Armia i Służby
Poszukiwacze bugów odpowiedzią na cyberzagrożenia
Według ekspertów rynek poszukiwaczy podatności (tzw. Bug bounty) stale rośnie. Tylko w ciągu 12 miesięcy na jednym portalu zajmującym się tym zagadnieniem ilość programów wzrosła o ponad 210 proc.
Bug Bounty to program nagród przyznawanych odkrywcom błędów (czyli tak zwanych „bugów”). Polega on na zlecaniu otwartych testów penetracyjnych przez firmy, bądź na znajdowaniu przez łowców błędów w systemach lub stronach www.
Według raportu Bugcrowd wraz ze wzrostem cyberataków rośnie też ilość osób zajmujących się tematyką cyberbezpieczeństwa. Ilość programów bug bounty tylko na platformie Bugcrowd wzrosła od stycznia 2013 roku o ponad 210 proc. W sieci istnieją jeszcze inne portale zajmujące się tą tematyką, jednak Bugcrowd należy do największych z nich.
W raporcie możemy też zauważyć, że przedsiębiorstwa zaangażowane w realizacje programów bug bounty, to już nie tylko firmy informatyczne. Prawie jedna czwarta z nich to tzw. tradycyjne firmy świadczące usługi sprzedaży, bankowości oraz motoryzacyjne. To pokazuje, jak ważne zaczyna być bezpieczeństwo w sieci.
Na poważne programy bug bounty pieniądze mają tylko duże firmy i odzwierciedlenie tego widzimy w raporcie. Za prawie połowę wypłacanych nagród odpowiadają przedsiębiorstwa z zatrudnieniem większy niż 5 tys. osób. Popularność oraz ilość programów, a także większe i poważniejsze zaangażowanie firm, przełożyło się w prostej linii na wysokość wypłacanych nagród: z około 240 do ponad 500 dolarów, w ciągu zaledwie 12 miesięcy.
W raporcie można też przeczytać o nowej grupie tzw. super hunters – super łowców błędów. Jest to grupa specjalistów testów penetracyjnych, która nie zarabia mniej niż kilka, kilkanaście tysięcy za jeden dostarczony błąd. Idea bug bounty traktują na tyle poważnie, że uczynili z niej swoje jedyne źródło dochodu. Reszta, czyli prawie 85 proc. uczestników programu bug bounty szuka błędów po godzinach pracy. Ponad połowa osób zajmujących się testami pochodzi z Indii (43 proc.) oraz Stanów Zjednoczonych (13 proc.).
Cały czas zwiększa się także ilość osób chętnych do brania udział w testach. W ciągu ostatnich 12 miesięcy przybyło co najmniej 7,5 tys. osób, które aktywnie biorą udział w testach. To daje około 26 tys. specjalistów ds. bezpieczeństwa, którzy uczestniczą w programach bug bounty (stan na pierwszy kwartał 2016 roku).
Czytaj też: Atak ransomware może nastąpić w każdej chwili