Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
В 2017 году государственные и частные организации объявили более тысячи программ bug bounty для ИТ-специалистов.
В 2017 году государственные и частные программы поиска уязвимостей помогли обнаружить более 78 тыс. брешей в компьютерных системах. Такая информация содержится в отчете сервиса Hacker One, опубликованном 11 июля. По информации экспертов, максимальный размер вознаграждения за один баг составил $75 тыс.
Основываясь на информации о более чем 1000 конкурсов bug bounty, размещенных на платформе, специалисты сделали вывод, что этичные хакеры способны обнаружить самые серьезные баги. Доля критических и опасных уязвимостей среди найденных брешей составила 24%. При этом качество отчетов растет — лишь пятая часть заявок ИБ-специалистов была отклонена организаторами.
Программы вознаграждения добровольных исследователей в 2017 году помогли обнаружить на 22% больше уязвимостей, нежели годом ранее. Возможно, это связано с резким увеличением активности государственных органов. Они объявили на 125% больше конкурсов по поиску брешей, чем в 2016-м.
Количество программ bug bounty, объявленных компаниями из Европы, Ближнего Востока и Африки, выросло за год на 22%. Азиатско-Тихоокеанский регион показал рост на 37%, Северная Америка — на 38%. Наилучшую динамику продемонстрировали организации и правительственные учреждения Латинской Америки. В 2017-м здесь объявили на 143% больше конкурсов, чем годом ранее.
Объем вознаграждений, выплаченных ИТ-специалистам, вырос в 2017 году на 157%. Microsoft, Google и другие крупные компании предлагают до $250 тыс. за помощь в поиске уязвимостей. Недавно “Лаборатория Касперского” объявила, что готова выплатить до $100 тыс. тем, кто найдет критические баги в ее флагманских продуктах. Однако если говорить о средней награде за один подтвердившийся отчет, то она гораздо ниже.
Самые щедрые из организаторов программ bug bounty — государственные учреждения. Средняя выплата за одну уязвимость в 2017 году здесь составила $3,9 тыс. На втором месте технологические компании с результатом $3,6 тыс., на третьем — организации телекоммуникационного сектора, готовые выделить около $3 тыс. Меньше всего сторонним экспертам платят представители туристической сферы. Средний размер вознаграждения тут всего несколько сотен долларов.
Больше всего денег на bug bounty заработали американские специалисты. На их долю пришлось 17% всех полученных наград за поиск уязвимостей. На втором месте — Индия с 13% призовых денег. Третью строчку занимают ИБ-эксперты из России, получившие 6% от общего объема вознаграждения. В пятерку лучших вошли также представители Великобритании и Германии.
Данные отчета позволяют сделать вывод, что в мире сформировано высококвалифицированное сообщество независимых специалистов, готовых участвовать в программах bug bounty. Однако не менее важно, что существует платежеспособный спрос на их услуги.
“Модель, созданная крупными высокотехнологичными компаниями, теперь успешно внедряется организациями любого размера”, — заявил по этому поводу Мартен Микос (Marten Mickos), генеральный директор HackerOne.
Стремясь повысить эффективность поиска брешей, организаторы программ bug bounty добавляют в них элемент соревнования. Примером может служить конкурс Hack the Air Force, учрежденный ВВС США. Состязания этичных хакеров проходят в реальном времени, что существенно увеличивает их результативность. Только за один день таких состязаний независимые исследователи нашли 55 уязвимостей в сайтах, принадлежащих военным.
Озабоченность армии США кибербезопасностью легко понять. Недавно стало известно, что злоумышленники использовали пароль по умолчанию роутеров NetGear, чтобы похитить сведения о новейших образцах вооружения. Об уязвимости было известно несколько лет, но военные так и не нашли время сменить учетные данные.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |