Bug Bounty представляет собой программу вознаграждений за обнаружение ошибок. Цель — побудить этичных хакеров самостоятельно анализировать систему компании и находить в ней уязвимости. Таким образом, организация может рассчитывать на специализированный персонал, который выявит их и предпримет необходимые шаги для исправления ошибок.
Когда эти специалисты находят неисправности и сообщают о них компании, они получают вознаграждение – вознаграждение варьируется в зависимости от количества и критичности проблемы.
Механика Bug Bounty появилась в 1983 году, когда американская компания Hunter & Ready создала программу вознаграждений для всех, кто обнаружил ошибки. Однако название, которое мы знаем сегодня, начало использоваться только в 1995 году компанией компьютерных услуг Netscape Communications Corporation.
Сегодня крупные компании, такие как Google, имеют собственную программу Bug Bounty.
Bug Bounty x Пентест
Bug Bounty и пентест имеют много общего.
Пентест также направлен на поиск уязвимостей кибербезопасности в системах или сетях организации с помощью этичных хакеров. Несмотря на это, между ними есть некоторые важные различия.
Bug Bounty:
- Независимые профессионалы: профессионалы могут получить доступ к платформе, зарегистрироваться, начать отправлять сообщения об уязвимостях и получать вознаграждения. Они не имеют никакой связи с компанией, которой предоставляет услуги.
- Уязвимости должны быть представлены, проанализированы и приняты организацией, что увеличивает время ожидания и усилия. Другими словами, компания какое-то время остается в неведении.
- Поскольку профессионалы независимы, они не следуют определенной методологии, что может нанести ущерб пониманию и достоверности результатов.
Пентест:
- Официальный договор с компанией.
- Отчеты и обновления об уязвимостях в режиме реального времени: с помощью платформы профессионалы могут ежедневно обновлять информацию о своем прогрессе, а также отправлять в конце пентеста полный отчет со всей собранной информацией.
- Следует международным методологиям: в этом случае соблюдаются такие методологии, как OWASP, именно для поддержания стандарта и использования методов, которые признаны/приняты международным рынком.
Какой выбрать?
Выбор между Bug Bounty и пентестом во многом будет зависеть от целей и потребностей каждой компании. Однако в некоторых случаях они также используются в качестве дополнения. Пентест проводится во время запуска новых продуктов и/или проводится периодически, в то время как Bug Bounty остается активным в течение этого периода.
