Хакеры могут зарабывать на продаже уязвимостей столько же, сколько ИБ-эксперты на программах bug bounty

Хакеры могут зарабывать на продаже уязвимостей столько же, сколько ИБ-эксперты на программах bug bounty

Доход от киберпреступности оценивается в $1,5 трлн.

Хакеры могут зарабывать на продаже уязвимостей столько же, сколько ИБ-эксперты, принимающие участие в программах вознаграждения за найденные уязвимости, или так называемые «серые шляпы», занимающиеся реверс-инжинирингом для правительства. Так считает глава исследовательского отдела компании Tenable Оливер Рочфорд (Oliver Rochford). По его словам, исследование уязвимостей — дорогостоящий процесс, и «белый», «черный» и «серый» рынки используют одинаковые методы при поиске уязвимостей, несмотря на легальную или нелегальную специфику.

Основная разница между преступными и легальными сторонами заключается в наличии этики. Механизм (обнаружение уязвимостей, исследование эксплоитов и разработка) одинаков как для преступников, так и для исследователей, но разница заключается в том, как стороны используют уязвимости. Например, злоумышленники действуют с целью шпионажа, саботажа и мошенничества, в то время как ИБ-специалисты проводят анализ существующих угроз.

По словам Рочфорда, в некоторых случаях возможно заработать намного больше легальным способом (в данной сфере хакеры могут заработать примерно $75 тыс.). По его данным, на подпольных рынках за уязвимость в Apache или Linux можно заработать около $1 млн, тогда как брокеры эксплоитов предлагают примерно $500 тыс. Уязвимости в WhatsApp для Android также могут принести $1 млн на «черном» и «сером» рынках. В рамках программ bug bounty наиболее прибыльными являются уязвимости, затрагивающие Safari в iOS, а в общем на багах в iOS можно заработать примерно $1 млн, на «сером» рынке — $2 млн.

По словам Рочфорда, у злоумышленников в среднем есть 7 дней на эксплуатацию уязвимости прежде, чем ИБ-эксперты начнут ее анализировать, именно поэтому «компаниям необходимо принимать меры по усилению безопасности».

Согласно недавнему отчету Bromium, доход от киберпреступности оценивается в $1,5 трлн, в то время как общий объем рынка кибербезопасности в 2019 году составил $136 млрд.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!