Архив рубрики ~Лента новостей~

Награды за обнаружение багов в эпоху Мифоса

Награды за обнаружение багов в эпоху Мифоса
Награды за обнаружение багов в эпоху Мифоса

Программы вознаграждения за обнаружение уязвимостей сейчас меняются быстрее, чем когда-либо за свою тридцатилетнюю историю. С одной стороны, развитие исследований с использованием ИИ привело к тому, что многие программы оказались переполнены малоинформативными «некачественными» данными. С другой стороны, передовые модели начинают создавать проверенные, воспроизводимые и эксплуатируемые уязвимости со скоростью, сравнимой со скоростью работы машин. Обе тенденции ускоряются, и ни одна из них не собирается меняться вспять.

Этот сдвиг меняет предназначение программы вознаграждения за обнаружение уязвимостей. Это уже не просто канал для получения внешних находок. Это проверка в реальном времени того, насколько ваши механизмы сортировки, проектирования и реагирования способны справиться с процессом обнаружения уязвимостей, который изменился под руководством всех, кто им управляет.

В этой статье мы расскажем о том, как, по нашему мнению, эти изменения влияют на ситуацию, что они требуют от программ вознаграждения за обнаружение уязвимостей и как наша программа развивалась, чтобы соответствовать этим требованиям. Мы также расскажем о результатах за 2025 год — ведь в 2025 году исполняется тридцать лет с момента запуска первой известной программы вознаграждения за обнаружение уязвимостей, когда Netscape пригласила исследователей найти уязвимости в ранней бета-версии браузера, и восемь лет с момента запуска нашей собственной публичной программы.

Искусственный интеллект меняет облик программ вознаграждения за обнаружение уязвимостей.

Сигнал, который вы, вероятно, слышите прямо сейчас, — это халтура, всплеск низкокачественных заявок, обработанных с помощью ИИ, которые забивают очереди обработки по всей отрасли. Это реально, и это болезненно. Но это также и меньшая половина происходящего. Под этим шумом ИИ начинает выдавать подтвержденные, пригодные для использования результаты со скоростью машины, и эта возможность быстро улучшается.

Одновременно могут быть верны две вещи:

  1. Компания Slop будет расти (больше автоматизации, больше заявок, больше нагрузки на сортировку).
  2. Возможности улучшатся (модели станут лучше анализировать кодовые базы, строить гипотезы об уязвимостях и находить неочевидные цепочки атак).

Обе траектории ускоряются, и ни одна из них не изменит направление. Прежде чем мы перейдем к тому, как должны развиваться программы, стоит начать разговор с того, как выглядели восемь лет работы нашей программы, потому что навыки, выработанные программами с течением времени, являются важной частью того, что делает их устойчивыми к таким изменениям.

Как развивалась наша программа

Мы не разрабатывали нашу программу поиска уязвимостей с учетом эпохи Mythos; никто этого не делал. Но восемь лет ее работы, доработки и извлечения уроков позволили нам лучше подготовиться к грядущим вызовам, чем программа, разработанная сегодня и запущенная с нуля.

В процессе бурения…

В 2015 и 2016 годах мы проводили частные программы вознаграждения за обнаружение уязвимостей, но 14 декабря 2017 года запустили нашу публичную программу на платформе Bugcrowd, одновременно с принятием политики раскрытия информации об уязвимостях.

С тех пор, на момент написания этой статьи, мы выплатили компенсации за 1343 уязвимости (почти 1337!) из 7091 полученных заявок, общая сумма вознаграждений составила 599 695 долларов.

Причины запуска этой программы просты и напрямую связаны с принципами обеспечения безопасности на этапе проектирования:

  • Мы никогда не сможем выявить все проблемы собственными силами. Стимулирование внешних исследований позволяет расширить охват продуктов, конфигураций и моделей угроз, которые мы не можем полностью воспроизвести внутри компании.
  • Принцип «безопасной гавани» имеет значение. Безопасность повышается быстрее, когда исследователи могут сообщать о результатах добросовестно, с четкими правилами взаимодействия. (Подробнее о том, почему такая формулировка важна на практике, читайте здесь.)
  • Непрерывная и разнообразная оценка. Программы вознаграждения за обнаружение уязвимостей обеспечивают круглогодичный контроль, а не оценку «в моментальный момент».
  • Мы учимся быстрее. Диалог с исследователями — это форма прикладной подготовки для инженеров, особенно когда результаты выявляют системные уроки проектирования, а не просто единичные ошибки.

С самого начала мы знали, что у программы будут недостатки:

  • Некоторые охотники предпочитают добывать большое количество дичи, но при этом избегать трудностей. Это может исказить результаты в сторону менее серьезных проблем. Это полезно, но не всегда соответствует тем рискам, которые мы больше всего хотим устранить.
  • Разногласия неизбежны (по вопросам воспроизводимости, серьезности, масштаба). Это часть процесса, и это одна из причин, по которой мы решили запустить программу через надежную стороннюю платформу.
  • Накладные расходы на проверку — это реальная проблема. Дубликаты, записи, выходящие за рамки допустимого, ложные срабатывания и уже выявленные уязвимости — всё это требует фильтрации. Соотношение действительных и недействительных записей всегда было довольно низким, что исторически затрагивало многие программы, а ИИ значительно усугубил эту проблему. Разочарование Даниэля Стенберга некачественной работой ИИ в cURL служит полезным ориентиром; он полностью прекратил выплату денежных вознаграждений в этой программе в январе 2026 года.

Последние результаты

В 2025 году наша программа вознаграждения за обнаружение уязвимостей продолжила свою работу с уровнем вознаграждения до 80 000 долларов США. Наши специальные цели и соответствующие вознаграждения были следующими:

  • Intercept X Endpoint (Windows): до 80 000 долларов США
  • Sophos Central: до 50 000 долларов США
  • Межсетевой экран Sophos: до 50 000 долларов США
  • Премиальное вознаграждение. Целевые суммы вознаграждения: до 8000 долларов.
  • Целевые суммы, не превышающие 5000 долларов.

Вот краткий обзор наших показателей на 2025 год:

  • Мы выделили 59 400 долларов на оплату более чем 52 отчетов.
  • В исследовании приняли участие около 420 исследователей из разных стран мира.
  • Средний размер ежемесячного вознаграждения составлял 6000–7000 долларов, что соответствует уровню 2024 года.

Мы также внесли ряд изменений и улучшений в наши программы вознаграждения за выявление уязвимостей и связанные с ними инициативы:

  • Обновлен пороговый уровень для достижения целевой суммы вознаграждения за выполнение требований брандмауэра с целью повышения прозрачности.
  • Завершили закрытую программу Bugcrowd по программе раннего доступа к нашему межсетевому экрану, представив новую архитектуру плоскости управления.
  • Запущена еще одна частная программа Bugcrowd для продвижения следующего важного этапа разработки Sophos Taegis (XDR), которая успешно функционирует.

А вот более подробная информация по некоторым из них:

Перехват конечной точки X (Windows) Специальная цель

В рамках проекта Intercept X Endpoint (Windows) были внесены изменения в размеры и структуру вознаграждений, чтобы стимулировать более глубокие исследования. Например, максимальное вознаграждение за одну проблему составляет 80 000 долларов за демонстрацию удаленного выполнения кода без щелчка мыши (RCE).

В течение 2025 года мы получили семь сообщений об уникальных, подтвержденных уязвимостях безопасности в Intercept X Endpoint и выплатили в общей сложности 9600 долларов. Самое высокое вознаграждение в 2025 году получил один исследователь за три сообщения, за каждое из которых он получил 2000 долларов. Эти сообщения касались атак с выходом за пределы допустимого диапазона чтения.

Sophos Central Special Target

Мы продолжаем работу над этой задачей, и за каждую категорию уязвимостей, указанную в списке специальных целевых показателей Sophos Central, может быть выплачена максимальная компенсация в размере 50 000 долларов.

В течение 2025 года мы получили 13 сообщений об уникальных, подтвержденных уязвимостях безопасности в Sophos Central и выплатили в общей сложности 11 650 долларов. Наибольшая сумма вознаграждения в 2025 году составила 5500 долларов за сообщение, связанное с подменой HTTP-запросов.

Sophos Firewall — особая цель

Эта цель существует уже более года, и мы продолжаем получать множество интересных сообщений. Мы благодарны исследовательскому сообществу за поддержку в повышении безопасности этого продукта, поскольку наши команды также извлекают уроки из подтвержденных сообщений. В 2025 году мы внесли некоторые изменения в требования к этой специальной цели — подробности см. на странице Sophos Firewall Special Target.

В течение 2025 года мы получили 13 сообщений об уникальных, подтвержденных уязвимостях безопасности в межсетевом экране Sophos и выплатили в общей сложности 21 500 долларов. Наибольшая сумма вознаграждения в 2025 году составила 8000 долларов за сообщение, связанное с SQL-инъекцией (SQLi) на этапе предварительной аутентификации.

Введение частных программ заслуживает отдельного упоминания. Мы постоянно оцениваем масштабы наших инициатив, и призываем всех участников программ по поиску уязвимостей делать то же самое. Мы добавляем новые продукты, меняем параметры и корректируем вознаграждения, чтобы отразить изменения не только в наших продуктах и инфраструктуре, но и в контексте наших более широких внутренних усилий по обеспечению безопасности. Эта постоянная перенастройка – именно то, что необходимо программам по мере ускорения перехода к искусственному интеллекту. Один из «индикаторов здоровья», за которым мы внимательно следим: со временем уязвимости брандмауэров становятся все более сложными для эксплуатации, появляется все больше нишевых проблем, все больше цепочек уязвимостей, что говорит о том, что базовое усиление защиты работает, и исследователям приходится прилагать больше усилий для достижения значимого результата.

Принципы безопасности при проектировании на практике: уроки, извлеченные из ситуации под давлением.

Один из важнейших уроков, которые мы усвоили, заключается в том, что наилучшие результаты достигаются, когда программа вознаграждения за обнаружение уязвимостей рассматривается как часть системы, а не как отдельный почтовый ящик. Две истории, приведенные ниже и связанные с Тихоокеанским регионом, иллюстрируют, почему это так — и почему эта дисциплина будет иметь большее, а не меньшее значение по мере того, как ИИ меняет темпы исследования уязвимостей.

История о дружбе: когда сотрудничество работает именно так, как задумано.

В наших отчетах по Тихоокеанскому региону мы отслеживали действия злоумышленников, нацеленных на наши продукты и инфраструктуру, включая атаки Asnarök, которые использовали ранее неизвестную SQL-инъекцию (CVE-2020-12271), приводящую к удаленному выполнению кода на некоторых межсетевых экранах. Вскоре после публикации соответствующих материалов мы получили заявку на поиск уязвимостей от исследователей из Code White, немецкой компании, занимающейся вопросами безопасности.

Их работа — отличный пример лучшей динамики «дружбы»: исследователи подходят к цели с настроем злоумышленника, но выбирают прозрачный и ответственный подход. Изначально они пытались создать эксплойт для удаленного выполнения кода (RCE) для оценки эффективности работы «красной команды», но вместо этого обнаружили другую SQL-инъекцию (CVE-2020-15504), которую можно было использовать для RCE, и сообщили об этом через нашу программу.

График раскрытия информации, представленный в их блоге, подчеркивает то, что мы считаем частью концепции «Безопасность по умолчанию» на практике — скорость и ясность ответа:

  • 04.05.2020 – 22:48 UTC: Уязвимость сообщена в Sophos через Bugcrowd.
  • 04.05.2020 – 23:56 UTC: Sophos подтвердил получение отчета (чуть более часа)
  • 05.05.2020 – 12:23 UTC: Компания Sophos воспроизвела проблему и начала работу над ее устранением.
  • 05.05.2020: Sophos выпустила первое автоматическое исправление (в тот же день).
  • 16.05.2020: Исследователь сообщил о возможном обходе мер безопасности, предусмотренных в исправлении.
  • 21.05.2020: Выпущено второе исправление, отключающее функцию предварительной авторизации при отправке писем в карантин.
  • Июнь 2020 г.: Выпущена прошивка 18.0 MR1-1 со встроенным исправлением.
  • Июль 2020 г.: Выпущена прошивка 17.5 MR13 со встроенным исправлением.
  • 13.07.2020: Опубликована запись в блоге в сотрудничестве с поставщиком.

От первоначального сообщения до подтвержденного воспроизведения проблемы менее чем за 13 часов, и первое исправление в тот же день. Именно такой цикл реагирования позволяет быстро и ощутимо снизить риски для клиентов и экосистемы. Именно такой темп будет необходим в эпоху Mythos.

История о «друзьях-врагах»: когда экосистема становится сложной.

Тихоокеанский регион также преподал более суровый урок. В двух случаях — Asnarök (2020) и Personal Panda (2022) — злоумышленники использовали уязвимости нулевого дня в продуктах Sophos, и вскоре после этого мы получили сообщения о таких же уязвимостях от внешних организаций, занимающихся поиском уязвимостей.

В случае с Asnarök обнаруженная уязвимость отличалась от той, что использовалась при атаке, и исследователь ранее вносил (и продолжает вносить) свой вклад в нашу программу и другие, поэтому у нас было мало уверенности в какой-либо прямой связи. Однако отправка данных была подозрительно спланирована по времени (за день до атаки), и местоположение устройства исследователя также вызывало подозрения: Чэнду, город в Китае, который мы позже определили как эпицентр активности в Тихоокеанском регионе.

В случае с уязвимостью Personal Panda (CVE-2022-1040) ситуация была аналогичной. Исследователь, действовавший под псевдонимом и не желавший раскрывать свою личность, сообщил о взломе нулевого дня в нашу программу вознаграждения за обнаружение уязвимостей и получил за это 20 000 долларов. Исследователь утверждал, что находится в Японии, но IP-адрес используемого им устройства был геолоцирован в Китае. Ретроспективный анализ угроз выявил активную эксплуатацию CVE-2022-1040 ещё до подачи заявки на вознаграждение. Хотя уязвимость была распространена нечасто, характер атак и сроки указывали на целевую аудиторию, соответствующую внешнеполитическим целям КНР.

У нас недостаточно доказательств, чтобы однозначно связать эти атаки с соответствующими сообщениями. Но время, контекст и некоторые признаки указывают на возможность наличия скрытого мотива: злоумышленник использует уязвимость и одновременно пытается монетизировать раскрытие информации, опираясь на предположение о «добросовестности», которое лежит в основе работы систем вознаграждения за обнаружение уязвимостей.

Важно отметить, что это не меняет нашего отношения к исследовательскому сообществу в целом. Подавляющее большинство заявок поступает добросовестно, и наша программа зависит от того, насколько уважительно мы будем относиться к добросовестным исследователям. Мы продолжаем получать ценные заявки от исследователей из Китая, которые демонстрируют глубокое знание внутренней структуры нашего брандмауэра, и их вклад делает наши продукты более безопасными — той же цели, ради которой и была разработана программа. Но опыт стран Тихоокеанского региона подтверждает реальность принципа «безопасность по умолчанию»: программы вознаграждения за обнаружение уязвимостей должны работать с отлаженными операционными механизмами — строгим отбором, дисциплиной проверки и пониманием того, что злоумышленники могут попытаться обмануть любую систему, связанную с деньгами и доверием. Эта дисциплина становится все более важной, а не менее, по мере того, как ИИ расширяет круг участников, которые могут правдоподобно предоставлять высококачественные заявки.

Вернемся к ИИ: куда он движется и чего он требует.

Учитывая восьмилетний опыт работы над программой, вернемся к вопросу об ИИ. Траектории развития и расширения возможностей, описанные в начале этой статьи, больше не являются абстрактными, они меняют облик очереди для всех, кто запускает программу. Три точки зрения помогают понять, что мы видим.

В отрасли наблюдается тенденция к сближению взглядов на эту проблему. Недавняя статья Cloud Security Alliance, посвященная концепции Mythos (Mythos-ready), — это коллективный документ, подготовленный Гади Эвроном из Knostic и соавторами из CSA и SANS, и рассмотренный более чем 250 руководителями служб информационной безопасности (включая автора этой статьи). В ней прямо указывается на этот сдвиг: промежуток между обнаружением уязвимости и ее использованием в качестве оружия сократился до нескольких часов, а программы безопасности, основанные на многонедельных циклах обновления, не были рассчитаны на такую скорость. Программы вознаграждения за обнаружение ошибок находятся на передовой этой проблемы.

Майкл Скелтон, старший вице-президент по операциям в Bugcrowd, поделился наблюдениями из их очередей, иллюстрирующими обе стороны изменений. С одной стороны, группа пользователей быстро расширилась, используя ИИ несколько неосведомленным образом, что привело к росту количества низкоквалифицированных и простых заявок. Это наиболее заметное изменение. Но, как отмечает Скелтон, не самое важное. Более существенный сдвиг заключается в том, что делают опытные исследователи с ИИ. Bugcrowd наблюдает заметный рост охвата уязвимостей, связанных с авторизацией. Во многих программах хакеры выявляют единый вектор обхода авторизации, а затем используют ИИ для его масштабирования по всему клиентскому аккаунту, в некоторых случаях — по нескольким вершинам и поддоменам в рамках программы. Уязвимости авторизации, на устранение которых раньше уходили годы, теперь могут появиться за часы или дни. Скелтон предполагает, что это станет одним из наиболее значимых способов обсуждения влияния ИИ на безопасность, как в наступательном, так и в оборонительном плане.

Это краткосрочная перспектива. Среднесрочная перспектива еще более четкая. Как мы утверждали в нашей недавней статье о потоке уязвимостей, модели «пограничной зоны» выходят за рамки правдоподобно звучащей чепухи и переходят к подтвержденным, эксплуатируемым, высокосерьезным уязвимостям в масштабах всей системы. Предварительная версия Claude Mythos от Anthropic уже обнаружила тысячи уязвимостей нулевого дня в основных операционных системах и браузерах. Наши собственные учения с использованием OpenClaw, проведенные с помощью моделей, предшествующих Mythos, в одной из наших внутренних сетей, сжали дни разведки в часы и выявили критически важные пути эскалации с помощью одной-единственной непривилегированной учетной записи.

Если сложить эти две траектории, то для программ вознаграждения за обнаружение уязвимостей становится очевидным следующее: задача состоит в том, чтобы перейти от фильтрации шума к постоянному потоку реальных результатов, в то время как сам шум продолжает расти.

Что это значит для проектирования программ?

Вопрос не в том, «как остановить или сократить количество заявок от ИИ?», а в том, «как сохранить доверие и сигнал в мире, где и качественные исследования, и информационный шум могут создаваться со скоростью машин?»

Вот в каком направлении, по нашему мнению, должны двигаться программы — включая нашу:

  • По умолчанию предъявляются более строгие требования к доказательствам. Четко обозначенные подтверждения концепции (PoC), журналы, трассировки, затронутые версии и воспроизводимые шаги. Если утверждение не может быть воспроизведено, оно не должно быть включено в конвейер обработки.
  • Улучшенная предварительная фильтрация и автоматизированная проверка. Как на стороне платформы, так и на стороне поставщика. Сигналы репутации и обнаружение ошибок уменьшают входящий шум, но большая возможность заключается в автоматизации самой оценки: создании чистого экземпляра проблемного продукта, воспроизведении представленного PoC и подтверждении или опровержении претензии до того, как её рассмотрит человек. Это тот тип инвестиций в инфраструктуру, который масштабируется с объёмом заявок, которые вот-вот сгенерирует ИИ.
  • Стимулы должны быть ориентированы на глубину. Цепочки действий, реалистичная возможность эксплуатации уязвимостей, новые классы — а не просто «количество багов». Экономика программы должна вознаграждать работу, которую ИИ пока не может выполнить дешево.
  • Разработка программы, учитывающая враждебное поведение. Ограничения скорости запросов, структурированные запросы и четкие правила для подозрительных шаблонов. Один из методов, заслуживающих внимания, — это внедрение в программу уязвимостей типа «медовый токен» — правдоподобно выглядящих, но сфабрикованных проблем, которые не должны появляться в легитимных исследованиях. Запросы, соответствующие этим шаблонам, являются полезным сигналом для выявления недобросовестных или неэффективных конвейеров обработки данных на уровне источника. Любая система, в которой задействованы деньги и доверие, будет подвергнута проверке. Гади Эврон первоначально выдвинул эту идею полушутя, но в эпоху неэффективности она может действительно иметь место. Любая система, в которой задействованы деньги и доверие, будет подвергнута проверке.
  • Повысьте требования к доказательствам и примите неудобный компромисс. Исторически сложилось так, что программы вознаграждения за обнаружение уязвимостей требуют от исследователей прекратить работу, как только у них появятся смутные доказательства обнаружения, ведь вы не хотите, чтобы они углублялись в вашу инфраструктуру или касались данных клиентов. Но эпоха Mythos меняет этот подход. Если обнаруженная уязвимость действительно может быть использована злоумышленниками, это не пустая трата времени; возможность продвинуться дальше и доказать реальное влияние — это именно то, что отличает подлинные исследования от уверенной, на первый взгляд, выдумки. Недавно у нас была настолько наглядная уязвимость, что инженеры Sophos провели часть выходных, пытаясь воспроизвести и устранить её — и в итоге обнаружили, что всё было сфабриковано. По мере повышения пороговых значений доказательств программам придётся пересмотреть свои правила взаимодействия и контракты: предоставлять доверенным исследователям контролируемые пути для более тщательной демонстрации влияния, не подвергая риску реальные данные клиентов. Это реальное противоречие, но сообществу придётся его преодолеть.
  • Более тесное партнерство с платформами. Bugcrowd уже начала двигаться в этом направлении, недавно обновив правила отправки отчетов, контроль скорости обработки и механизмы обнаружения, чтобы бороться с тем, что она называет «неоптимизмом» — большим количеством спекулятивных отчетов, сгенерированных ИИ и отправленных с минимальной проверкой, — и навсегда заблокировав учетные записи, занимающиеся «фармингом» отчетов.

Искусственный интеллект также ускорит работу по «унификации», которую уже ведут многие команды безопасности: объединение результатов пентестов, сканеров, внутреннего тестирования и заявок на поиск уязвимостей в единую систему приоритезации с согласованной оценкой и контекстом. Но есть еще одно важное изменение, которое защитникам не следует упускать из виду. Те же возможности ИИ, которые позволяют злоумышленникам и исследователям быстрее находить ошибки, дают поставщикам программного обеспечения с закрытым исходным кодом асимметричное преимущество — если мы готовы его использовать. Внешние исследователи работают извне, противодействуя бинарным файлам и поведению «черного ящика». Мы работаем изнутри, имея полный доступ к исходному коду, системе сборки и тестовой инфраструктуре. Направлять ИИ на наш собственный код для поиска ошибок раньше тех, кто ищет их у нас, — это не просто желательная функция в эпоху Mythos. Это одно из самых значимых преимуществ защитников, и программы, которые инвестируют в него, будут опережать события, а не гнаться за ними.

Советы по эффективной работе в эпоху Мифоса

Для охотников

  • Воспроизводимость важнее количества. Четкие шаги, доказательства и подтверждение важны как никогда. Особенно когда бригады скорой помощи тонут в информационном шуме.
  • Используйте ИИ как второго пилота, а не как замену. ИИ может помочь в ясности и организации, но люди по-прежнему должны проверять утверждения и предположения. Если вы заявляете об удаленном выполнении кода (RCE), не проверив это, проиграют все, особенно вы.
  • Проявите креативность: идите «зигзагом», когда все остальные «идут зигзагом». Дубликаты случаются. Новизна часто возникает из необычных путей, упущенных из виду настроек или более глубоких цепочек действий. Там, куда не добираются автоматизированные конвейеры отправки.
  • Цените компании, которые ценят исследователей. Программы, которые ценят вашу работу, — это те, в которые стоит вкладывать свое время.

Для организаций

  • Рассматривайте программу вознаграждения за обнаружение уязвимостей как часть концепции «Безопасность по умолчанию», а не как пиар-инициативу. Интегрируйте ее в методы безопасной разработки, тестирование на проникновение, внутренние оценки и рабочие процессы реагирования.
  • Вознаграждайте за достигнутый результат — и за работу, необходимую для его подтверждения. Если отчет демонстрирует реальный риск (даже если доказана только DoS-атака), оценивайте его соответствующим образом, когда вероятность эксплуатации высока.
  • Оценивайте не только объем, но и «здоровье» системы. Со временем уменьшается количество проблем, требующих минимальных усилий? Возвращаются ли исследователи? Смещаются ли ошибки в сторону более труднообнаружимых классов? Это признаки того, что вы делаете что-то правильно, как с продуктами, так и с программой.
  • Постоянно корректируйте масштабы и стимулы. Ваша программа должна развиваться вместе с изменениями архитектуры, зрелостью продукта и контекстом активных угроз — а теперь и с меняющейся формой исследований с использованием ИИ.
  • Используйте данные о отправленных запросах для настройки реагирования на инциденты. Вы сможете «обнаружить исследователя» в телеметрии и выявить любые ранее неизвестные попытки использования уязвимости.
  • Создайте надежную защиту от некачественной автоматизации. Структурированные требования к отправке данных, контроль за доказательствами и сигналы репутации снижают издержки, связанные с ложными сведениями, без наказания добросовестных пользователей.
  • Цените исследователей. Это звучит просто, но это важно. Исследователи, которые чувствуют, что их ценят, возвращаются. Программы, которые относятся к подаче заявок как к неудобству, получают по заслугам.

Заключение

Спустя тридцать лет программы вознаграждения за обнаружение уязвимостей никуда не денутся, но процветать будут те программы, которые будут развиваться. Основные механизмы внешних стимулов, ответственного раскрытия информации и совместного повышения уровня безопасности по-прежнему работают. Меняются лишь масштаб, инструменты и угроза, окружающая эти программы.

Для Sophos главный принцип остается неизменным: программа вознаграждения за обнаружение уязвимостей — это один из способов практической реализации принципов «безопасности по умолчанию» — посредством непрерывной внешней проверки, быстрого реагирования и долгосрочных инженерных улучшений, повышающих базовый уровень для всех. Ситуация с Mythos не меняет этой миссии. Она повышает ставки в вопросе правильного выполнения задачи.

Программы вознаграждения за обнаружение уязвимостей всегда сопряжены с трудностями, поэтому их необходимо тщательно контролировать. Это не панацея и не решение, которое можно просто запустить и забыть. Но при интеграции в другие мероприятия по обеспечению безопасности и при добросовестном сотрудничестве организаций и исследователей вознаграждение может быть весьма значительным.

Читать полностью на источнике

Оцените материал:

Поделиться
Понравилась статья? Расскажите другим
ВКонтакте
Читайте также
Новости робототехники Почему вам следует совмещать ловкость робота с механическим позиционированием для сложных сборочных операций Архив рубрики ~Коротко из Telegram~ Нашёл ещё один токен-выгодный флоу для Fable: Fable 5 можно… Новости робототехники Китайская UBTech показала новое поколение гуманоидов, которых всё сложнее и… Архив рубрики ~Коротко из Telegram~ VK Tech и Yandex B2B Tech рассматривают возможность сотрудничества в… Архив рубрики ~Коротко из Telegram~ 🍒 Anthropic заявила, что связанные с Alibaba структуры использовали почти… Архив рубрики ~Коротко из Telegram~ Инструменты дня 📊 LDOO отвечает на вопросы о ваших маркетинговых данных с… Архив рубрики ~Коротко из Telegram~ 🇷🇺 ФАС России выдала предупреждение компании Apple с обязательством устранить… Архив рубрики ~Коротко из Telegram~ 🇪🇺 Тим Кук отстаивает Siri AI в ЕС на встрече… Архив рубрики ~Коротко из Telegram~ #слухи от Марка Гурмана: три функции iOS и watchOS 27… Архив рубрики ~Обо всем~ Кто такие синтетические покупатели и почему они меняют e-commerce Архив рубрики ~Обо всем~ Компания Bending Spoons, несмотря на спад в секторе SaaS, продемонстрировала рост на 40% в первый день торгов. Новости робототехники Машинное зрение: патенты в мире и в России Новости робототехники В робототехнике повышенная прочность больше не требуется. Архив рубрики ~Коротко из Telegram~ 🎧 Алиса, а можно покороче? Специально для наушников Дропс Алису… Новости робототехники Почему вам следует совмещать ловкость робота с механическим позиционированием для сложных сборочных операций Архив рубрики ~Коротко из Telegram~ Нашёл ещё один токен-выгодный флоу для Fable: Fable 5 можно… Новости робототехники Китайская UBTech показала новое поколение гуманоидов, которых всё сложнее и… Архив рубрики ~Коротко из Telegram~ VK Tech и Yandex B2B Tech рассматривают возможность сотрудничества в… Архив рубрики ~Коротко из Telegram~ 🍒 Anthropic заявила, что связанные с Alibaba структуры использовали почти… Архив рубрики ~Коротко из Telegram~ Инструменты дня 📊 LDOO отвечает на вопросы о ваших маркетинговых данных с… Архив рубрики ~Коротко из Telegram~ 🇷🇺 ФАС России выдала предупреждение компании Apple с обязательством устранить… Архив рубрики ~Коротко из Telegram~ 🇪🇺 Тим Кук отстаивает Siri AI в ЕС на встрече… Архив рубрики ~Коротко из Telegram~ #слухи от Марка Гурмана: три функции iOS и watchOS 27… Архив рубрики ~Обо всем~ Кто такие синтетические покупатели и почему они меняют e-commerce Архив рубрики ~Обо всем~ Компания Bending Spoons, несмотря на спад в секторе SaaS, продемонстрировала рост на 40% в первый день торгов. Новости робототехники Машинное зрение: патенты в мире и в России Новости робототехники В робототехнике повышенная прочность больше не требуется. Архив рубрики ~Коротко из Telegram~ 🎧 Алиса, а можно покороче? Специально для наушников Дропс Алису…

Оставить комментарий