Создать аккаунт
Тарифы РБК Pro
Корпоративная подписка
Активировать сертификат
Подарить подписку
Подарить интенсив
Написать в поддержку
Узнать больше о проекте
Pro Инвестиции Здоровье Библиотека Технологии
Интенсивы Лекции профессоров MBA
Что есть на Pro
  • Мероприятия
  • Подборки
  • Форматы
  • Источники
  • Интересы
  • Интенсивы
Вам понравится
Перейти в календарь
Материал раздела Технологии
Вебинар

Охота за ошибками: зачем «этичные хакеры» ищут уязвимости в бизнесе

Вебинар доступен
Технологии   · Цифровая безопасность
Вебинар VK
Смотреть запись
Охота за ошибками: зачем «этичные хакеры» ищут уязвимости в бизнесе
Основные темы
Из чего состоит bug bounty: взгляд хакера и вендора
Каковы основные части запуска bug bounty в любой компании
Правила общения с «белыми» хакерами от команды VK
Смотреть запись
О спикере
Петр Уваров
Петр Уваров, руководитель направления VK Bug Bounty
Участники вебинара узнают, кто такие «этичные хакеры» и для чего бизнесу нужна программа для обнаружения уязвимостей bug bounty. Спикер расскажет, что делать на старте запуска программы, а также каковы особенности российского рынка bug bounty по опыту VK

Главные тезисы вебинара

  • Что такое bug bounty. Это комплексная система, взаимодействия различных специалистов в целях выявления уязвимостей и усиления безопасности. Багхантеры ищут уязвимости, оценивают опасность каждой уязвимости, смотрят, почему она появилась, в каких программах может быть еще, в конечном счете передают ее программистам. Программисты исправляют.
  • Как запустить bug bounty. В первую очередь стоит посмотреть, проводятся ли у вас регулярные сканы уязвимостей SAST/DAST, есть ли внутренний аудит ваших проектов и как давно вы проводили пентест — некритичные уязвимости дешевле выявить и решить силами своих кадров, нежели привлекать багхантеров. Медианное вознаграждение на рынке — 360 тыс. руб. Вам стоит проанализировать найденные уязвимости, определить наиболее критичные для работы и наиболее для вас интересные исходя из специфики проекта. В соответствии с этим предстоит определить, какой у вас будет скоуп, и выставить цены на уязвимости различных типов. Вам предстоит решить, организовывать bug bounty на своем ресурсе или на одной из платформ: Standoff bug bounty, BI.ZONE bug bounty или bug bounty.ru. Вариант запуска self-hosted более гибкий и требует меньших вложений, но привлечет меньше опытных багхантеров.

  • Как привлечь багхантеров. С закрытием в России иностранных платформ наблюдается острый дефицит багхантеров. Сейчас количество таких специалистов ≈ 300 человек. И количество bug bounty программ растет быстрее, чем количество багхантеров, это приводит к конкуренции за специалистов. Исходя из статистики чаще всего багхантеры уходят из проектов из-за медленного времени ответа и плохой коммуникации. Пока ваши внутренние кадры обрабатывают уязвимость, решают, платить ли за нее и сколько, багхантеры теряют интерес к проекту, так что этот процесс стоит оптимизировать. Вам стоит доступно объяснять багхантерам, почему вы платите или не платите за уязвимость и прочие моменты. Будьте готовы вступать в позитивные, вежливые дискуссии, не бойтесь изменить свое мнение. Во-первых, это может привести к продуктивным результатам. Во-вторых, комьюнити багхантеров крайне тесное, положительные отзывы о вас помогут добиться лояльности столь ценных сотрудников.