Для чего компании используют программу Bug Bounty?

18 октября 2019

Что такое программа Bug Bounty?

Это программа, которая позволяет найти и исправить уязвимости на вашем ресурсе с помощью удаленных специалистов в информационной безопасности. За каждую найденную уязвимость специалисты получают рекомендации от компании и денежное вознаграждение, которое зависит от критичности уязвимости.
Bug Bounty программу используют компании для того, чтобы улучшить информационную безопасность ресурса и уменьшить риски связанные с ИБ.

Какие популярные компании используют данную программу?

В России Bug Bounty программой пользуются такие компании, как: VK.com, Mail.ru, QIWI.com, OK.ru.
Из зарубежных компаний можно выделить: Google, Facebook, Yahoo, Apple и прочие.
В качестве платформы для Bug Bounty в основном используют HackerOne, BugCrowd. Но некоторые компании предпочитают собственную платформу, например Yandex и Apple.


Публичная Bug Bounty программа от VK.com

Как на практике работает Bug Bounty программа?

1. Компания договаривается с Bug Bounty платформой о размещении их ресурса для участия в программе, перед запуском программы оглашаются условия, по которым работают «белые хакеры», в них входят: разрешенные для поиска уязвимостей веб-ресурсы, сумма вознаграждения за определенные уязвимости, уязвимости, которые не участвуют в программе и прочее.
2. После открытия, сторонние специалисты приступают к поиску уязвимостей и отправляют свои отчеты компании.
3. Компания регулярно проверяет наличие новых отчетов, их достоверность, исправляет уязвимости и выплачивает вознаграждения.

Какие плюсы и минусы у программы?

Из плюсов можно выделить: меньший бюджет на поддержание информационной безопасности ресурса, большое количество сторонних специалистов, которые регулярно тестируют ваш продукт, оплата трудов «белых хакеров» производится по факту, то есть только за найденную уязвимость на вашем сайте.
Из минусов можно выделить: множество бессмысленных отчетов, нагрузка на ресурс из-за большого количества исследователей и многие специалисты имеют узкую направленность из-за чего могут пропустить уязвимости.

Вывод

Bug Bounty программа довольно перспективная, она повышает уровень информационной безопасности с помощью сторонних специалистов. Но не каждая компания имеют ресурсы и средства, чтобы самостоятельно запустить и поддерживать ее. Также стоит учесть, что данная программа дополняет аудиты информационной безопасности, а не заменяет их.
Если вам нужна Bug Bounty программа и у вас нет сотрудников и времени для регулярного контроля за программой, то Вы можете обратиться к специалистам из Penlab.