Хотя Gartner еще не выпустил Magic Quadrant для пентестов, компания Gartner Peer Insights уже включила 24 поставщика в категорию «Услуги по массовому тестированию на предмет наличия ошибок в приложениях».
Мы собрали 5 самых многообещающих платформ для тех из вас, кто хочет расширить свой существующий арсенал пентеста за счет знаний и опыта международных исследователей в области безопасности:
1. HackerOne
Будучи широко популярной и поддерживаемой многочисленными авторитетными венчурными капиталистами, HackerOne является, пожалуй, самым известным и признанным брендом Bug Bounty в мире.
Согласно последнему годовому отчету, более 1700 компаний доверяют платформе HackerOne расширение своих возможностей тестирования безопасности приложений. В отчете также говорится, что только в 2019 году их исследователи в области безопасности заработали около 40 миллионов долларов в виде наград и 82 миллиона долларов в совокупности.
HackerOne также известен тем, что размещает у себя правительственные программы Bug Bounty, в том числе программы раскрытия уязвимостей министерства обороны США и армии США. Как и некоторые другие коммерческие провайдеры программ Bug Bounty и раскрытия уязвимостей, HackerOne теперь также предлагает услуги по тестированию на проникновение, наполненные проверенными исследователями в области безопасности со всего мира. HackerOne имеет солидный портфель сертификатов безопасности, включая ISO 27001 и авторизацию FedRAMP.
2. BugCrowd
Основанная экспертом по кибербезопасности Кейси Эллисом, BugCrowd является, пожалуй, самой креативной и изобретательной платформой Bug Bounty. BugCrowd активно продвигает не только традиционные сервисы массового тестирования, но и управление векторами атак, а также широкий спектр услуг по тестированию на проникновение для IoT, API и даже сетей, опережая своих конкурентов на быстро растущем рынке тестеров.
BugCrowd также метко рекламирует многочисленные возможности интеграции с SDLC (Software Development Life Cycle), что делает DevSecOps-процесс более быстрым и простым для состоятельных клиентов.
BugCrowd известен своими программами Bug Bounty для таких гигантов индустрии, как Amazon, VISA и eBay, а также сотрудничеством со знаменитой образовательной ассоциацией по кибербезопасности. Многие начинающие исследователи в области безопасности хорошо знакомы с BugCrowd благодаря университету BugCrowd, вебинарам по безопасности, а также обучению, которое BugCrowd организует как для своих клиентов, так и для исследователей.
3. OpenBugBounty
Стремительно развивающийся проект OpenBugBounty является единственным некоммерческим проектом в нашем списке. В рейтинге Alexa говорится, что OpenBugBounty вот-вот успешно опередит большинство своих коммерческих конкурентов.
Имея более 1200 активных программ Bug Bounty, OpenBugBounty также позволяет координировать раскрытие проблем безопасности на любом сайте, если проблема была обнаружена неинтрузивными средствами. Создание программы Bug Bounty абсолютно бесплатно, и владельцы сайтов не обязаны делать денежные выплаты исследователям, но платформа поощряет к тому, чтобы поблагодарить исследователей и дать общественную рекомендацию за их усилия.
На OpenBugBounty размещены программы Bug Bounty для таких компаний, как A1 Telekom Austria и Drupal, на данный момент представлено более 20 000 исследователей, занимающихся вопросами безопасности, и почти 800 000 уязвимостей, связанных с безопасностью. Платформа утверждает, что ее политики и процессы раскрытия информации основаны на стандарте ISO 29147.
OpenBugBounty также сотрудничает с национальными CERT и правоохранительными органами, предоставляя им бесплатный API к платформе, сохраняя конфиденциальность деталей уязвимостей, если только исследователь не раскроет свои выводы общественности.
4. SynAck
При поддержке многих известных венчурных фондов, включая Intel Capital и Kleiner Perkins, компания SynAck четыре раза подряд, с 2015 по 2019 гг., называлась «CNBC Disruptor». SynAck стоит на вершине рейтинга коммерческих платформ Bug Bounty «Top 25 корпоративных программных стартапов Gartner».
Основанная Джеем Капланом и Марком Куром, исследователями кибербезопасности и ветеранами национальных агентств безопасности США, SynAck предлагает элитную команду тщательно проверенных исследователей в области кибербезопасности, известную как «Red Team» (SRT). По словам SynAck, группа SRT состоит из экспертов в области безопасности с проверенным опытом и солидной репутацией.
SynAck успешно позиционирует себя в качестве лидера в области надежных услуг по массовому тестированию безопасности, проводя комплексную проверку работы своей команды и записывая всю свою деятельность для последующего анализа и разбора. Наконец, SynAck успешно развивает партнерские отношения и технологические альянсы с лидерами отрасли, включая Microsoft, AWS и HPE, демонстрируя сильный потенциал для дальнейшего роста.
5. YesWeHack
YesWeHack - восходящая звезда нашего рейтинга на 2021 год. Единственная европейская компания, раскрывающая информацию об ошибках и уязвимостях, YesWeHack эффективно привлекает компании из стран ЕС, основной задачей которых является строгая конфиденциальность и защита данных. Недавно YesWeHack объявил о рекордном 250-процентном росте в Азии в течение 2020 года, продемонстрировав, что европейские стартапы способны масштабироваться по всему миру.
Подобно BugCrowd, YesWeHack хорошо подготовлен к инвестициям в человеческий капитал. В прошлом году она запустила обучающую программу, которая поможет исследователям оттачивать свои хакерские навыки с помощью платформы YesWeHack DOJO. Она включает в себя вводные курсы и задачи обучения, сосредоточенные на конкретных уязвимостях безопасности и игровых площадках.
С DOJO исследователи безопасности со всего мира могут улучшить свои навыки тестирования безопасности программного обеспечения. Наконец, YesWeHack убедительно демонстрирует свою способность привлекать авторитетных европейских клиентов, таких как французский конгломерат OVH.
Программы Bug Bounty начали переход от чистого тестирования безопасности к многофункциональным платформам кибербезопасности, предлагая классическое тестирование на проникновение и множество других сервисов. Сегодня трудно предсказать, насколько успешным будет их предложение в сравнении с традиционными MSSP и поставщиками кибербезопасности; однако, такие сервисы, безусловно, создали новую нишу рынка с мощным потенциалом.
В то же время открытый и бесплатный проект OpenBugBounty привносит в бизнес зрелость, как это сделал открытый Linux против Microsoft десятилетия назад, позже породив многомиллиардный бизнес Red Hat.
Это показатель того, что рынок Bug Bounty становится всё более и более конкурентным, в то время как новички всё ещё присоединяются к игре. Вероятно, мы можем ожидать еще большего количества сделок, инвестиций капитала, слияний и поглощений, способствующих дальнейшему расширению рынка массового Bug Bounty.
Перевод сделан со статьи: https://thehackernews.com
