Информация об уязвимости остается двойственным активом: ее ценность определяется не только техническими характеристиками, но и контекстом использования, который задается рынком. Причем легальный и нелегальный сегменты работают в частично пересекающихся плоскостях, но, как правило, ориентируются на разные уязвимости.
Багбаунти эффективно обеспечивает безопасность внешнего периметра за счет обнаружения множества типичных уязвимостей в веб-приложениях, а также помогает повысить уровень защиты иных продуктов, но уже с меньшей долей вовлеченный белых хакеров. Теневой рынок фокусируется на эксплуатационной ценности, ставя на первое место сложные 0-day-уязвимости в корпоративном ПО, настольных и мобильных ОС, а также продажу готовых доступов к инфраструктуре компаний. В то же время брокеры уязвимостей занимают промежуточное положение, скупая информацию о критических 0-day-уязвимостях для государственных и коммерческих заказчиков, обычно без обязательств информировать затронутые компаний, что создает долгосрочные угрозы, о которых никому (кроме брокера и его клиента) не известно.
Одновременно с этим стоит учитывать, что рынок защитных решений и способов легальной монетизации уязвимостей становится все больше. Для выстраивания результативной кибербезопасности требуется четко понимать задачи, которые решает выбранное решение и какие аспекты закрывает, подбирая экосистему продуктов под конкретную ситуацию. Багбаунти-платформы ограничивают исследователей на согласованной границе демонстрации риска, однако это не значит, что обнаруженная уязвимость не имеет дальнейшей эксплуатационной ценности. Для проверки таких сценариев существуют другие легальные форматы, например кибериспытания, где можно контролируемо проверять развитие атаки, повышение привилегий, перемещение внутри инфраструктуры и реализацию согласованного недопустимого события. В свою очередь, запуск threat-intelligence-платформы может позволить превентивно узнавать о событиях и сделках на теневых рынках и выстраивать проактивную защиту.
Несмотря на то что на нелегальном рынке независимые исследователи безопасности, нашедшие востребованные типы уязвимостей, могут заработать больше, важными преимуществами багбаунти остаются финансовая безопасность, возможность развития личного бренда, отсутствие каких-либо рисков уголовного преследования.
При этом для компаний существует значительный разрыв между затратами на превентивный поиск уязвимостей и ущербом от ликвидации последствий успешной атаки. Организациям стоит рассматривать запуск программ багбаунти и выход на кибериспытания не только как инструменты непрерывной оценки защищенности, но и как способ снижения финансовых рисков с предсказуемым бюджетом. Однако для полноценного проактивного противодействия угрозам следует создавать целую экосистему решений для ИБ.