Особенности национального Bug Bounty

31 марта 2017 годаЧто же такое bug bounty? Редакция SecureNews не могла обойти стороной данное явление и решила обсудить с экспертами место bug bounty в сфере информационной безопасности, в том числе в российских реалиях. Менеджер по продуктам Guardant компании «Актив» Тимофей Матреницкий рассматривает bug bounty как полезное дополнение к корпоративным защитным механизмам.

Особенности национального Bug Bounty

Тимофей Матреницкий: Угрозой для bug bounty, как источника заработка, могут стать сервисы, автоматически сканирующие ресурсы на предмет уязвимостей.

Программы bug bounty еще не слишком широко распространены в России, однако внимание к ним растет из года в год. В то же время в других странах возможность заработать на поиске уязвимостей стала настоящим клондайком для исследователей информационной безопасности. ИБ-эксперты и «белые хакеры» могут неплохо заработать, занимаясь любимым делом, а IT-компаниям bug bounty позволяет привлечь больше рабочих рук к модернизации своих продуктов.

Что же такое bug bounty? Это программа, в рамках которой различные компании и сервисы предлагают независимым экспертам и исследователям в сфере информационной безопасности денежные вознаграждения за ошибки и уязвимости, обнаруженные в продукции этих организаций.

Редакция SecureNews не могла обойти стороной данное явление и решила обсудить с экспертами место bug bounty в сфере информационной безопасности, в том числе в российских реалиях.

Тимофей Матреницкий

Менеджер по продуктам Guardant, Актив

Bug bounty — довольно интересный и прогрессивный подход к информационной безопасности. Однако, учитывая специфику, сложно опираться на эту программу, как что-либо гарантирующий элемент архитектуры.

Программа безусловно помогает вендорам сэкономить большие деньги и сохранить репутацию. Но ее использование никак не отменяет необходимости держать в штате собственных специалистов по безопасности, иначе ни о какой экономии речи не пойдет. То есть bug bounty — это серьезное дополнение к собственным защитным мерам, но только дополнение.

Перспективы программы в России напрямую зависят от того, как будут развиваться наши ИТ-проекты. Продукты, которые используют программу несколько лет, уже прошли через многих хантеров и залатали все относительно легко заметные дырки. Поэтому поиск уязвимостей в таких продуктах постепенно будет становиться все более и более сложным делом, хотя и очень хорошо оплачиваемым. Компаний-новичков, запускающих эту программу, пока не так много, и перспективы развития bug bounty в России будут во многом зависеть от их желания делать по-настоящему защищенный продукт и готовности за это платить.

Угрозой для bug bounty, как источника заработка, могут стать сервисы, автоматически сканирующие ресурсы на предмет уязвимостей. И хотя полностью заменить профессионального специалиста такие системы в обозримом будущем не смогут, их развитие и распространение отнимет хлеб у хантеров, как минимум, в части поиска дешевых уязвимостей.

Комментарии остальных экспертов доступны в полной версии статьи на сайте SecureNews.

Электронные ключи Guardant

  • Guardant Sign
  • Guardant Code
  • Guardant Sign Net
  • Guardant Sign
  • Guardant Code micro
  • Guardant Time Net
  • Guardant Sign micro
  • Guardant Code
  • Guardant Net II

Карта сайта