Платформа по поиску уязвимостей за вознаграждение Standoff 365 Bug Bounty компании Positive Technologies отметила полтора года со дня запуска. О первых итогах работы проекта в рамках мероприятий Moscow Hacking Week рассказали Анатолий Иванов, руководитель направления багбаунти Standoff 365, и Ирина Зиновкина, руководитель исследовательской группы департамента аналитики PT.
Standoff 365 Bug Bounty — это быстрый способ убедиться в надежности ИТ-инфраструктуры компании, найти её критические и высокие уязвимости с помощью услуг сильнейших исследователей безопасности.
По состоянию на 12 ноября на платформе было зарегистрировано 7537 багхантеров. За полтора года компаниями, работающими на платформе, от исследователей было принято 1479 отчётов. Из них 152 (10%) содержали критически важные уязвимости и 287 (19%) — высокой степени опасности. Компаниями было выплачено более 54 млн рублей вознаграждений, сообщила Ирина Зиновкина.
На Standoff 365 Bug Bounty размещены 53 программы — на старте таковых было всего две — и их число продолжает расти. Участниками платформы выступают организаций из ИТ-сектора (38%), госучреждений (17%) и образовательных платформ (11%). Среди компаний можно выделить Rambler&Co, VK, Госуслуги, «Одноклассники», «Тинькофф» и другие.
Программы Bug Bounty вызывают интерес у участников, в частности со стороны ритейла. Также сотрудники Positive Technologies ожидают роста числа программ со стороны госструктур.
Размер вознаграждение за уязвимость составляет от 9000 до 3 млн рублей, сумма зависит не только от уровня опасности, но и от значимости и доходов компаний-участников. Больше всего по своим программам багхантерам выплатили компании из финансовой и ИТ-отрасли. Несмотря на то, что они представлены в 44% программ, на такие компании приходится 81% вознаграждений.
Оценивая размер выплат, Анатолий Иванов отметил, что максимальные суммы, выплаченные на платформе Standoff 365 Bug Bounty, сопоставимы с суммами, выплаченными на международных платформах, и превышают выплаты на другой отечественной платформе Bug Bounty.
Комьюнити — важная часть работы платформы, считает Иванов. Ведётся работа по подготовке новых кадров, создано сообщество багхантеров, в котором более опытные участники помогают и подсказывают коллегам-исследователям и новичкам. Для лучших багхантеров проводятся закрытые мероприятия Standoff Hacks, на которых компании могут в короткие сроки протестировать свои продукты, а исследователи — не только заработать на поиске уязвимостей, но и очно обсудить проблемы сообщества и заказчиков. Анатолий Иванов добавил, что со стороны компаний-заказчиков интерес к таким максимально быстрым исследованиям значительно растёт.
Государство проявляет большой интерес к платформам Bug Bounty, подытожил он: в начале этого года на платформе Standoff 365 Bug Bounty были размещены две программы Минцифры сроком на три месяца. Новая программа ведомства продлится год, на Standoff 365 Bug Bounty будут вынесены девять программ.
Ранее BI.ZONE подвёл итоги первого года работы платформы BI.ZONE Bug Bounty.
.png)