Bug bounty-программы

«На самом деле понятию bug bounty уже около 10 лет. Речь идет о специализированных программах поощрения за нахождения уязвимостей в продуктах компании. Такой подход позволяет помогают построить коммуникацию между компаниями и так называемыми «белыми хакерами», «энтузиастами» сферы ИБ. Организации объявляют о начале кампании по поиску уязвимостей в своих системах и назначают цену, которую готовы платить за каждую найденную уязвимости. Для старта кампании могут использоваться собственные ресурсы или специализированные Bug bounty платформы, которые позволяют компаниям выйти на высококвалифицированных специалистов, которые смотрят на задачу гораздо шире, и не ограничены ТЗ.

Программы и платформы bug bounty появились и на российском рынке. Среди провайдеров и компаний, публично объявивших об этом – VK, «Ростелеком», Rambler, Positive Technologies. Обычно bug bounty-программы внедряются в крупные компании, у которых выстроена зрелая система безопасности и ИТ-процессы в целом, в частности, компании, имеющие Security Operation Centre. Кстати, именно зрелость ИБ-процессов является, пожалуй, главным условием для компаний, решивших обратиться к Bug bounty.

Так, сейчас на отечественной bug bounty платформе Standoff размещены запросы от более чем 20 компаний, среди которых «Одноклассники», Учи.ру, Skillboх и «Азбука вкуса».