В Positive Technologies подвели итоги работы платформы по поиску уязвимостей Standoff 365 Bug Bounty, запущенной в мае 2022 года. За полтора года количество размещенных программ увеличилось с 2 до 53 и продолжает расти. Размер вознаграждения составляет от девяти тысяч до трех миллионов рублей в зависимости от уровня опасности уязвимости. При этом максимальные выплаты сопоставимы с аналогичными вознаграждениями на мировых площадках.
На сегодняшний день на платформе разместили свои программы организации из разных отраслей: IT, торговля, финансы, государственные учреждения. Наибольшее количество программ представлено в секторе IT (38%), среди государственных учреждений (17%) и образовательных платформ (11%).
С момента открытия на платформе зарегистрировалось 7537 исследователей; программы представили Rambler&Co, VK, Госуслуги, «Одноклассники», «Тинькофф».
«Одним из наиболее значимых показателей результативности платформы является количество полученных валидных отчетов о найденных уязвимостях, — говорит менеджер по продукту Standoff 365 Анатолий Иванов. — Таковыми, как правило, считаются отчеты исследователей, которые прошли верификацию со стороны платформы и представителя программы. Всего багхантеры отправили 1479 отчетов, из которых 10% (152) были с критически опасными уязвимостями и 19% (287) — с уязвимостями высокой степени опасности».
За полтора года работы Standoff 365 Bug Bounty хакеры нашли уязвимости 71 типа по классификации CWE (Common Weakness Enumeration) в веб-приложениях. Недостаток CWE-79 —«Некорректная нейтрализация входных данных при генерировании веб-страниц (межсайтовое выполнение сценариев)» — занял первое место по популярности, так как попал в 22% отчетов.
Одна из ведущих мировых платформ багбаунти HackerOne тоже ведет статистику по CWE, где также публикуются недостатки безопасности, которые ранжируются по количеству отчетов с ними. В Positive Technologies отметили, что данные с двух платформ схожи, а следовательно, Standoff 365 Bug Bounty поддерживает мировые тренды даже в статистике об уязвимостях инфраструктур организаций.
От программы к программе метрика пиковой выплаты может значительно различаться. В одной за критически опасную уязвимость могут выплатить несколько тысяч рублей, а в другой — более трех миллионов. Размеры вознаграждений зависят от самой компании: ее доходов, масштаба, информации, с которой она работает.
«По нашим данным, IT-компании и организации из финансовой сферы выплатили хакерам больше, чем компании из других отраслей, представленных на платформе, — говорит Григорий Прохоров, аналитик исследовательской группы департамента аналитики Positive Technologies. — На них суммарно приходится 81% вознаграждений, несмотря на то что количественно они представлены лишь в 44% программ. Мы отмечаем, что уровень выплат на зарубежных платформах сопоставим с аналогичными программами на Standoff 365 Bug Bounty. Например, на платформе HackerOne вознаграждения по ним могут составлять до 20 тыс. долл. в зависимости от компании — участника программы».
Кроме того, в 2023 году Standoff 365 Bug Bounty было организовано два закрытых мероприятия Standoff Hacks, где багхантерам предоставили возможность поучаствовать в закрытых программах. Только по итогам последнего события общая сумма выплат составила 11 470 740 рублей.