Bug Bounty в России: как дела с белыми русскими хакерами?
Привет Хабр! Меня зовут Петр Уваров, я руководитель направления Bug Bounty в VK. Есть много статей, где багхантеры рассказывают о Bug Bounty и своем опыте в нем. Но в этой статье, я бы хотел проанализировать текущую ситуацию на российском рынке, сравнив её с тем, что было раньше, и поговорить про ситуацию с багхантерами. Некоторые вещи, которые я буду говорить прозвучат как цитаты Капитана Очевидность. Другие могут быть приписаны Генералу Ясенпеню, но тем не менее, про них стоит рассказать.
Что сейчас происходит с рынком Bug Bounty в России?
Итак, в начале 2022 года по понятным причинам российский рынок Bug Bounty претерпел ряд изменений. Сейчас у нас существует 4 основные площадки для сдачи уязвимостей: 3 платформы и одна self-hosted программа. Каждая обладает своими особенностями. Для общего понимания, разница в том, что платформы предоставляют сервис по размещению программ для различных компаний (вендоров), а self‑hosted — это собственная программа одной компании. Итак, про платформы:
Старейшая площадка — это bugbounty.ru, существует с 2021 года и объединяет более 2 тыс российских багхантеров.
Standoff Bug Bounty запустилась в мае 2022 года, и программы VK разместились здесь в числе первых. На площадке часто организуются специальные события для багхантеров, а недавно стало возможным получать отчеты от иностранных хакеров из нескольких стран.
Bi.ZONE Bug Bounty запустилась в августе 2022 года. Эта площадка с большим количеством программ, с прогрессивным рейтингом багхантеров и возможностью раскрытия отчетов.
Программы VK представлены на всех трех российских Bug Bounty платформах, и это сделано специально для того, чтобы охватить как можно больше багхантеров — аудитории хоть и пересекаются на разных площадках, но все же отличаются.
Давайте посмотрим на статистику программ Bug Bounty в России с конца 2022 года.
На январь 2023 года в России было запущено около 55 различных программ Bug Bounty, и за год их количество увеличилось до 90+. Помимо колоссального увеличения программ — почти на 60%, также произошло общерыночное повышение цен, а максимально возможное вознаграждения по итогу выросла в 2 раза. Звучит очень круто, но как обстоят дела с багхантерами на российском рынке?
Цифры всё объяснят
Начну чуть‑чуть издалека. Возможно, вы знаете, что сейчас на российском рынке крайне не хватает ИБ‑специалистов Накопленный дефицит кадров составляет 100 тысяч человек, и дальше будет только расти. 62% опрошенных компаний отмечают дефицит квалифицированных специалистов по информационной безопасности. Еще 32% посетовали на чрезмерную занятость специалистов — это когда времени меньше, чем существующий объем задач.
И причем тут багхантеры? Дело в том, что поиском багов занимаются преимущественно как раз ИБ‑специалисты (ваш К.О.), а учитывая их нехватку, логично предположить, что и багхантеров тоже не хватает.
Чем отличаются багхантеры от специалистов по ИБ? Если говорить про технические навыки, то по сути — ничем. Тут скорее про желания, время, деньги и то, как человек всем этим может распоряжаться. Все начинается с общего интереса к поиску багов, а дальше это либо заменяется полноценной работой в ИБ, либо становится основным способом заработка, либо остается любимым хобби.
Известно много историй, как люди приходили в багхантинг из пентестов, AppSec и даже разработки, и наоборот, как из энтузиастов‑самоучек становились профессионалами в направлениях AppSec, DevSecOps и пр. и не бросали это дело. Я и сам иногда ищу уязвимости, но наскоками — когда есть свободное время. Чаще всего, когда лечу куда‑то. Поэтому, если вдруг в аэропорту вы увидите человека, который сидит за ноутом и шепотом ругается, то это я — привет!
Кстати, у нас в прошлом году вышло интервью с этичными хакерами (так еще называют багхантеров) про то, как они попали в профессию и что их мотивирует искать уязвимости. Они до сих пор участвуют в наших программах VK Bug Bounty — кто‑то, совмещая с основной работой, а кто‑то, уделяя поиску багов все свое время.
Давайте обратимся к статистике. Мы решили проанализировать, сколько активных багхантеров в России было на начало 2023 и 2024 года, чтобы понять, как изменилось их количество. Прежде всего, кто такой активный багхантер? В нашем понимании это тот, кто сдал хотя бы 1 отчет за 4 квартал прошлого года и январь текущего.
Кроме того, если бы мы взяли только наши собственные данные, то это было бы не репрезентативно и не показало бы всю картину, которая есть на рынке. Чтобы обогатить статистику, мы проанализировали количество и активность исследователей, зарегистрированных на российских платформах.
Получилось довольно интересная картина — на начало 23-го года было порядка 250 активных багхантеров, а через год (в январе 2024 года) их количество выросло до 300–330 багхантеров.
То есть прирост составил от 20 до 30%. Хорошо ли это? Несомненно. Но если сравнить с увеличением количества программ, то видно, что прирост багхантеров не такой значительный, и это ведет к проблемам.
Оглянемся назад
Сперва предлагаю посмотреть на статистику программ Bug Bounty, которая была у VK на HackerOne с 2014 по начало 2022 года
Количество отчетов и уникальных хакеров на Hackerone
Можно сделать вывод, что количество отчетов коррелирует с количеством багхантеров. Идем дальше и смотрим на среднее количество отчетов от багхантера в месяц — оно варьируется в диапазоне 1–1,5, увеличиваясь во время запусков каких‑либо программ, повышения стоимости вознаграждений, раскрытия отчетов либо других активностей.
Среднее количество отчетов от багхантеров на Hackerone
А теперь давайте сравним со статистикой на отечественных платформах в 2023 году:
Среднее количество отчетов от багхантеров на отечественных платформах у VK
Если проанализировать среднее количество отчетов от одного багхантера в программах VK, то можно увидеть, что с января по март они находятся в диапазоне от 1,6 до 2,7.
Если смотреть уже на статистику платформ без данных VK, то картина получается похожая:
Среднее количество отчетов от багхантеров на отечественных платформах (без учета VK)
То есть дела обстоят примерно также — в диапазоне от 1,5 до 2,5 отчетов на одного багхантера. Возникает вопрос: почему репортов от багхантеров стало больше?
Одной из возможных причин стало то, что теперь нет сильной конкуренции с международными Bug Bounty программами, что привело к снижению «стоимости» уязвимостей.
Раз вознаграждения стали меньше, то багхантерам, чтобы получать хорошую прибыль, надо находить больше уязвимостей. Отсюда и увеличение среднего количества отчетов.
Но это еще не все. Давайте обратимся к статистике платформ Bug Bounty. Если соотнести статистику прироста программ и багхантеров, то можно заметить, что количество исследователей на платформах снижается.
Среднее количество багхантеров в одной программе на отечественных платформах (без учета VK)
А вспоминая корреляцию с количество отчетов, получается, что раз снижается среднее количество багхантеров в программах…
Среднее количество отчетов в одной программе на отечественных платформах (без учета VK)
… то и снижается среднее количество отчетов в программе на площадках.
То есть среднее количество отчетов одной программы снижается из-за возрастающего количества программ и слаборастущего количества активных багхантеров.
С одной стороны, для багхантеров хорошо, когда есть большой выбор программ, это открывает множество возможностей. Для программ же все не так радужно, потому что среди них начинается конкуренция за багхантеров.
Где брать багхантеров?
Лично я вижу выход в том, чтобы активно воспитывать новых багхантеров — привлекать старшеклассников и студентов, демонстрировать юным талантам, как правильно заходить на программы, чтобы первый опыт не стал последним. Я неоднократно читал лекции студентам и школьникам, рассказывая про карьерный путь в ИБ и про программы Bug Bounty как классную возможность попробовать себя в роли этичного хакера, получить благодаря этому новые скиллы и начать на этом зарабатывать.
Также стоит смотреть на молодых специалистов по ИБ, особенно в направлениях AppSec и пентест, потому что по профилю ИБ они максимально близки именно к поиску уязвимостей. Думаю, что и среди состоявшихся специалистов можно найти тех, кто захочет на досуге поискать баги, но для этого условия программ должны стать для них максимально интересными и комфортными. Кроме того, необходимо поддерживать качественную коммуникацию в программах багбаунти, чтобы хакеры приходили и продолжали искать уязвимости.
Чтобы было понятно, как привлечь хакеров, можно обратится к исследованию HackerOne про причины выбора и ухода с той или иной программы.
По каким критериям багхантеры выбирают программы?
В абсолютном топе — вознаграждение за уязвимости, и это логично.
А вот среди причин ухода — много пунктов, связанных с неправильной работой с багхантерами. Заметьте, что именно коммуникация с исследователями в итоге выходит на первый план — «медленные ответы от триажеров» и «плохая коммуникация» опережает «низкую стоимость» и «скорость выплат». Поэтому непосредственное взаимодействие с ресерчерами является очень важной задачей. Иначе программа Bug Bounty как инструмент ИБ работать не будет.
Из-за чего багхантеры уходят из программ?
Но что делать, если бюджет ограничен, а привлечь багхантеров хочется? Тут на помощь могут прийти различные материальные вознаграждения — поощрение крутым креативным мерчом за достижения в программе может быть очень ценно. Кстати, уникальный мерч — это как раз одна из наших фишек в Bounty pass, но об этом, пожалуй, в другой раз.
В общем
Выводы от Кэпа
Проблема нехватки багхантеров будет оставаться актуальной, пока не будут созданы условия и возможности для их обучения или привлечения. Хорошим вариантом будет приглашение иностранных исследователей (и результаты уже есть), но также не стоит упускать из виду и развитие собственных молодых (и не очень) специалистов.
Можно сказать, что мы находимся в уникальном моменте: из‑за роста рынка Bug Bounty и небольшого прироста багхантеров начинается конкуренция за них не только между платформами, но и между компаниями, у которых уже запущены программы Bug Bounty. Количество новых компаний будет и дальше расти, так же как и количество багхантеров. Жаль только, что темпы роста будут различаться.
