Зачем компаниям выходить на багбаунти: опыт Ozon и Wildberries на Standoff Bug Bounty

Почему компании все чаще выбирают проверку защищенности в формате багбаунти вместо пентестов или аудитов? Об этом в нашем новом видео рассказывают Тимофей Черных, руководитель продуктовой безопасности Ozon, и Александр Хамитов, руководитель продуктовой безопасности Wildberries. А также Анатолий Иванов со стороны Standoff Bug Bounty. Вопросы им задает Алексей Лукацкий, бизнес-консультант по ИБ Positive Technologies. Вместе разбираемся: • Можно ли сдать уязвимость вне скоупа и получить за нее награду. • Как узнать, что дубликат — действительно дубликат, а не попытка сокрытия бага. • Исследователи из каких стран ищут уязвимости в российских компаниях (помимо России). • Что выгоднее для компаний: багбаунти или пентест. • Какая найденная уязвимость может разбудить ИБ-специалиста посреди ночи. • Какой бюджет нужен, чтобы выйти на багбаунти. Внутри: 00:06 вступление 1:00 почему Bug Bounty, а не пентест? 2:28 можно ли считать создание цифрового двойника - Bug Bounty? 5:30 пентест мертв? 12:47 читерство в пентесте 19:33 как разруливаете ситуации с дубликатами? 21:32 багхантеры обвиняли вас в обмане? 25:51 откуда приходят багхантеры? 28:20 насколько у вас внутри компании связаны процессы? 29:45 как оцениваются баги? 34:10 что выгоднее для компании: выплаты пентестерам или багхантерам? 41:45 крутизна компании = сумма, которую компания готова заплатить за багбаунти? 46:25 манипуляция рекомендательными алгоритмами входит в скоуп? 48:45 для чего шлют больше: для веба...