За последний год Microsoft более чем втрое увеличила выплаты так называемым баг-хантерам - специалистам по информационной безопасности (ИБ), которые за вознаграждение находят уязвимости в программном обеспечении разработчиков софта.
Как выяснилось из сообщения в блоге Microsoft Security Response Center, в минувшем фингоду, который завершился для корпорации 30 июня 2020-го, ИБ-специалисты получили от Microsoft в общей сложности 13,7 миллиона долларов за выявленные уязвимости. Для сравнения, годом ранее сумма вознаграждений баг-хантерам составила 4,4 миллиона долларов.
Интересно, что одной причин такой активности охотников за багами в Microsoft считают пандемию COVID-19 и ограничения, введенные из-за нее. Вынужденные оставаться дома и соблюдать самоизоляцию, ИБ-специалисты с особым рвением участвовали программах Bug Bounty, объявленных корпорацией. Число таких мероприятий, кстати, в минувшем году тоже увеличилось и достигло пятнадцати.
Руководитель проекта Microsoft Bug Bounty Ярек Стэнли (Jarek Stanley) отметил, что компания запустила шесть новых программ поощрения за поиск уязвимостей и объявила о двух новых исследовательских грантах. В результате Microsoft поступило более 1000 отчетов от трех с лишним сотен специалистов со всего мира.
В Microsoft, вероятно, гордятся этой статистикой, раз опубликовали ее в блоге. Однако известный ИБ-эксперт Кэти Муссурис (Katie Moussouris), которая некогда работала в Microsoft и помогала создавать программу по выплате вознаграждений, в комментарии британскому порталу The Register выразила тревогу по поводу растущих выплат баг-хантерам.
Муссурис, основавшая ИБ-компанию Luta Security, считает, что чрезмерный упор на сотрудничество с внештатными баг-хантерами может быть вреден, если это происходит в ущерб инвестициям в свой персонал и выявление ошибок в программном коде собственными силами.
"Хотя мне нравится, что масштабы Bug Bounty-программ Microsoft расширяются, я опасаюсь, что растущие денежные выплаты могут сделать эту практику порочной...Microsoft, конечно же, выделяет средства на собственные ИБ-ресурсы. Однако тенденция назначать большие вознаграждения за нахождение определенных уязвимостей - в размере 250 тысяч долларов или даже миллиона, как сделала Apple, создает риски. У имеющихся в компании ИБ-специалистов возникает искушение оставить свою работу. К тому же, это затруднит набор новых сотрудников. Зачем куда-то устраиваться, когда можно зарабатывать больше денег, оставаясь независимым", - рассуждает Муссурис.
Прежде чем задумываться даже о небольшой программе Bug Bounty, компаниям следует оценить свои силы и возможности в области предотвращения, поиска и устранения уязвимостей, посоветовала бывший стратег Microsoft по информационной безопасности. Она также отметила, что инвестиции в собственные ИБ-ресурсы и кадровые резервы окупаются гораздо эффективнее, чем если компания тратит средства на выплаты вознаграждений за бреши, выявленные силами ИБ-сообщества.