Построение Bug-bounty программы for fun and profit

За этот мастер-класс вы узнаете что это такое, как данный подход способен снизить стоимость анализа уязвимостей периметра и возможные сценарии внедрения. Мы рассмотрим возможные подходы к организации, существующие площадки и средне-рыночные стоимости уязвимостей. Так же в рамках семинара будет раскрыта тема организации бизнес-процессов компании для оптимального использования данного инструмента.

00:11 Несколько слов о спикере

00:41 Что подразумевается под уязвимостями на периметре?

01:26 «Потеря денег - самый мирный и прекрасный взлом». О последствиях уязвимостей

03:51 Как минимизировать шансы взлома?

05:28 О наболевшем: где найти толкового специалиста?

07:02 О SDLC

08:21 Мнение эксперта: почему Pentest бесполезен?

11:11 Из чего складываются затраты компании на информационную безопасность?

12:00 Дикие хакеры и потеря мотивации: о проблемах, с которыми сталкиваются большинство компаний

13:08 Историческая справка о Bug Bounty Reward Program

16:27 «Весь мир - твоя команда»: зачем нужна Bug Bounty?

25:04 Как собрать Bug Bounty? О методах реализации программы

27:22 «Можно не изобретать велосипед»: о площадках, на которых можно размещать Bug Bounty

32:30 Bug Bounty vs Pentest

33:33 White hat часто готов работать только за «карму»: сравнение стоимости Bug Bounty и Pentest

35:40 История Bug Bounty в компании Qiwi

41:39 Об усвоенных ошибках при запуске Bug Bounty. График статистики запуска Bug Bounty в компании Qiwi

47:48 Что такое M&A?

48:52 Готовьте деньги: как подготовить компанию к использованию Bug Bounty?

53:50 Простые правила: как сделать программу привлекательной для White hat?

56:18 О процедуре запуска Bug Bounty

57:53 Иногда Bug Bounty - это весело

59:14 Резюме доклада: о неоспоримых преимуществах Bug Bounty

1:01:13 Вопросы от слушателей