12 мая 2022
11:00

Bug Bounty — как белым хакерам заработать в России на поиске уязвимостей

Проиграть видео

О мероприятии

Несмотря на всевозможные программы тестирования, массовое внедрение SDL и процесса DevSecOps в разработке, во всем без исключения ПО обнаруживаются критические уязвимости, приводящие к инцидентам, убыткам и репутационным потерям. Публичные программы Bug Bounty уменьшают эту вероятность. Они предусматривают денежные вознаграждения или другие бенефиты за нахождение багов и уязвимостей в софте и разработку эксплойтов под них.

Обсудили, для чего стоит прибегать к программе Bug Bounty, как правильно организовать и провести такую программу. Какой бюджет для этого понадобится. Рассказали о лучших практиках Bug Bounty в России. Какие специализированные платформы для этого существуют и в чем состоит их польза.

Программа

Программы Bug Bounty в России

Что такое программа Bug Bounty и зачем она нужна?

Для каких компаний и проектов подходит Bug Bounty?

Каким должен быть масштаб использования ПО, чтобы Bug Bounty был эффективен?

В чем разница между Bug Bounty и Red Teaming?

Если мы заплатим компании пентестеров, то это заменит Bug Bounty?

Сколько стоит провести Bug Bounty в России?

Примеры успешных Bug Bounty в России?

Как привлечь белых хакеров в свою программу Bug Bounty

"Охотники за уязвимостями"или исследователи – кто они?

Как привлекать "охотников за уязвимостями" в свою программу?

Сколько платят за обнаружение ошибок или уязвимостей?

Нужно ли ориентироваться на расценки в даркнете?

Что может привлечь исследователей помимо денег?

Возможно ли проводить Bug Bounty в масштабах одной страны?

Нужна ли какая-то фильтрация участников?

Особенности проведения Bug Bounty

Проводить Bug Bounty самому или с помощью специализированной платформы?

HackerOne перестал работать с российскими компаниями. Насколько это критично?

Какие есть российские альтернативы HackerOne?

Какие возможности предоставляют заказчикам российские платформы Bug Bounty?

Что нужно для старта программы Bug Bounty?

Как правильно сформулировать правила для программы Bug Bounty?

Кто будет оценивать найденные ошибки или уязвимости?

Были случаи, когда найденные уязвимости не были оценены должным образом. Как избежать негативных последствий?

Как рассчитать и обосновать бюджет на Bug Bounty?

Как оценивать эффективность проведенной программы Bug Bounty?

Прогнозы развития программ Bug Bounty в России

Будут ли программы Bug Bounty набирать популярность в России?

Не приведет ли "выключение" России из международного ИБ-сообщества к деградации эффективности этого метода?

Как будут развиваться российские аналоги HackerOne?

Нужна ли нам национальная российская платформа Bug Bounty?

Модератор

Генеральный директор

«АМ Медиа»

Спикеры

Директор департамента защиты инфраструктуры

VK

Технический директор

Weblock (входит в группу компаний «Гарда»)

Руководитель отдела безопасности программного обеспечения

«Лаборатория Касперского»

The Standoff CPO

Positive Technologies

CPO CICADA8

Future Crew

Партнеры

Контакты

Илья Шабанов

Генеральный директор
«AM Медиа»

Анна Щербакова

Директор по работе с партнёрами «АМ Медиа»

Стать участником мероприятия

Заполните форму и наш представитель свяжется с вами