В информационной безопасности есть множество инструментов контроля качества: внутренние тесты, внешние аудиты, пентесты. Но у всех этих методов есть общее ограничение — они формализованы. Атакующие же редко действуют по чек-листам. Их сценарии непредсказуемы, мотивация разнообразна, а креативность нередко выходит за рамки того, что можно предусмотреть в регламенте. Взять для примера хотя бы недавнюю атаку на Аэрофлот.Кроме того, традиционные проверки ограничены во времени и охвате. Аудит или пентест проводят раз в квартал, или раз в год — и в этот период фиксируют конкретное состояние системы. Но жизнь не стоит на месте: появляются новые уязвимости, обновляются компоненты, меняются архитектурные решения. В результате система, которая вчера считалась «чистой», уже завтра может содержать критические дыры.Поэтому все больше организаций дополняют традиционные практики Bug Bounty программами. Это формат, при котором к поиску уязвимостей подключаются независимые исследователи со всего мира. Их взгляды и подходы позволяют обнаружить ошибки, которые не удается заметить внутренним специалистам или подрядчикам. Читать далее