Российский рынок Bug Bounty переживает интересные времена. После ухода таких гигантов, как HackerOne, отечественные площадки начали развиваться гораздо активнее. Интерес к локальным платформам растет и со стороны компаний, и со стороны исследователей. Всё больше багхантеров начинают присматриваться: что вообще происходит на рынке? Какие платформы на слуху? И почему Bug Bounty вдруг стал интересен не только крупным корпорациям, но и среднему бизнесу?

На связи Алексей Гришин, директор по развитию сервисов кибербезопасности в Бастионе. В этой статье — честный разбор того, как устроен российский рынок Bug Bounty с точки зрения исследователя. Я расскажу, какие нюансы стоит учитывать при работе с отечественными платформами, чем наши площадки отличаются от зарубежных аналогов, и каковы перспективы развития этого направления в России. 

Готовы погрузиться в мир белого хакинга по-русски? Тогда начнем!

Почему российские компании стали чаще обращать внимание на Bug Bounty? 

Традиционно малый и средний бизнес практически полностью полагался на штатных безопасников, но квалифицированные специалисты становятся все дороже. Теперь руководство компаний ищет способы усилить безопасность с учетом сокращающегося бюджета и растущих потребностей. Бизнес все больше интересуется возможностью привлечь внешних экспертов через Bug Bounty вместо расширения внутренних команд и в дополнение к периодическим профессиональным пентестам. Багхантеры с разным опытом дополняют работу штатных специалистов.

Крупным организациям сложнее защищаться из-за масштаба и сложности инфраструктуры. Чем больше IT-систем, тем труднее найти специалистов с нужными навыками. Поди разыщи белого хакера, который специализируется на протоколах межбанковского обмена информацией. А даже если его найти, держать на постоянной основе такого эксперта в штате может быть невыгодно экономически. Bug Bounty-программы позволяют большим компаниям привлечь разных экспертов под конкретные задачи. 

Как уход зарубежных платформ повлиял на отечественный рынок?

Это может показаться странным, но уход HackerOne с российского рынка отчасти даже стимулировал интерес местных компаний к Bug Bounty. 

Несколько лет назад ситуация выглядела так: на международные платформы заходили преимущественно крупные игроки, такие как Mail.ru (ныне VK). В то время как другие корпорации, например Яндекс, предпочитали открывать программы Bug Bounty своими силами: вкладывали ресурсы в развитие своей «Охоты за ошибками», привлечение багхантеров и PR. Средний и малый бизнес практически не интересовался этой темой — отпугивала сложность и внушительные долларовые бюджеты.

Теперь, когда HackerOne больше не доминирует на рынке России, на смену иностранным пришли конкурирующие между собой локальные платформы. 

Российский бизнес проявляет к локальным площадкам больше интереса, так они предлагают более выгодные условия, чем зарубежные — банально, услуга стала более доступна финансово. Кроме того, они лучше понимают особенности российской бизнес-культуры и законодательства. Например, персональные данные нельзя передавать за границу, взаиморасчеты возможны только внутри страны и только в рублях и т. д. Многие компании начали избегать сотрудничества с западными платформами, опасаясь, что это может навлечь лишние проверки.

Какие платформы пользуются спросом? 

На сегодняшний день на российском рынке три игрока — BI.ZONE Bug Bounty, Standoff Bug Bounty и Bugbounty.ru. Все они в той или иной форме участвуют в развитии отечественного коммьюнити. Для новичков и опытных исследователей регулярно организуются тренировочные полигоны, CTF-турниры и другие мероприятия, помогающие оттачивать навыки в реальных условиях.

У Standoff Bug Bounty есть собственный полигон для тренировки багхантеров. Это безопасная среда, где специалисты разного уровня — от новичков до профессионалов — совершенствуют навыки во время киберучений. Регулярно проводятся закрытые мероприятия Standoff Hacks.

BI.ZONE создает образовательные программы и ресурсы. Компания ежегодно собирает своих лучших исследователей на BUGS ZONE, организует CTF-соревнования — турниры, где участники решают задачи по кибербезопасности на время. 

На Bugbounty.ru, первой российской платформе, запущенной еще до ухода зарубежных аналогов, акцент сделан на балансе между коммерческими и социальными проектами. Особенность площадки — поддержка публичных социально значимых проектов, где поиск уязвимости носит этический характер.

Важное отличие российских платформ от западных — это характер активности пользователей. Несмотря на большое количество зарегистрированных участников, активных багхантеров, регулярно ищущих и сообщающих об уязвимостях, у нас значительно меньше. 

На начало 2024 года на российских платформах регулярно присылали отчеты порядка 300–330 багхантеров. Остальные в основном обучаются или участвуют в CTF-соревнованиях.

На западных платформах ситуация несколько иная — здесь наблюдается более высокая вовлеченность пользователей в коммерческие проекты. Это объясняется высокой мотивацией за счет существенных вознаграждений и большого количества заказчиков.

Какие факторы стоит учитывать багхантеру при выборе платформы?

Лучше всего критерии выбора описывают сами исследователи ИБ. Чтобы узнать, как хакер выбирает платформу, HackerOne опросили опытных багхантеров и получили следующие результаты:

Вознаграждения на зарубежных Bug Bounty-платформах в среднем выше в 2–6 раз по сравнению с российскими. Но и у отечественных платформ есть свои сильные стороны. Один из ключевых факторов для исследователей — удобство работы, и здесь наши площадки вполне могут потягаться с зарубежными.

Первый важный критерий — удобство оформления и сдачи баг-репортов. Для багхантера критично, чтобы процесс сдачи отчета был простым и интуитивно понятным. Чем меньше нужно вникать в интерфейс, тем больше времени остается на поиск багов. В этом плане выигрывают площадки, позволяющие создать исчерпывающее описание уязвимости в одном окне.

Другой значимый фактор — наличие уникальных программ, особенно приватных, которые недоступны на других площадках. Эксклюзивные закрытые программы дают хорошую возможность прокачать навыки и получить опыт, которого нет у других специалистов. Кроме того, новые сервисы всегда перспективнее в плане количества потенциальных уязвимостей. Таких программ на российских платформах в избытке.

Также важно учитывать качество обратной связи после отправки отчета. Платформа должна не только обеспечивать удобные инструменты для обсуждения деталей уязвимости, но и брать на себя роль посредника в спорных ситуациях, сохраняя доверие обеих сторон. 

Сюда же относится и работа службы поддержки: от качества арбитража и скорости реакции напрямую зависит репутация платформы. Если возникают задержки с выплатами или спорные кейсы, важно, чтобы платформа действовала прозрачно, компетентно и без промедлений.

Подводя итог, я бы сказал, что ориентироваться надо на удобство платформы и количество программ, а также на размер сообщества вокруг платформы. 

Какие трудности возникают при взаимодействии с отечественными платформами?

Несмотря на рост интереса к Bug Bounty в России, рынок всё еще формируется. Многие компании запускают Bug Bounty впервые и делают это в духе «поехали — а там разберемся». Иногда получается. Иногда — не очень.

Самая частая боль — медленные процессы. Отчеты могут обрабатываться с задержками, а выплаты — приходить не сразу. Западные вендоры уже автоматизировали и стандартизировали операции оценки отчетов, и российским вендорам здесь есть чему поучиться.

Еще одна распространенная проблема — бюджет. Некоторые компании попросту не закладывают нужного объёма средств или не учитывают, как быстро могут исчерпаться фонды. Результат предсказуем: суммы вознаграждений занижаются, исследователи — закономерно расстраиваются. 

Добавим сюда еще и «ранние запуски»: нередко программы стартуют, когда продукт еще сырой, а внутренняя команда не готова к шквалу отчетов. По итогу разработчики оказываются завалены десятками баг-репортов, копятся дубликаты, выплаты снова задерживаются. В таких условиях энтузиазм быстро испаряется.

Понятно, что всё это — «болезни роста». И компании, и платформы учатся через фидбэк от багхантеров. Перечисленные проблемы — не признак несостоятельности, а обычный период взросления. Со временем компании научатся более эффективно управлять своими программами и бюджетами, а платформы разработают более четкие регламенты. 

Как обстоят дела с вознаграждениями? Почему на российских площадках платят меньше, чем на западных? 

Вообще, когда речь заходит о размере вознаграждений, суммы варьируются в зависимости от региона и платформы. На российском рынке Bug Bounty выплаты остаются относительно стабильными даже после перехода на расчеты в рублях, вызванного уходом многих международных сервисов. Однако средний уровень выплат в России действительно заметно уступает западным аналогам. Даже небольшие иностранные компании часто предлагают вознаграждения, сопоставимые с тем, что на отечественном рынке платят крупные банки или IT-гиганты.

• Во-первых, доходы западных компаний и их бюджеты на обеспечение безопасности зачастую значительно выше, чем у российских. 

• Во-вторых, количество Bug Bounty-программ на международном рынке значительно больше, и конкуренция за внимание багхантеров тоже высокая. 

• В-третьих, на международном рынке высокие выплаты иногда — часть имиджа компании, такой своеобразный PR-инструмент.

• В-четвертых, глобальные платформы поддерживают анонимную выплату вознаграждений в криптовалюте, не облагают доход налогом, и в результате итоговый заработок багхантера получается выше.

В России конкуренция между Bug Bounty-программами ниже, чем на международных площадках, хотя и здесь появляются интересные способы привлечь внимание багхантеров. Например, некоторые компании временно повышают выплаты в определенные сезоны или вводят системы бонусов, как это делает ВК. Если отслеживать подобные акции, то можно заметно повысить свой доход.

На какие еще финансовые аспекты стоит обратить внимание багхантеру?

На удобство выплаты вознаграждений и взаимодействие с налоговыми органами. В России багхантеры обязаны платить налоги с полученного вознаграждения, и некоторые платформы, такие как BI.ZONE и Standoff Bug Bounty, предлагают разные интегрированные решения для уплаты налогов. Эти платформы, например, позволяют автоматически учитывать налоговые отчисления и облегчают подписание договоров, что ускоряет получение средств.

Как новичок может начать работать с этими площадками? 

Начать охоту за багами может кто угодно — от студента, изучающего кибербезопасность, до опытного ИТ-специалиста, решившего расширить свои навыки. Для старта не требуется специальное образование или сертификаты, достаточно базовых знаний в области веб-технологий, программирования и понимания принципов работы информационных систем.

Для новичка в Bug Bounty ключевой навык — грамотное оформление отчетов об уязвимостях. Качественно оформленный баг-репорт может ускорить рассмотрение и повысить размер вознаграждения.

Постоянное обучение и расширение технических знаний — ключ к успеху в сфере Bug Bounty. Это помогает не только находить более сложные и ценные уязвимости, но и составлять более информативные и полезные отчеты для компаний.

Администрация площадок это прекрасно понимает и сосредоточила усилия на обучении и развитии навыков багхантеров. У Standoff Bug Bounty есть собственный полигон — безопасная среда, где специалисты разного уровня — от новичков до профессионалов — оттачивают навыки во время киберучений. Здесь же проводятся соревнования по кибербезопасности. BI.ZONE создает образовательные программы и ресурсы. Компания регулярно организует CTF-соревнования — турниры, где участники решают задачи по кибербезопасности на время.

Некоторые программы Bug Bounty имеют юридические ограничения. Особенно это касается государственных компаний. Для участия в таких программах необходимо соответствовать ряду требований:

1. Иметь статус индивидуального предпринимателя (ИП) или самозанятого.

2. Обладать российским гражданством.

3. Проживать на территории России.

Эти требования обусловлены юридическими и организационными аспектами работы с чувствительными данными и системами. Для багхантеров это означает необходимость оформления соответствующих документов перед участием в некоторых программах. Однако эти ограничения касаются лишь части рынка Bug Bounty, и многие программы остаются доступными для широкого круга исследователей.

Каковы перспективы российских Bug Bounty-платформ? 

Они многообещающие. Усиление локальных инициатив и ограничений, таких как санкции и требования к хранению данных, создало трудности для международных платформ. В то же время отечественные площадки начали активно развиваться, сосредоточившись на формировании сообщества и обучении новых специалистов. Однако для полной оценки перспектив необходим комплексный подход. Важно учитывать не только внутренние тенденции рынка, но и влияние глобальных трендов. Среди них — локализация интернета и изменения в моделях взаимодействия между исследователями безопасности, платформами и компаниями.

Сейчас российские площадки Bug Bounty делают первые шаги по выходу на иностранные рынки исследователей. Все чаще появляются отчеты на английском языке от исследователей не из РФ. Такое поведение говорит о том, что изолированная рыночная среда дала возможность отечественным компаниям создать действительно стоящий продукт, достойный внимания, пусть пока и молодой.

У российских площадок для Bug Bounty точно есть потенциал для роста. Можно с уверенностью сказать, что число программ и объемы выплат на российских Bug Bounty-платформах будут увеличиваться параллельно тому, как будет расти уровень организации и профессионализм багхантеров.

Как человек из отрасли я вижу в данной истории хороший потенциал и могу с уверенностью сказать, что холодный душ для Bug Bounty трехлетней давности и внутренняя конкуренция площадок позволили органически вырасти платформам в зрелые репутационно значимые для ИБ-сообщества России проекты. 

PURP — телеграм-канал, где кибербезопасность раскрывается с обеих сторон баррикад

t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона