В 2021 году сумма выплат в рамках bug bounty утроилась

В 2021 году рынок независимых исследований уязвимостей стремительно вырос, а сумма выплаченных вознаграждений в рамках программ bug bounty утроилась, достигнув почти $37 млн. Об этом сообщается в отчете компании HackerOne, предоставляющей услуги по управлению программами bug bounty.

Отчет основывается исключительно на данных программ HackerOne, но демонстрирует общую тенденцию. Так, в 2020 году число уязвимостей, раскрытых в рамках программы Zero Day Initiative (ZDI) компании Trend Micro, перевалило за 1453. Краудсорсинговая платформа Bugcrowd в 2020 году зафиксировала увеличение числа сообщений об уязвимостях на 50%, в частности, на 65% увеличилось количество сообщений о проблемах первостепенной важности.

Согласно отчету HackerOne, в 2021 году количество сообщений об уязвимостях в рамках bug bounty увеличилось на 34%.

«На самом высоком уровне большинство организаций сделали обнаружение и устранение уязвимостей главным приоритетом в этом году, в особенности уязвимостей, идентифицированных как критические. Это указывает на то, что бизнес сосредоточился на улучшении своих процессов и вложении в безопасность, чтобы не стать следующими жертвами критической кибератаки», – сообщил старший директор по хакингу HackerOne Крис Эванс (Chris Evans).

Хотя в нынешнем году количество сообщений об уязвимостях увеличилось, фокус сместился в сторону критических. Средняя сумма вознаграждения за критические уязвимости составила $3 тыс. Для сравнения, в прошлом году этот показатель составлял $2,5 тыс. Сумма вознаграждения за уязвимость средней опасности в среднем увеличилась на $50 и составила $500. Однако сумма вознаграждений за уязвимости низкой опасности остались на том же уровне – $150.

Фокус стал смещаться в сторону критических уязвимостей по мере увеличения числа участников программ bug bounty. У около трех четвертей исследователей появилось больше времени на поиски уязвимостей из-за перехода на удаленную работу. 80% исследователей выявили уязвимости, которые не замечали до пандемии, сообщил старший технический директор Bugcrowd Кейси Эллис (Casey Ellis).