В 2017 году государственные и частные программы поиска уязвимостей помогли обнаружить более 78 тыс. брешей в компьютерных системах. Такая информация содержится в отчете сервиса Hacker One, опубликованном 11 июля. По информации экспертов, максимальный размер вознаграждения за один баг составил $75 тыс.

Основываясь на информации о более чем 1000 конкурсов bug bounty, размещенных на платформе, специалисты сделали вывод, что этичные хакеры способны обнаружить самые серьезные баги. Доля критических и опасных уязвимостей среди найденных брешей составила 24%. При этом качество отчетов растет — лишь пятая часть заявок ИБ-специалистов была отклонена организаторами.

Программы вознаграждения добровольных исследователей в 2017 году помогли обнаружить на 22% больше уязвимостей, нежели годом ранее. Возможно, это связано с резким увеличением активности государственных органов. Они объявили на 125% больше конкурсов по поиску брешей, чем в 2016-м.

Количество программ bug bounty, объявленных компаниями из Европы, Ближнего Востока и Африки, выросло за год на 22%. Азиатско-Тихоокеанский регион показал рост на 37%, Северная Америка — на 38%. Наилучшую динамику продемонстрировали организации и правительственные учреждения Латинской Америки. В 2017-м здесь объявили на 143% больше конкурсов, чем годом ранее.

Объем вознаграждений, выплаченных ИТ-специалистам, вырос в 2017 году на 157%. Microsoft, Google и другие крупные компании предлагают до $250 тыс. за помощь в поиске уязвимостей. Недавно «Лаборатория Касперского» объявила, что готова выплатить до $100 тыс. тем, кто найдет критические баги в ее флагманских продуктах. Однако если говорить о средней награде за один подтвердившийся отчет, то она гораздо ниже.

Самые щедрые из организаторов программ bug bounty — государственные учреждения. Средняя выплата за одну уязвимость в 2017 году здесь составила $3,9 тыс. На втором месте технологические компании с результатом $3,6 тыс., на третьем — организации телекоммуникационного сектора, готовые выделить около $3 тыс. Меньше всего сторонним экспертам платят представители туристической сферы. Средний размер вознаграждения тут всего несколько сотен долларов.

Больше всего денег на bug bounty заработали американские специалисты. На их долю пришлось 17% всех полученных наград за поиск уязвимостей. На втором месте — Индия с 13% призовых денег. Третью строчку занимают ИБ-эксперты из России, получившие 6% от общего объема вознаграждения. В пятерку лучших вошли также представители Великобритании и Германии.

Данные отчета позволяют сделать вывод, что в мире сформировано высококвалифицированное сообщество независимых специалистов, готовых участвовать в программах bug bounty. Однако не менее важно, что существует платежеспособный спрос на их услуги.

«Модель, созданная крупными высокотехнологичными компаниями, теперь успешно внедряется организациями любого размера», — заявил по этому поводу Мартен Микос (Marten Mickos), генеральный директор HackerOne.

Стремясь повысить эффективность поиска брешей, организаторы программ bug bounty добавляют в них элемент соревнования. Примером может служить конкурс Hack the Air Force, учрежденный ВВС США. Состязания этичных хакеров проходят в реальном времени, что существенно увеличивает их результативность. Только за один день таких состязаний независимые исследователи нашли 55 уязвимостей в сайтах, принадлежащих военным.

Озабоченность армии США кибербезопасностью легко понять. Недавно стало известно, что злоумышленники использовали пароль по умолчанию роутеров NetGear, чтобы похитить сведения о новейших образцах вооружения. Об уязвимости было известно несколько лет, но военные так и не нашли время сменить учетные данные.

Категории: Кибероборона