Особенности национального Bug Bounty

31 марта 2017 года Что же такое bug bounty? Редакция SecureNews не могла обойти стороной данное явление и решила обсудить с экспертами место bug bounty в сфере информационной безопасности, в том числе в российских реалиях. Менеджер по продуктам Guardant компании «Актив» Тимофей Матреницкий рассматривает bug bounty как полезное дополнение к корпоративным защитным механизмам.

Особенности национального Bug Bounty

Тимофей Матреницкий: Угрозой для bug bounty, как источника заработка, могут стать сервисы, автоматически сканирующие ресурсы на предмет уязвимостей.

Программы bug bounty еще не слишком широко распространены в России, однако внимание к ним растет из года в год. В то же время в других странах возможность заработать на поиске уязвимостей стала настоящим клондайком для исследователей информационной безопасности. ИБ-эксперты и «белые хакеры» могут неплохо заработать, занимаясь любимым делом, а IT-компаниям bug bounty позволяет привлечь больше рабочих рук к модернизации своих продуктов.

Что же такое bug bounty? Это программа, в рамках которой различные компании и сервисы предлагают независимым экспертам и исследователям в сфере информационной безопасности денежные вознаграждения за ошибки и уязвимости, обнаруженные в продукции этих организаций.

Редакция SecureNews не могла обойти стороной данное явление и решила обсудить с экспертами место bug bounty в сфере информационной безопасности, в том числе в российских реалиях.

Тимофей Матреницкий

Менеджер по продуктам Guardant, Актив

Bug bounty — довольно интересный и прогрессивный подход к информационной безопасности. Однако, учитывая специфику, сложно опираться на эту программу, как что-либо гарантирующий элемент архитектуры.

Программа безусловно помогает вендорам сэкономить большие деньги и сохранить репутацию. Но ее использование никак не отменяет необходимости держать в штате собственных специалистов по безопасности, иначе ни о какой экономии речи не пойдет. То есть bug bounty — это серьезное дополнение к собственным защитным мерам, но только дополнение.

Перспективы программы в России напрямую зависят от того, как будут развиваться наши ИТ-проекты. Продукты, которые используют программу несколько лет, уже прошли через многих хантеров и залатали все относительно легко заметные дырки. Поэтому поиск уязвимостей в таких продуктах постепенно будет становиться все более и более сложным делом, хотя и очень хорошо оплачиваемым. Компаний-новичков, запускающих эту программу, пока не так много, и перспективы развития bug bounty в России будут во многом зависеть от их желания делать по-настоящему защищенный продукт и готовности за это платить.

Угрозой для bug bounty, как источника заработка, могут стать сервисы, автоматически сканирующие ресурсы на предмет уязвимостей. И хотя полностью заменить профессионального специалиста такие системы в обозримом будущем не смогут, их развитие и распространение отнимет хлеб у хантеров, как минимум, в части поиска дешевых уязвимостей.

Комментарии остальных экспертов доступны в полной версии статьи на сайте SecureNews.

Клиенты и партнеры

  • Анкад
  • Минздрав России
  • КРИПТО-ПРО
  • СКБ Контур
  • НУЦ
  • Код Безопасности
  • Такснет
  • ЦентрИнформ
  • АЭТП
  • Сигнал КОМ
  • ИнфотекС
  • Альфа Директ
  • Электронная Москва
  • Digital Design
  • Тензор
  • Депо
  • Связной
  • Банк Нордеа
  • БелИнфоНалог
  • Татарстан

Карта сайта