Наемные хакеры спасают IT компании от реального взлома

Согласно новым данным, опубликованным этической хакерской платформой Bugcrowd, внештатные хакеры могут зарабатывать более 500 000 долларов в год на поиске уязвимостей и сообщении об этих проблемах компаниям, таким как Tesla и правительственных организациям - типа  Министерства обороны.

Компания, основанная в 2012 году, является одной из немногих так называемых компаний, предлагающих «баг-баунти», которые предоставляют платформу ориентированную на хакеров для безопасного поиска уязвимостей в компаниях, которые хотят пройти тестирование.

Хакеры работают над четко определенным контрактом для конкретной компании и получают вознаграждение, когда они могут найти изъян в сетевой части компании. Сколько им платят, зависит от того, насколько серьезна решенная ими проблема.

Компании все чаще ищут альтернативы для тестирования кибербезопасности, говорит генеральный директор Bugcrowd Кейси Эллис. По некоторым оценкам, к 2021 году могут остаться открытыми до 3,5 миллионов рабочих мест .

В прошлом году компания увидела крупнейшую выплату за один эксплойт - 113 000 долларов за ошибку, обнаруженную в крупной компании, выпускающей техническое оборудование, сказал Эллис. Согласно данным, выплаты выросли на 37 процентов в годовом исчислении в 2018 году.

Согласно исследованию, половина этических хакеров - или экспертов по безопасности, нанятых для проникновения в сети и компьютерные системы от имени их владельцев - сообщили о том, что они работают на полную ставку. Около 80 процентов сказали, что усилия помогли им найти работу в области кибербезопасности. По словам Эллиса, средние ежегодные выплаты для топ-50 хакеров составили около 145 000 долларов.

По словам Эллиса, хакеры, заработавшие больше всего денег, обладают определенными необходимыми навыками.

«Они нашли определенный класс уязвимости, и они снова и снова идут в разные компании. Они будут разбираться в киберпространстве и пытаться найти как можно больше возможностей для использования этой уязвимости», - сказал Эллис.

«Они также обладают хорошими навыками разведки и способны понять, что может нанести наибольший ущерб организации. Хорошее понимание того, как работает бизнес или как строится их инфраструктура, действительно полезно», - добавил он.

И в то время как 94 процента охотников Bugcrowd в возрасте от 18 до 44 лет, некоторые все еще в средней или средней школе. Эллис сказал, что стоимость входа низкая и основана на навыках. Около четверти хакеров на платформе не имеют высшего образования.

Компании, пытающиеся взломать

Чтобы защитить себя от кибератак, компании используют ряд методов, позволяющих людям с навыками взлома проверять свою защиту. Некоторые компании используют собственных тестеров проникновения, часто назначая их в так называемые “красные команды”, которые играют роль злонамеренного коллектива, пытающегося уничтожить корпоративные серверы или украсть информацию.

Другие используют консалтинговые фирмы, которые предлагают эту услугу, или такие компании, как Bugcrowd, HackerOne, Synack и Cobalt. Или же они просто делают электронное сообщение с отчетом для любого, кто находит проблемы, чтобы обратиться к ним.

Эллис сказал, что программы по защите от ошибок предлагают более формализованный подход с правилами, которым должны следовать хакеры, например, не перепрыгивать с сервера для тестирования на другие серверы с более конфиденциальными данными.

IJet и Tesla платят хакерам от 1000 до 15000 долларов за поиск проблем, в зависимости от серьезности проблемы. Mastercard выплачивает до 3000 долларов. В октябре министерство обороны заключило контракты с « Взломом Пентагона» для Bugcrowd и HackerOne для их краудсорсинговых программ.