+7 495 980 0770

"Белым" хакерам - зеленый свет

Сум­марный объ­ем воз­награж­де­ний, ко­торые Mail.ru Group вып­ла­тила по прог­рамме поис­ка уяз­ви­мос­тей на меж­ду­народ­ной плат­форме HackerOne, пре­высил $2 млн.

Программа поиска уязвимостей Mail.ru Group работает на платформе для экспертов по кибербезопасности HackerOne с 2014 г. Она помогает исследователям найти недостатки в системе безопасности и устранить их до того, как их обнаружат злоумышленники. Масштабная программа охватывает практически все проекты экосистемы VK (которую развивает Mail.ru Group), позволяя повысить их защищенность.

Размер вознаграждения за обнаруженную уязвимость зависит от ее критичности. Выплаты варьируются от $150 до $40 тыс., а самая дорогая уязвимость из заявленных в программе оценивается в $55 тыс. - это один из самых высоких показателей на ИТ-рынке.

Mail.ru Group выплачивает вознаграждения исследователям каждую неделю. Всего с момента запуска принято почти 5000 отчетов от чуть более чем 3400 исследователей безопасности.

Отметим, что HackerOne - популярная среди экспертов по компьютерной безопасности платформа, благодаря которой исследователи всего мира могут сообщить компаниям о найденных уязвимостях и получить за это вознаграждение. В программе участвуют такие организации, как PayPal, Twitter, Goldman Sachs, Пентагон, и сотни других.

"Программа поиска уязвимостей - важный инструмент обеспечения безопасности, который мы активно используем. Это сродни регулярному прохождению диспансеризации: чем чаще ты ходишь к опытным врачам - тем больше шансов, что все возможные проблемы со здоровьем отлавливаются на ранней стадии и не приводят к кризису. С нами сотрудничают лучшие эксперты со всего мира. Они помогают нам в обнаружении малейших угроз безопасности и получают за это заслуженную награду - не только деньги, но и признание в сообществе. Над устранением всех обнаруженных уязвимостей мы работаем максимально оперативно, что позволяет поддерживать высокий уровень безопасности наших продуктов. Это мировой стандарт", - отметил руководитель программы поиска уязвимостей Mail.ru Group Алексей Гришин.

В пресс-службе Mail.ru рассказали, что большая часть репортов имеют небольшую критичность, их можно отнести к best practices violation, то есть они не несут прямых рисков для пользователей, но поскольку программа "баг баунти" охватывает огромное количество проектов, встречаются уязвимости практически всех типов. Представитель пресс-службы сообщил, что, помимо HackerOne, Mail.ru сотрудничает с площадкой BugCrowd. "Мы постоянно расширяем и область действия программы, и увеличиваем вознаграждение в старых областях, за время действия программы вознаграждения за некоторые уязвимости выросли в 20 раз и более. Программе Bug Bounty более семи лет, и если первый миллион мы потратили за шесть лет, то второй - всего за год", - объяснили в пресс-службе Mail.ru.

В пресс-службе "Яндекса" рассказали, что у них есть своя программа по поиску уязвимостей - "Охота за ошибками", в которой может принять участие любой пользователь за вознаграждение.

Директор департамента информационной безопасности компании Oberon Евгений Суханов объяснил, что практика открытого тестирования на защищенность системы заказчика пришла в Россию из опыта западных компаний. Особенно это актуально, по его мнению, для тех компаний, активы которых имеют публичный доступ и массово используются. К ним относят социальные сети, масс-маркет, финансовые организации.

Для промышленности, по оценке Евгения Суханова, актуально проведение закрытых тестирований на проникновение с привлечением white team. На его взгляд, такое сотрудничество будет только расти, потому что каждая команда использует свои методы тестирования и получения результата, заказчик в итоге получает более широкий взгляд на свою защищенность.

"Значимость "белых" хакеров в целом довольно уникальна. Такие команды зачастую узконаправлены и работают в своей нише и со своими особенностями. Для заказчика услуг важно получить весь спектр рисков с защитой информации и активов, а также варианты устранения выявленных уязвимостей. Так как мускулы растут в драке, наилучшего способа не найти", - подчеркивает Евгений Суханов.

[...]

Подробнее в материале