Почему Bug Bounty становятся популярнее?

Все чаще компании прибегают к помощи внешних исполнителей для поиска уязвимостей в своих сервисах и приложениях. На специализированных платформах запускаются Bug Bounty программы. Независимые исследователи – участники могут получить крупную сумму за найденные ошибки.

Как всё начиналось?

Первой компанией, создавшей программу Bug Bounty, была Netscape. В 1995 году американский производитель веб-браузеров впервые запустил платформу. В 2004 году Bug Bounty появилась у Mozilla. Довольно быстро их примеру последовали Google, Facebook, Microsoft, Tesla, Pinterest, Uber и другие. Сегодня среди заказчиков Bug Bounty числятся госструктуры и организации в области финансов и здравоохранения.

Что такое Bug Bounty?

«Баг-баунти программы можно представить как специализированный рынок, где встречаются компании и белые хакеры. Компании предлагают свои сервисы и хотят, чтобы в них искали уязвимости. Хакеры предлагают свои знания и умения для поиска самих уязвимостей, — комментирует Нияз Кашапов, эксперт образовательного центра по кибербезопасности CyberEd. — Сами уязвимости делятся по степени сложности и опасности. Самые оцениваемые – SQLi, RCE, XSS с импактом. Самыми неоцениваемыми являются уязвимости в сторонних решениях или просто техническая информация без импакта».

Как выглядит российский рынок ВВ?

Российский рынок bug bounty находится на стадии активного формирования. По данным компании Positive Technologies, уже в 2020 году Россия вошла в тройку стран с самым высоким уровнем дохода багхантеров, обогнав Китай и Германию. В стране действуют три основные платформы: Bugbounty.ru, Standoff 365 Bug Bounty и BI.ZONE Bug Bounty. При этом 50% программ в РФ являются закрытыми, т.е. количество исследователей в них строго ограничено и заранее оговорено.

Мнение эксперта: На мой взгляд, данное направление только начинает развиваться, поэтому бывают определенные проблемы и пока еще мало программ. Последний раз мне около 4 месяцев выплачивали вознаграждение, но это лучше, чем ничего (Артем Комарский).

Начать зарабатывать в BB: легко или сложно

Артем Комарский, эксперт образовательного центра по кибербезопасности CyberEd:

Легко начать — нужно всего лишь пройти обучение на специальной платформе. После этого уже можно начинать зарабатывать, следить за новостями: какие новые уязвимости появляются; изучать, как они работают и применять на практике. Если есть навыки программирования, то можно автоматизировать это и применять свои шаблоны для поиска однотипных уязвимостей, например, использовать Nuclei*.

Сложно начать – нужно изучать конкретные фреймворки, на которых пишется веб- приложение; понимать, где у этого фреймворка слабые места и применять это для поиска в BB
.

*Nuclei – инструмент, который используется для отправки запросов через указанную цель на основе шаблонов.

На выплатах реально заработать?

Каждая компания сама определяет сумму выплат. Чаще всего она зависит от потенциальных потерь при эксплуатации уязвимостей blackhat’ами. Это от 5 до 20% возможных реальных потерь компании. Конечно же, учитываются и репутационные риски, а не только прямые потери, — поясняет Нияз Кашапов. — В основном, находят low или medium, в зависимости от полноты отчета и сложности обнаружения уязвимостями.

Выплата за работу по программам Bug Bounty в Яндекс составляет до 750 тысяч рублей. Positive Technologies обещает до 224 200 рублей, портал Mail.ru – до 180 000 рублей, а Дзен – до 60 000 рублей. Самые высокие вознаграждения у Apple и Microsoft. Компания Microsoft выплатила $13,6 млн исследователям по кибербезопасности за 2020 год. Google в 2019 году повысил максимальное вознаграждение багхантерам с $5 тысяч до $15 тысяч. Корпорация Apple увеличила выплату до миллиона долларов.

ВВ действительно помогает компаниям?

Крупные международные компании ответственно относятся к безопасности своих пользователей. Bug Bounty – один из способов поиска потенциальных уязвимостей и их быстрого обезвреживания. Сегодня корпорация Microsoft выплачивает вознаграждения за найденные уязвимости, в том числе связанные с работой операционной системы Windows, Office 365, сайта GitHub, геймерских сервисов Xbox, учетных записей, доменов и конечных точек Microsoft.

Если бы программа Bug Bounty не помогала, то ее, наверное, и не использовали бы в настоящий момент. Она позволяет найти уязвимости и закрыть их без существенных репутационных и финансовых потерь. Ущерб от эксплуатации уязвимости злоумышленником может нанести серьезный вред компании, вплоть до закрытия бизнеса или потери части клиентов, — комментирует Игорь Кривонос, эксперт образовательного центра по кибербезопасности CyberEd.

С чего стоит начать, если хотите построить карьеру багхантера и начать зарабатывать на Bug Bounty?

  • Почитать блоги по теме
    Detectify Labs
    Infosec Write-Ups
    Appsecco
    These aren’t the access_tokens you’re looking for
    Geekboy | Security Researcher
    Learn|Think|Hack
    BUG BOUNTY HUNTING (METHODOLOGY, TOOLKIT, TIPS & TRICKS, Blogs)
  • Помимо блогов рекомендуем почитать следующие книги
    Web Application Hacker’s Handbook
    Mastering Modern Web Penetration Testing
    The Hacker Playbook 1, 2 and 3
    The Mobile Application Hacker’s Handbook
    Breaking into Information Security
    Web Hacking 101
  • Посетить вебинар «BugBounty: как зарабатывать на охоте за ошибками»,
    где эксперты CyberEd расскажут про популярные BugBounty площадки, и как ими пользоваться
    Вебинар пройдет 16 ноября в 19.00. Участие бесплатное, зарегистрироваться можно тут

  • Записаться на интенсив BugBounty Hunter от CyberEd
    За 3 дня вы получите исчерпывающую информацию о платформах Bug Bounty, научитесь на практике выявлять самые популярные уязвимости. После интенсива вы сможете самостоятельно начать работать с Bug Bounty площадками и составлять отчеты.
    Интенсив пройдет 28-30 ноября. Зарегистрироваться можно тут

Понравилась статья?

Следи за обновлениями в наших соц. сетях

Или подпишись на рассылку и получай полезную информацию на почту каждую неделю

Получить консультацию

Спасибо,
менеджер свяжеться с вами в ближайшее время

Спасибо,
за регистрацию на вебинар

Заказать обратный звонок

!
Заполните это поле
!
Заполните это поле