В Positive Technologies подвели итоги работы платформы по поиску уязвимостей Standoff 365 Bug Bounty, запущенной в мае 2022 г. За полтора года количество размещенных программ увеличилось с 2 до 53 и продолжает расти. Размер вознаграждения составляет от 9 тыс. до 3 млн руб. в зависимости от уровня опасности уязвимости. При этом максимальные выплаты сопоставимы с аналогичными вознаграждениями на мировых площадках. Об этом CNews сообщили представители Positive Technologies.
На сегодняшний день на платформе разместили свои программы организации из разных отраслей: ИТ, торговля, финансы, ИТ учреждения. Наибольшее количество программ представлено в секторе IT (38%), среди государственных учреждений (17%) и образовательных платформ (11%).
С момента открытия на платформе зарегистрировалось 7537 исследователей; программы представили Rambler&Co, VK, «Госуслуги», «Одноклассники», «Тинькофф».
«Одним из наиболее значимых показателей результативности платформы является количество полученных валидных отчетов о найденных уязвимостях, — сказал менеджер по продукту Standoff 365 Анатолий Иванов. — Таковыми, как правило, считаются отчеты исследователей, которые прошли верификацию со стороны платформы и представителя программы. Всего багхантеры отправили 1479 отчетов, из которых 10% (152) были с критически опасными уязвимостями и 19% (287) — с уязвимостями высокой степени опасности».
За полтора года работы Standoff 365 Bug Bounty хакеры нашли уязвимости 71 типа по классификации CWE (Common Weakness Enumeration) в веб-приложениях. Недостаток CWE-79 — «Некорректная нейтрализация входных данных при генерировании веб-страниц (межсайтовое выполнение сценариев)» — занял первое место по популярности, так как попал в 22% отчетов.
Одна из ведущих мировых платформ багбаунти HackerOne тоже ведет статистику по CWE, где также публикуются недостатки безопасности, которые ранжируются по количеству отчетов с ними. В Positive Technologies отметили, что данные с двух платформ схожи, а следовательно, Standoff 365 Bug Bounty поддерживает мировые тренды даже в статистике об уязвимостях инфраструктур организаций.
От программы к программе метрика пиковой выплаты может значительно различаться. В одной за критически опасную уязвимость могут выплатить несколько тысяч рублей, а в другой — более 3 млн руб. Размеры вознаграждений зависят от самой компании: ее доходов, масштаба, информации, с которой она работает.
«По нашим данным, ИТ-компании и организации из финансовой сферы выплатили хакерам больше, чем компании из других отраслей, представленных на платформе, — сказал Григорий Прохоров, аналитик исследовательской группы департамента аналитики Positive Technologies. — На них суммарно приходится 81% вознаграждений, несмотря на то что количественно они представлены лишь в 44% программ. Мы отмечаем, что уровень выплат на зарубежных платформах сопоставим с аналогичными программами на Standoff 365 Bug Bounty. Например, на платформе HackerOne вознаграждения по ним могут составлять до $20 тыс. в зависимости от компании — участника программы».
На сегодняшний день на платформе разместили свои программы организации из разных отраслей: ИТ, торговля, финансы, ИТ учреждения. Наибольшее количество программ представлено в секторе IT (38%), среди государственных учреждений (17%) и образовательных платформ (11%).
С момента открытия на платформе зарегистрировалось 7537 исследователей; программы представили Rambler&Co, VK, «Госуслуги», «Одноклассники», «Тинькофф».
«Одним из наиболее значимых показателей результативности платформы является количество полученных валидных отчетов о найденных уязвимостях, — сказал менеджер по продукту Standoff 365 Анатолий Иванов. — Таковыми, как правило, считаются отчеты исследователей, которые прошли верификацию со стороны платформы и представителя программы. Всего багхантеры отправили 1479 отчетов, из которых 10% (152) были с критически опасными уязвимостями и 19% (287) — с уязвимостями высокой степени опасности».
За полтора года работы Standoff 365 Bug Bounty хакеры нашли уязвимости 71 типа по классификации CWE (Common Weakness Enumeration) в веб-приложениях. Недостаток CWE-79 — «Некорректная нейтрализация входных данных при генерировании веб-страниц (межсайтовое выполнение сценариев)» — занял первое место по популярности, так как попал в 22% отчетов.
Одна из ведущих мировых платформ багбаунти HackerOne тоже ведет статистику по CWE, где также публикуются недостатки безопасности, которые ранжируются по количеству отчетов с ними. В Positive Technologies отметили, что данные с двух платформ схожи, а следовательно, Standoff 365 Bug Bounty поддерживает мировые тренды даже в статистике об уязвимостях инфраструктур организаций.
От программы к программе метрика пиковой выплаты может значительно различаться. В одной за критически опасную уязвимость могут выплатить несколько тысяч рублей, а в другой — более 3 млн руб. Размеры вознаграждений зависят от самой компании: ее доходов, масштаба, информации, с которой она работает.
«По нашим данным, ИТ-компании и организации из финансовой сферы выплатили хакерам больше, чем компании из других отраслей, представленных на платформе, — сказал Григорий Прохоров, аналитик исследовательской группы департамента аналитики Positive Technologies. — На них суммарно приходится 81% вознаграждений, несмотря на то что количественно они представлены лишь в 44% программ. Мы отмечаем, что уровень выплат на зарубежных платформах сопоставим с аналогичными программами на Standoff 365 Bug Bounty. Например, на платформе HackerOne вознаграждения по ним могут составлять до $20 тыс. в зависимости от компании — участника программы».