В рамках OFFZONE 2022 компания BI.Z ... Евгений Волошин, BI.ZONE: Багхантер не должен быть бакалавром юриспруденции или выпускником курсов бухгалтеров – он должен искать уязвимости
Евгений Волошин, BI.ZONE: Багхантер не должен быть бакалавром юриспруденции или выпускником курсов бухгалтеров – он должен искать уязвимости...
В рамках OFFZONE 2022 компания BI.ZONE провела презентацию своей платформы BI.ZONE Bug Bounty. О перспективах платформы, уровне конкуренции и тенденциях bug bounty рынка для портала Cyber Media рассказал директор блока экспертных сервисов компании BI.ZONE Евгений Волошин.
Cyber Media: Какие перспективы вы видите у своего продукта в актуальных условиях рынка?
Евгений Волошин: На глобальном рынке программы bug bounty уже доказали свою эффективность. Их число за последние три года выросло на треть по всему миру, а за прошлый год багхантеры обнаружили более 70 тысяч валидных уязвимостей. Если раньше bug bounty могли позволить себе только крупные организации, сегодня запустить такую программу может бизнес любого масштаба. Появление российской платформы делает участие в bug bounty еще доступнее.
Наши перспективы я бы условно поделил на три периода: краткосрочные, среднесрочные и долгосрочные.
На начальном этапе наша задача – успешно закрепиться на российском рынке. К этому есть все предпосылки: уже на старте у нас есть несколько компаний-клиентов и более трехсот багхантеров. Конкуренция с другими российскими компаниями нас не пугает, даже наоборот – вызывает спортивный интерес и мотивирует развиваться там, где мы сильны, и учиться у коллег там, где мы им уступаем.
Если говорить о среднесрочных перспективах, то это, в первую очередь, рынки дружественных стран СНГ и ЕАЭС. Перспективно выглядят рынки Востока и Азии – у них своя специфика, но огромный потенциал. На данный момент преждевременно говорить о реальных сроках их освоения, но возможности для этого далеко не околонулевые.
И третий момент – долгосрочные перспективы. Это рынки Европы и Америки. Сейчас это кажется таким же утопичным, как и риски пандемии несколько лет назад. Но мы безусловно рассчитываем на возможность «потягаться» с мировыми брендами.
Cyber Media: Какое место платформа bug bounty занимает в списке продуктов BI.ZONE?
Евгений Волошин: Мы четко понимаем, что история с bounty – это не про миллиардные заработки и сверхприбыль. Разумеется, мы рассчитываем на коммерческий успех своего продукта, но основные причины для его запуска совсем другие:
- Культура. Bug bounty – это один из инструментов анализа защищенности инфраструктуры компании. Мы создаем площадку для реализации его потенциала, даем возможность компаниям разнообразить арсенал проверки своей инфраструктуры, а серчерам – возможность спокойно заниматься своим делом и получать за него вознаграждение или иной профит.
- Репутация. Не буду отрицать, своя платформа bug bounty – это элемент репутационного менеджмента BI.ZONE. У нас много технологичных продуктов и высококлассных специалистов – и платформа косвенно помогает нам их продвигать.
- Комьюнити. Не для кого не секрет, как обошлись с российскими багхантерами иностранные площадки. Мы придерживаемся другого подхода, и стараемся создать оптимальные условия для всех участников процесса, чтобы участие в работе нашей платформы было максимально комфортным.
BI.ZONE Bug Bounty – это наш долгосрочный продукт. Его основная задача – это популяризация кибербезопасности в целом и привлечение новых компаний в процесс работы над ней. Речь идет как о зрелых с позиции КБ-компаниях, так и о тех, кто впервые столкнулся с необходимостью проводить проверку безопасности своих систем.
Cyber Media: Если говорить о клиентах, кто целевая аудитория вашей платформы?
Евгений Волошин: Сейчас я могу выделить несколько направлений, которые кажутся мне наиболее перспективными.
В первую очередь это ИТ-компании, которые уже имеют опыт взаимодействия с КБ-инструментами и bounty-программами в частности. Им мы предлагаем удобный сервис с гибкой системой участия. При желании заказчика, мы готовы взять все вопросы на себя, оставив компании только анализ отчетов. Если же компания нацелена сама разбираться с поступающей информацией – мы только за.
Второй момент – это b2c-сегмент. Интернет-магазины, маркетплейсы и другие селлеры – их уже сейчас «тестируют» ежедневно, просто не у всех есть единая процедура реагирования на поступающую информацию. Наша платформа позволяет стандартизировать и упорядочить этот процесс, сделать его контролируемым.
Еще одно перспективное направление – это госсектор. Здесь много своей специфики и подводных камней. Например, в вопросах конфиденциальности информации и гостайны. Если багхантер получит к ней доступ «в дикой природе» – велик риск столкнуться с интересом правоохранительных органов, даже если никакого злого умысла не было и в помине.
Наша компания предлагает единый, централизованный инструмент для работы с такими организациями. При этом, мы не раз получали фидбэк об интересе госкомпаний к bug bounty, единственное препятствие тут – создание правовых норм взаимодействия между такого рода компаниями, платформой и ресерчерами.
Помимо этого, мы не забываем о крупном бизнесе, традиционных участниках bug bounty из финансового сектора. Можно сказать, что наша целевая аудитория – это любая компания с любым уровнем погружения в ИБ. Новичкам – поможем, «старичкам» – дадим эффективные и удобные инструменты для самостоятельной работы.
Cyber Media: Как вы собираетесь конкурировать за багхантеров? Особенно в условиях, когда сразу несколько компаний заявили о создании своих bug bounty-платформ.
Евгений Волошин: Если говорить кратко – мы собираемся дружить со своим комьюнити. На наш взгляд, если багхантеры – друзья платформы, то конкурировать за них в прямом смысле этого слова просто не нужно.
Для этого мы активно используем каналы взаимодействия. В первую очередь это митапы и разноформатные встречи – офлайн ничего не заменит. Хантеры знакомятся, обмениваются опытом. Большую роль здесь играет преемственность, когда мы даем возможность опытным ресерчерам рассказать о своих «фишках» новичкам. Это формирует атмосферу «агрессивного дружелюбия», в том плане что не подружиться и остаться «за бортом» единого коллектива просто не получится.
Помимо офлайн-мероприятий, мы активно используем возможности онлайна. Это и информационные ресурсы компании, и внутренние ресурсы платформы, и внешние источники.
Ну и третий канал – это дружественные связи. Многие из команды платформы – сами практикующие хантеры. Нам легко быть «на одной волне», со своей аудиторией, общаться на равных и открыто относиться к возможной критике.
Cyber Media: А что конкретно вы предлагаете участникам bounty-программ?
Евгений Волошин: Три главные вещи, которые мы предлагаем багхантерам, это деньги, признание сообщества и безопасность.
Относительно финансов: нам удалось серьезно снизить налоговую нагрузку, до шести процентов. Помимо этого, процесс на нашей платформе выстроен гораздо прозрачнее, никаких вопросов налоговых органов к хантерам или компаниям быть не может.
В вопросе репутации хантера есть две составляющие. Первая – это система рейтинга. Каждое его полезное действие отражается в статистике. Набил большую статистику – получил признание сообщества, повышенный интерес компаний и, в перспективе – оффер в известной КБ-компании.
Вторая составляющая – это наши активности, нацеленные на развитие рейтинга багхантера. Он (рейтинг) зависит от уровня критичности найденных багов, а также от их количества. Чем выше рейтинг, тем больше внимание к багхантеру со стороны компаний и сообщества.
И третий момент – это безопасность. Платформа в равной степени защищает как хантеров, так и компании. Собственно, обеспечение всеобщего комфорта – это львиная доля «черновой работы», которая ложится на плечи команды проекта.
Cyber Media: Каким Вы видите будущее bug bounty через несколько лет?
Евгений Волошин: Для нас важны несколько моментов, о которых я уже частично упоминал.
Первое – это конкурентность. У нас есть большое желание показать старожилам отрасли, что можно делать проще и лучше. Отсутствие истории платформы в данном случае – скорее плюс, поскольку у нас нет «тяжелого» бэкграунда.
Второе – это комфортность. Багхантер не должен быть бакалавром юриспруденции или выпускником курсов бухгалтеров – он должен искать уязвимости. Не думая о сопутствующих процессах или участвуя в них минимально.
И третий момент – это вовлеченность. Компании должны иметь возможность использовать bounty для повышения уровня безопасности своей инфраструктуры. Использование этого инструмента не требует от компании высоких компетенций или больших вложений, при этом качественно сказывается на уровне защищенности.