Bug bounty: сколько зарабатывают «хорошие» хакеры в России и мире

Bug bounty: сколько зарабатывают «хорошие» хакеры в России и мире
Акценты

Что такое программы и платформы bug bounty, в каких отраслях экономики они более всего востребованы, сколько стоят услуги этичных, или «белых», хакеров и каковы перспективы развития этих услуг, читайте в материале РИАМО.

Три российские платформы для «белых» хакеров

Эксперты Positive Technologies выпустили первое в России масштабное исследование рынка bug bounty. Обзор называется «Поиск уязвимостей за вознаграждение – реальная обстановка на мировом и российском рынке bug bounty».

Программа bug bounty (вознаграждение за ошибку – прим. ред.) представляет собой процесс, в рамках которого привлекается множество внештатных исследователей кибербезопасности для поиска уязвимостей в ПО, веб-приложениях и IT-инфраструктуре организаций. В таких программах вознаграждение выплачивается только за обнаруженную уязвимость, а не за время, которое было затрачено на ее поиск, объясняют авторы исследования.

Для помощи в проведении программ bug bounty создаются специальные платформы bug bounty. В настоящее время в России созданы три основные платформы, где заказчики могут нанять «белого» хакера: Bugbounty.ru, Standoff 365 Bug Bounty и BI.ZONE Bug Bounty.

Программы платформ bug bounty могут быть открытыми и закрытыми. Первые предназначены для всех участников сообщества, независимо от уровня подготовки; вторые – только для определенного круга исследователей по приглашению компании-клиента.

В 2020 году Россия вошла в тройку стран с самым высоким уровнем дохода багхантеров, обогнав Китай и Германию. В разное время порядка 40 компаний запускали открытые программы bug bounty.

Авторы исследования отмечают, что наиболее востребованными услуги платформ bug bounty оказались в IT-компаниях (16%), онлайн-сервисах (14%), сфере услуг (13%), торговле (11%), финансовых организациях (9%) и блокчейн-проектах (9%).

Глава министерства цифрового развития, связи и коммуникаций РФ Максут Шадаев заявил, что до конца 2022 года его ведомство планирует провести программу Bug Bounty для портала госуслуг, чтобы найти ошибки в системах сервиса. Эксперты Positive Technologies считают, что ключевым драйвером развития bug bounty в нашей стране могут стать госсектор и организации критической инфраструктуры.

«Санкции – стимул к взрывному росту»: айтишники о новых возможностях для развития в России>>

How much is the bounty?

Стоимость вознаграждения «белых» хакеров зависит от опасности той или иной уязвимости для бизнеса. Существуют специальные методики для таких оценок.

«В среднем за критически опасные уязвимости компании готовы платить исследователям более семи тысяч долларов. Например, за выявление уязвимости для внедрения SQL-кода и несанкционированное получение данных в Twitter исследователь может получить 12 тысяч долларов. За выявление уязвимостей, связанных с некорректной авторизацией и аутентификацией, исследователь может в среднем рассчитывать на три тысячи долларов на различных платформах. А выплата за самую распространенную уязвимость межсайтового выполнения сценариев, которая была выявлена в 13% приложений, по данным Zerocopter, может составить от 250 до 700 долларов в зависимости от степени воздействия», – говорится в исследовании Positive Technologies.

«Вознаграждения за уязвимости среднего и низкого уровня риска достаточно невысоки, в отличие от уязвимостей критического и высокого уровня, которые могут стать источником наиболее опасных для бизнеса угроз – утечек конфиденциальной информации, несанкционированного доступа к приложению или атак на локальные ресурсы. Бизнес понимает это и готов платить», – поясняют авторы исследования.

Так, участившиеся в последние месяцы случаи атак на блокчейн-проекты вынуждают разработчиков тщательнее выявлять уязвимости в своих продуктах, а за уязвимости критического и высокого уровня опасности предлагается максимальное вознаграждение – 13 100 и 5300 долларов соответственно. Особо опасные уязвимости могут оцениваться в 100 тысяч долларов и более. Решения IT-компаний также должны быть защищены от атак. Такие компании, как Sony и Intel, также предлагают вполне достойные деньги: 50 и 100 тысяч долларов соответственно за уязвимости критического уровня риска, указывают авторы исследования.

Войти в IT: как освоить цифровую профессию в 2022 году>>

А сколько платят в России?

По информации экспертов Positive Technologies, отечественные компании готовы платить «белым» хакерам от нескольких десятков до сотен тысяч рублей за найденную уязвимость. В отдельных случаях выплаты достигают миллиона рублей и более.

«Средняя выплата за критически опасную уязвимость на платформе Standoff 365 Bug Bounty, например, составляет 420 тысяч рублей, что сопоставимо с выплатами по миру. В целом наибольшие средние суммы вознаграждений за нахождение уязвимостей критического и высокого уровня опасности оказались в bug-bounty-программах блокчейн-проектов (13,1 тысячи и 5,3 тысячи долларов соответственно) и IT-компаний (6,6 тысячи и 2,2 тысячи долларов соответственно)», – говорится в исследовании.

«Стартапы вырастут следом за экономикой»: эксперты о ситуации на рынке молодых IT‑компаний>>

Азиатский регион в лидерах bug bounty

На мировом рынке платформы bug bounty представлены неравномерно, и не в каждой стране можно найти крупные и заслуживающие доверия платформы, отмечают авторы исследования.

Лидером по количеству крупных платформ bug bounty является азиатский регион, в котором размещены 38% исследованных платформ. На втором месте европейский регион, в котором находится треть исследованных платформ, в том числе одни из наиболее крупных, например Intigriti, YesWeHack, Zerocopter и Standoff 365. Доля платформ североамериканского и ближневосточного регионов составила 21% и 8% соответственно.

«Мама считала, что профессия слишком «мужская»: программистка о стереотипах в IT‑сфере>>

Рынок bug bounty – свыше 5 миллиардов долларов к 2027 году

Программы и платформы bug bounty находят все большее распространение среди организаций, заинтересованных в обеспечении кибербезопасности своих ресурсов, считают эксперты Positive Technologies.

«Бизнес не упускает возможности прибегнуть к таким перспективным способам обеспечения кибербезопасности, как программы bug bounty, и пробует внедрять их в свои процессы. IT-компании, постоянно работающие над улучшением своих приложений, являются наиболее частыми клиентами таких платформ (16%)», – говорится в исследовании.

Аналитики платформы HackerOne отмечают, что в прошлом году количество программ bug bounty увеличилось на 34% по сравнению с 2020 годом, а исследователи безопасности выявили на 21% больше уязвимостей за аналогичный период. При этом каждое десятое приложение на платформах bug bounty предоставлено финансовым или торговым секторами: согласно отчету платформы HackerOne, прирост числа клиентов из этих секторов в 2021 году составил 62% и 51% соответственно.

По прогнозам авторов исследования AllTheResearch, рынок bug bounty вырастет к 2027 году до 5,4 миллиарда долларов.

Льготная ипотека и субсидии: как в кризис поддерживают бизнес и IT>>