Для повышения удобства работы и хранения данных веб-сайт aktiv-company.ru использует файлы COOKIE. Продолжая работу с веб-сайтом, Вы даете свое согласие на работу с этими файлами.

Особенности национального Bug Bounty

Что же такое bug bounty? Редакция SecureNews не могла обойти стороной данное явление и решила обсудить с экспертами место bug bounty в сфере информационной безопасности, в том числе в российских реалиях. Менеджер по продуктам Guardant компании «Актив» Тимофей Матреницкий рассматривает bug bounty как полезное дополнение к корпоративным защитным механизмам.

Особенности национального Bug Bounty

Тимофей Матреницкий: Угрозой для bug bounty, как источника заработка, могут стать сервисы, автоматически сканирующие ресурсы на предмет уязвимостей.

Программы bug bounty еще не слишком широко распространены в России, однако внимание к ним растет из года в год. В то же время в других странах возможность заработать на поиске уязвимостей стала настоящим клондайком для исследователей информационной безопасности. ИБ-эксперты и «белые хакеры» могут неплохо заработать, занимаясь любимым делом, а IT-компаниям bug bounty позволяет привлечь больше рабочих рук к модернизации своих продуктов.

Что же такое bug bounty? Это программа, в рамках которой различные компании и сервисы предлагают независимым экспертам и исследователям в сфере информационной безопасности денежные вознаграждения за ошибки и уязвимости, обнаруженные в продукции этих организаций.

Редакция SecureNews не могла обойти стороной данное явление и решила обсудить с экспертами место bug bounty в сфере информационной безопасности, в том числе в российских реалиях.

Тимофей Матреницкий

Менеджер по продуктам Guardant, Актив

Bug bounty — довольно интересный и прогрессивный подход к информационной безопасности. Однако, учитывая специфику, сложно опираться на эту программу, как что-либо гарантирующий элемент архитектуры.

Программа безусловно помогает вендорам сэкономить большие деньги и сохранить репутацию. Но ее использование никак не отменяет необходимости держать в штате собственных специалистов по безопасности, иначе ни о какой экономии речи не пойдет. То есть bug bounty — это серьезное дополнение к собственным защитным мерам, но только дополнение.

Перспективы программы в России напрямую зависят от того, как будут развиваться наши ИТ-проекты. Продукты, которые используют программу несколько лет, уже прошли через многих хантеров и залатали все относительно легко заметные дырки. Поэтому поиск уязвимостей в таких продуктах постепенно будет становиться все более и более сложным делом, хотя и очень хорошо оплачиваемым. Компаний-новичков, запускающих эту программу, пока не так много, и перспективы развития bug bounty в России будут во многом зависеть от их желания делать по-настоящему защищенный продукт и готовности за это платить.

Угрозой для bug bounty, как источника заработка, могут стать сервисы, автоматически сканирующие ресурсы на предмет уязвимостей. И хотя полностью заменить профессионального специалиста такие системы в обозримом будущем не смогут, их развитие и распространение отнимет хлеб у хантеров, как минимум, в части поиска дешевых уязвимостей.

Комментарии остальных экспертов доступны в полной версии статьи на сайте SecureNews.