Поиск простых уязвимостей за вознаграждение теряет прибыльность
22.02.2017
Минувшая неделя оказалась насыщенной различными событиями и объявлениями, большинство из которых состоялось на международной конференции по информационной безопасности RSA.
В частности, компания Qualys объявила о заключении партнерского соглашения с Bugcrowd, предлагающей программу вознаграждения за найденные уязвимости. Таким образом, уязвимости, обнаруженные при помощи сканера Qualys WAS, более не будут рассматриваться в рамках программ Qualys и Bugcrowd. Иными словами, исследователи безопасности, зарабатывающие легкие деньги, предлагая информацию о незначительных уязвимостях, потеряют источник дохода, пишет эксперт Илья Колошенко в статье на портале CSO.
По его словам, шансы выявить подлежащую вознаграждению уязвимость за определенное время равны практически нулю, поскольку "все уже найдено и описано". Многие исследователи идут по более простому пути и используют различные сканеры для поиска простых уязвимостей, оперативно сообщают о них и переключаются на другую легкую цель. До настоящего момента такая модель была довольно устойчива.
Компаниям будет выгоден новый подход, отмечает Колошенко. Исключение из программ по выплате вознаграждений простых XSS и тому подобных уязвимостей уменьшит "мусорный трафик" и повысит средний уровень качества тестирования.
"Развивающиеся программы выплаты вознаграждений за найденные уязвимости пересматривают свои критерии, одновременно сдерживая расходы. Снижение уровня шума приветствуется, тем не менее, сфера безопасности, как всегда испытывающая нехватку квалифицированных исследователей, может столкнуться с более существенными проблемами", - прокомментировал руководитель отдела кибербезопасности PwC Марк Барвински (Mark Barwinski).
