Záujem o bug bounty platformy a iné formy testovania bezpečnosti neustále rastie, a preto je prirodzena otazka: “Koľko stoja služby bug bounty platforiem vo svete a ktorá je najvýhodnejšia?” Porovnali sme ponuky platforiem z Európy a USA s Hacktrophy, aby ste to už nemuseli robiť vy.
Pri porovnávaní sme sa zamerali na kľúčové parametre bug bounty programov akými sú forma bezpečnostného testovania, počet etických hackerov, výška poplatkov a najmä ceny za jednotlivé služby. Tie sme porovnali s ponukou Hacktrophy, ktorá medzi konkurenciou ponúka najmä veľkú cenovú výhodu. Samotné porovnanie si môžete pozrieť v nižšie priložených tabuľkách.
Platforma | Hacktrophy | Testbirds | Intigriti | YesWeHack | HackerOne | BugCrowd | ZeroCopter |
Založené | 2017, Slovensko | 2011, Nemecko | 2016, Belgicko | 2013, Francúzsko | 2012, San Francisco, USA | 2012, San Francisco, USA | 2014, Holandsko |
Pentesty / Skeny zraniteľností | áno, v spolupráci s externými partnermi | áno(1) | áno | áno | áno(3) | áno | nie |
Bug bounty programy | áno, privátne aj verejné | áno(2), len privátne | áno, privátne aj verejné | áno, len privátne | áno, len privátne | áno, privátne aj verejné | áno, len privátne |
Odporná podpora moderátora | áno, v cene balíka alebo za príplatok | áno, v cene | áno, v cene | áno, externá, za príplatok | áno, v cene | áno, v cene | áno, podľa zvoleného balíka za príplatok |
Demo služieb | áno(4) | N/A | áno | N/A | áno | áno | áno |
Počet etických hackerov | 650 | 300 | 3000 | N/A | min. 166 000 | min. 80 000 | 150 |
Ceny bug bounty programov | Od 2500 EUR | 4000 EUR | od 15 000 EUR | od 6500 EUR | 45 000 USD | od 24 000 USD | od 1000 EUR |
1. „Pentest“ v tomto prípade znamená jednorazový test v dĺžke 2 týždne.
2. Kombinácia balíčkov (pentestov), ktorá je alternatívou bug bounty programu.
3. 1 mesiac trvajúci bezpečnostný test, ktorý je alternatívou pentestu.
4. Vo forme živej video-prezentácie.
Prekvapením je nielen cenová, ale aj ponuková rôznorodosť jednotlivých bug bounty platforiem. Tie sa líšia možnosťami a variáciami testov, ale aj dĺžkou a štýlom testovania. Kvôli rozličnosti jednotlivých ponúk by bolo neefektívne tieto dáta prezentovať v tabuľke, a tak vám v krátkosti opíšeme, čo pod pojmom “bug bounty program” ponúkajú spoločnosti pôsobiace v oblasti testovania IT bezpečnosti.
Hacktrophy
Naša bug bounty platforma ponúka na výber z viacerých verzií verejných bug bounty programov a špecifického privátneho bug bounty programu. Do verejných sa zapája viac než 500 etických hackerov, zaregistrovaných na Hacktrophy, pričom ich moderuje v mene pridelený moderátor. V prípade osobitných požiadaviek, napríklad na výšku testovacieho rozpočtu, môžu firmy využiť program na mieru.
Do privátneho bug bounty programu sa zas zapája 20 vybraných špičkových a preverených profesionálov, ktorí v dohodnutom čase 1 až 3 mesiace dokážu nájsť množstvo bezpečnostných zraniteľností. Keďže privátne programy sa už svojim charakterom blížia penetračným testom, aj ich cena je vyššia. V Hacktrophy si ale dávame záležať na tom, aby celkové náklady našich klientov na takéto testovanie boli najnižšie na globálnom trhu.
Testbirds
Príkladom netradičnosti je hneď prvá zo spomínaných spoločností. Testbirds ruší všetky stereotypy a ku bug bounty programom pristupuje veľmi svojsky. Svojim klientom ponúka len jeden druh takejto služby. Ide o jednorazový test bezpečnosti, ktorý trvá 2 týždne, v základnej cene ponúka 20 testerov a je určený pre rôzne platformy (PC, web, aplikácie, …). V cene testu je zahrnuté manažovanie programu.
Zaujímavosťou je, že TestBirds neponúka žiadne záruky nájdenia zraniteľností. Môže sa tak stať, že po 2-týždňovom testovaní neobjaví žiadny z dvadsiatich testerov bug alebo iný typ bezpečnostného rizika. Cena testu je 4000 EUR.
Belgické Intigriti sa ku bug bounty programom stavia viac pragmaticky. V ponuke majú 3 cenové balíky, ktoré sú rozdelené podľa špecifických požiadaviek klientov a počtu testerov. Aby to nebolo jednoduché, medzi privátnymi a verejnými bug bounty programami rozlišujú 8 medzistupňov. V ponuke majú iba manažované programy. Ich cena je 15 000, 30 000 alebo 60 000 EUR ročne, pričom za jednotlivé zraniteľnosti platíte nad rámec ceny, spolu s 20 % maržou pre Intigrity.
V ponuke francúzskeho YesWeHack nájdete dva typy bug bounty programov. Prvý, označovaný ako starter pack, obsahuje za cenu 6500 EUR štartovací poplatok (1500 €), licenciu v cene 2500€ platnú na 3 mesiace alebo do úrovne 50 nájdených bugov a 2500 € kredit na odmeny pre hackerov. Spoločnosť si navyše účtuje 10 % poplatok za každú vyplatenú odmenu. Ceny sú uvedené bez dane.
Druhý balík ponúka licenciu na 1 rok alebo 75 bugov (10 000 € bez DPH), štartovací poplatok a 7500-eurový kredit na odmeny. Aj v tomto prípade musíte k sume prirátať daň a 10 % maržu z každej odmeny. Celkovo vás tak balík bude stáť minimálne 19 000 € bez DPH.
Jeden z najväčších hráčov na trhu s bug bounty programami – HackerOne – ponúka len jeden typ bug bounty programu s názvom Bounty Pro Managed. S neobmedzeným rozsahom testovania, počtom nájdených bugov a 24-hodinovou podporou z Európy zaň zaplatíte $30,000 ročne. Ku balíku je nutné dokúpiť aj $15,000 kredit na odmeny pre hackerov. V tomto prípade sa priamo z kreditu strháva aj 20-percentná marža pre HackerOne. Keď sa kredit vyčerpá za skôr ako 12 mesiacov, môžete ho navýšiť.
Ďalšia medzinárodne pôsobiaca americká spoločnosť Bugcrowd ponúka širokú škálu bug bounty programov. Rozlišuje medzi privátnymi a verejnými programami, no stoja rovnako – $24,000 ročne. Ak si k základnému balíku dokúpite aj testovanie webových alebo mobilných aplikácií, pripravte si dodatočne $12,000. V manažovaných programoch ponúkajú plnú podporu pre zákazníkov. Kredit na odmeny pre hackerov je nutné dokúpiť zvlášť, no výhodou je, že BugCrowd si pri odmenách neúčtuje žiadnu ďalšiu maržu.
Holandská spoločnosť, ktorá na trhu pôsobí už 4 roky, ponúka 3 úrovne bug bounty programu. V Basic programe si za 1000 €/mesiac môžete nechať otestovať až 3 webstránky alebo aplikácie s reakčným časom 3 dni. Pri programe Standard môžete za 2500 € mesačne počítať s rýchlejšími reakciami (do 2 dní) a otestovať môžete až 10 domén.
Najvyšší program Full ponúka za 5000 € mesačne testovanie až 25 domén alebo aplikácií. Rýchlosť odozvy je 1 deň a v ponuke sa nachádza aj možnosť 24-hodinovej podpory za 2000 € mesačne. Ku všetkým programom spoločnosti ZeroCopter treba doplniť aj kredit na odmeny pre hackerov, ku ktorému si spoločnosť nepridáva žiadnu maržu či extra poplatky.
Jednorazové testy bezpečnosti
Okrem bug bounty programov sme sa v našom porovnaní zamerali aj na penetračné testy alebo v niektorých prípadoch aj na ich alternatívu – privátne, časovo-obmedzené bug bounty programy. Pozrite sa, aké typy jednorazových testov a za aké poplatky ponúkajú jednotlivé platformy. Najdrahšími sú balíky amerických spoločností, ktoré však patria aj medzi najsilnejšie na trhu.
Platforma | Hacktrophy | Testbirds | Intigriti | YesWeHack | HackerOne | BugCrowd | ZeroCopter |
Dĺžka testu | 30 až 90 dní | 14 dní | neznáma | 90 dní alebo 50 chýb | 30 dní | 14 dní | N/A |
Cena testu | min. 3500 EUR + odmeny pre hackerov (min. odporúčaná suma 4000 EUR) | 4000 EUR | podľa špecifikácií, on demand | 4000 EUR + odmeny pre hackerov (2500 EUR) | $22,000 vrátane odmien pre hackerov | $10,000 + odmeny pre hackerov ($15,000) | N/A |
Počet testerov | 20 a viac | 20 | N/A | N/A | Podľa špecifikácií testu | 15 – 30 | N/A |
Extra odmena pre platformu | 20 % z odmeny pre hackera | Nie | 20 % z odmeny pre hackera | 10 % z odmeny pre hackera | 20 % z odmeny pre hackera | N/A | Nie |
Najvýhodnejšia ponuka medzi bug bounty platformami
Hoci je Hacktrophy na trhu len pomerne krátku dobu, svojou ponukou je dôstojným konkurentom aj firmám, ktoré v tomto segmente pôsobia oveľa dlhšie. Naša ponuka sa vyvíja spolu s našimi klientmi, no už dnes ponúkame plnohodnotné bug bounty programy navrhnuté presne pre vás.
Okrem nízkych cien ponúkaných služieb sa môže naša ponuka pýšiť aj väčšou variabilitou než v prípade konkurencie. Výhodou pre slovenské a české spoločnosti môže byť aj tuzemské riešenie a podpora v slovenčine či angličtine.
Pre klientov ponúkame verejné, ale aj privátne bug bounty programy. Tie verejné rozdeľujeme do balíkov S, M a L podľa objemu testovania a nárokov klientov. V našej ponuke sa nachádza aj riešenie “Podľa seba”, ktoré je plne variabilné na základe nárokov klienta. Výhodou v prípade privátnych programov je testovanie komunitou 20 preverených profesionálov aj podpora pre testovanie cez VPN alebo s iným technologickým obmedzením.
V porovnaní s konkurenciou je ponuka Hacktrophy celkovo cenovo výhodnejšia a prispôsobivejšia. Ak sa chcete dozvedieť, koľko by vás stálo testovanie vašej IT bezpečnosti formou bug bounty programov alebo jednorazových bezpečnostných testov, neváhajte nás kontaktovať.