответы от триажеров» и «плохая коммуникация» опережает «низкую стоимость» и «скорость выплат». Поэтому непосредственное взаимодействие с ресерчерами является очень важной задачей. Иначе программа Bug Bounty как инструмент ИБ работать не будет.
Но что делать, если бюджет ограничен, а привлечь багхантеров хочется? Тут на помощь могут прийти различные материальные вознаграждения — поощрение крутым креативным мерчом за достижения в программе может быть очень ценно. Кстати, уникальный мерч — это как раз одна из наших фишек в Bounty pass, но об этом, пожалуй, в другой раз.
В общем
Проблема нехватки багхантеров будет оставаться актуальной, пока не будут созданы условия и возможности для их обучения или привлечения. Хорошим вариантом будет приглашение иностранных исследователей (и результаты уже есть), но также не стоит упускать из виду и развитие собственных молодых (и не очень) специалистов.
Можно сказать, что мы находимся в уникальном моменте: из‑за роста рынка Bug Bounty и небольшого прироста багхантеров начинается конкуренция за них не только между платформами, но и между компаниями, у которых уже запущены программы Bug Bounty. Количество новых компаний будет и дальше расти, так же как и количество багхантеров. Жаль только, что темпы роста будут различаться.
Комментарии (8)
pyrk2142
24.07.2024 12:05+2И есть отдельная интересная ситуация, связанная с маркетингом многих платформ (тут я бы сказал, что зарубежные в этом плане находятся в гораздо более плохом состоянии, чем отечественные):
Маркетологи, которые приходят к клиентам, рассказывают, что Bug Bounty - это прямо эталонный способ обеспечить безопасность, толпа людей проверит все возможные уязвимости, ведь у всех своя методика, а платить надо только за подтвержденные, да еще и столько, сколько сами решите и только за интересные цели (а в более приватных презентациях рассказывается, что если не попрет или будет очень много уязвимостей, то программу можно быстро прикрыть и не платить слишком много)
А маркетологи, которые приходят к исследователям, рассказывают, что выплаты за уязвимости очень большие, программ новых много, а если найдете что-то не в списке целей программы, то все равно можно отправлять, за хорошее заплатят
И периодически сталкиваются люди, которым рассказывали, что им будут платить почти за все, с людьми, которым рассказывали, что можно почти ни за что не платить
re-alter
24.07.2024 12:05И периодически сталкиваются люди, которым рассказывали, что им будут платить почти за все, с людьми, которым рассказывали, что можно почти ни за что не платить
Звучит так, будто базово эти две группы людей хотят друг друга нагреть, просто разными способами: первые хотят получить всё, не заплатив ничего; вторые хотят за халтуру грести бабло лопатой. В итоге потери несут обе стороны, что становится очевидно в том числе и из этой статьи.
pyrk2142
Bug Bounty - это прямо почти самая моя любимая тема для споров в ИБ
Начну с конкретного и перейду к абстрактному:
> Помимо колоссального увеличения программ — почти на 60%, также произошло общерыночное повышение цен, а максимально возможное вознаграждения по итогу выросла в 2 раза.
Так получилось, что я принимал участие в одной из программ, которая была представлена сначала на HackerOne, а потом на отечественной платформе. И получилось так, что максимальное вознаграждение выросло настолько, что сейчас максимальная выплата в рамках этого проекта примерно в 4 раза меньше, чем я получил от него же на старой платформе (не максимальную), а выплата за ту категорию, за которую я получил вознаграждение ранее - в 8 раз меньше. Действительно знатное и мотивирующее повышение
Поэтому надо оценивать картину целиком, вознаграждения на отдельных проектах за отдельные категории уязвимостей действительно могли вырасти, но часто общая картина гораздо менее радужная
В том числе и поэтому многие люди "держат" те уязвимости, которые найти непросто. Условно, зачем сдавать что-то за 50 тысяч, когда велика вероятность, что расценки на уязвимости вырастут (понятно, что есть элемент риска, что кто-то закроет ее, но тут вопрос опыта и оценок)
И абстрактная проблема, связанная с очень многими программами от разных компаний: очень часто программы сосредотачиваются именно на технических уязвимостях, не принимая косяки или проблемы в процессах . Иногда доходит до смешного:
Нашел корявую XSS на не очень важном сервисе - держи деньги. Нашел способ вскрывать практически любой аккаунт из-за неправильного процесса - держите заслуженный 0, технической проблемы на нашей стороне нет, Bug Bounty неприменимо
Нашел IDOR на сервисе с новостями - держи деньги. Нашел дурачка-менеджера, который выгрузил в свой открытый ТГ-канал с заметками архив с базой всех клиентов компании - держи 0, технической проблемы нет
И местами получается комичная ситуация, что если хочешь зарабатывать именно на программах, тогда есть смысл прикладывать усилия к поиску технических проблем, когда рядом есть очевидно более простые и опасные нетехнические, которые проще найти и эксплуатировать. Довольно сложно сказать злоумышленнику, что у компании есть какие-то Bug Bounty Rules and target policies, в которых указано, что он должен ломать только определенные сервисы и не использовать украденные пароли, которые у него есть в огромном количестве
Поэтому я очень ценю программы, в которых оценивается именно влияние находки, а не формальные признаки, и надеюсь, что таких станет больше
s3n_q Автор
Я сравнивал именно максимальную стоимость 23 и 24 года. О том, что было раньше на hackerone не стоит говорить - цены были больше. Мы, со своей стороны, прикладываем усилия, чтобы повышать не только максимально возможные выплаты, но и в принципе стоимости в программах. Вот к примеру, недавно увеличили стоимость вознаграждений во всех наших программах. Если сложить это с накопительным бонусом от Bounty pass, то получается прям вкусно.
А если говорить про принцип вознаграждения, то тут я согласен - багбаунти стоит рассматривать именно как инструмент для возможности отслеживания проблем во внутренних процессах ИБ. И по факту не важно какого рода проблема: связана она с внедрением CSP или с обучением персонала основам культуры ИБ - платить надо в зависимости от угрозы и риска которую несет уязвимость
ris58h
Написано в служебной инструкции, что какие-то данные нельзя разглашать, но вам кто-то из сотрудников их рассказал за кружкой пива - баг-баунти выплачивать теперь? Как такой "баг" воспроизводить и фиксить?
vikarti
Больше интересно :) - политики скажем так работы приводят к тому что:
пользователи стремятся использовать максимально простые но соответствующие требования пароли (Ytrewq123$456 соответствует) - а потому что 3 разных пароля, надо менять каждые N месяцев, в некоторых местах можно ввести только с клавиатуры
терминальная сессия блокируется по таймауту - можно либо ввести пароль либо закрыть клиент и тут же подключится (ладно - это не угроза безопасности хоть)
пароли в файликах на рабочем столе - это прошлый век. Теперь пароли в файликах в профиле пользователя и в переменных окружения. А потому чт доступ к репозиторию артефактов - только по паролю и логину. Хотя app-specific пароли - это сложно.
при определенном количестве неверных вводов пароля - блокировка учетки и пиши заявку/звони. Ах да - см выше про истечения срока действия и ту мелкую деталь что некоторые инструменты разработки - игнорят 401-й код ответа и просто долбят еще раз. Сделать кнопку для разблокировки этой учетки если ты все равно можешь зайти в терминальную сессию (там другая учетка) - ой это сложно.
Это при том что вся работа идет из под VPN для запуска которого нужен токен (и там конечно же свой пароль и сертификат, обновление этого сертификата идет каждый год новым способом, последний раз пришлось в один из офисов ехать, спросить при выдаче токена нового паспорт (а не попросить записать данные) - ой а зачем?)
pyrk2142
Тут есть технический и организационный момент
Если сотрудник реально рассказал что-то за пивом, то это одна история. Но чаще - это различные файлы, доступные снаружи. И тут уже много вопросов:
Как файл прошёл мимо DLP, плохо работают фильтры? Или его выгрузили по другому каналу?
Используется неизвестный внешний сервис для обработки данных? А как туда данные завели, почему средства защиты не обнаружили обращения туда и передачу данных
В утёкших файлах не было паролей от других систем? А их точно все сменили?
А почему в рабочих чатах куча левых людей, которые раньше были связаны с компанией? Почему при этом там лежат выгрузки по клиентам?
Почему сотрудник использует для заметок с паролями открытый ТГ-канал?
И это все - примеры находок за последнее время. И каждой из проблем вполне себе соответсвует некий технический или организационный «баг», который можно исправлять, чтобы такие ситуации происходили существенно реже
А организационный вопрос в том, что одна из задач Bug Bounty - создать альтернативу продаже уязвимостей или способов нанесения ущерба компании на чёрный рынок. Поэтому, если руководитель по безопасности готов выйти к руководству компании или на публику и сказать, что он осознанно принял решение не платить за условные утёкшие пароли, так как это не технические уязвимости, в результате этот пароль нашли и украли деньги/данные/зашифровали инфраструктуру, то ОК, подход одинаковый, хотя и неоднозначный. Человек готов сказать, что принял на себя риски, и они внезапно сработали