Prečo je Hacktrophy výhodnejšie než konkurencia

  • 27.09.2018
  • 5 min. čítanie

Záujem o bug bounty programy ako inovatívnu formu testovania IT bezpečnosti neustále rastie, a preto je prirodzená otázka: „Koľko stoja služby bug bounty platforiem vo svete a ktorá je najvýhodnejšia?“ Porovnali sme ponuky platforiem z Európy a USA s Hacktrophy, aby ste to už nemuseli robiť vy.

Pri porovnávaní sme sa zamerali na kľúčové parametre bug bounty programov akými sú forma bezpečnostného testovania, počet etických hackerov, výška poplatkov a najmä ceny za jednotlivé služby. Tie sme porovnali s ponukou Hacktrophy, jednak formou tabuliek, ako aj detailnejším opisom ponúkaných verzií verejných a privátnych bug bounty programov.

Platforma HT TB IN YWH H1 BC ZC
Založené Hacktrophy, 2017, SVK Testbirds, 2011, NEM Intigriti, 2016, BEL YesWeHack, 2013, FRA HackerOne, 2012, USA Bugcrowd, 2012, USA Zerocopter, 2014, HOL
Pentesty / Skeny  áno (s externými partnermi) áno (1) áno áno áno (3) áno nie
Bug bounty programy áno, privátne aj verejné áno (2), len privátne áno, privátne aj verejné áno, len privátne áno, len privátne áno, privátne aj verejné áno, len privátne
Odborná podpora moderátora áno, v cene balíka alebo za príplatok áno, v cene áno, v cene áno, externá, za príplatok áno, v cene áno, v cene áno, podľa zvoleného balíka za príplatok
Demo služieb  áno (4) N/A áno N/A áno áno áno
Počet etických hackerov 650 300 3000 N/A 166 000 80 000 150
Ceny bug bounty programov Od 2500 € už vrátane odmien pre hackerov
4000 €
od 15 000 € + odmeny  hackerom
od 6500 €
45 000 USD od 24 000 USD od 1000 € + odmeny pre hackerov

 

1. „Pentest“ v tomto prípade znamená jednorazový test v dĺžke 2 týždne.
2. Kombinácia balíčkov (pentestov), ktorá je alternatívou bug bounty programu.
3. 1 mesiac trvajúci bezpečnostný test, ktorý je alternatívou pentestu.
4. Vo forme online prezentácie obchodného zástupcu.

 

Prekvapením je nielen cenová, ale aj ponuková rôznorodosť jednotlivých bug bounty platforiem. Tie sa líšia možnosťami a variáciami testov, ale aj dĺžkou a štýlom testovania. Kvôli rozličnosti jednotlivých ponúk by bolo neefektívne tieto dáta prezentovať v tabuľke, a tak vám v krátkosti opíšeme, čo pod pojmom „bug bounty program“ ponúkajú spoločnosti pôsobiace v tejto oblasti testovania IT bezpečnosti.

Hacktrophy

Slovenská bug bounty platforma ponúka na výber z viacerých verzií verejných bug bounty programov a privátneho bug bounty programu. Do verejných sa zapája viac než 500 etických hackerov, zaregistrovaných na Hacktrophy, pričom ich moderuje pridelený moderátor. Dôležitou výhodou balíčkov služieb Hacktrophy je, že za jednu cenu obsahujú už všetko, za čo sa zvykne u konkurencie platiť osobitne – moderátora, nastavenie či odmeny pre etických hackerov. V prípade osobitných požiadaviek, napríklad na výšku testovacieho rozpočtu, môžu firmy využiť program na mieru.

Do privátneho bug bounty programu sa zapája 20 vybraných špičkových a preverených profesionálov, ktorí v dohodnutom čase 1 až 3 mesiace dokážu nájsť množstvo bezpečnostných zraniteľností. Súčasťou je aj podpora pre testovanie cez VPN alebo s iným technologickým obmedzením. Keďže privátne programy sa už svojim charakterom blížia penetračným testom, aj ich cena je vyššia. Dávame si ale záležať na tom, aby celkové náklady našich klientov na testovanie bezpečnosti boli najnižšie na trhu.

Všeobecne – ceny bug bounty programov v Hacktrophy začínajú od 2500 EUR a stúpajú podľa charakteru testovaného projektu. Viac informácií o cenách vám radi poskytneme, neváhajte nás kontaktovať.

Testbirds

Príkladom netradičnosti v nastavení bug bounty projektov je program nemeckej spoločnosti. Svojim klientom ponúka jeden druh takejto služby. Ide o jednorazový test bezpečnosti, ktorý trvá 2 týždne, v základnej cene ponúka 20 testerov a je určený pre rôzne platformy (PC, web, aplikácie, …). V cene testu je zahrnuté manažovanie programu.

Zaujímavosťou je, že TestBirds neponúka žiadne záruky nájdenia zraniteľností. Môže sa tak stať, že po 2-týždňovom testovaní neobjaví žiadny z dvadsiatich testerov bug alebo iný typ bezpečnostného rizika. Cena testu je 4000 EUR.

Intigriti

Belgické Intigriti sa ku bug bounty programom stavia pragmaticky. V ponuke majú 3 cenové balíky, ktoré sú rozdelené podľa špecifických požiadaviek klientov a počtu testerov. Aby to nebolo jednoduché, medzi privátnymi a verejnými bug bounty programami rozlišujú 8 medzistupňov. V ponuke majú iba manažované programy. Ich cena je 15 000, 30 000 alebo 60 000 EUR ročne, pričom za jednotlivé zraniteľnosti platíte nad rámec ceny, spolu s 20 % maržou pre Intigrity.

YesWeHack

V ponuke francúzskeho YesWeHack nájdete dva typy bug bounty programov. Prvý, označovaný ako starter pack, obsahuje za cenu 6500 EUR štartovací poplatok (1500 €), licenciu v cene 2500 € platnú na 3 mesiace alebo do úrovne 50 nájdených bugov a 2500 € kredit na odmeny pre hackerov. Spoločnosť si navyše účtuje 10 % poplatok za každú vyplatenú odmenu. Ceny sú uvedené bez dane.

Druhý balík ponúka licenciu na 1 rok alebo 75 bugov (10 000 € bez DPH), štartovací poplatok a 7500-eurový kredit na odmeny. Aj v tomto prípade musíte k sume prirátať daň a 10 % maržu z každej odmeny. Celkovo vás tak balík bude stáť minimálne 19 000 € bez DPH.

HackerOne

Jeden z najväčších hráčov na trhu s bug bounty programami – HackerOne – ponúka len jeden typ bug bounty programu s názvom Bounty Pro Managed. S neobmedzeným rozsahom testovania, počtom nájdených bugov a 24-hodinovou podporou z Európy zaň zaplatíte $30,000 ročne. Ku balíku je nutné dokúpiť aj $15,000 kredit na odmeny pre hackerov. V tomto prípade sa priamo z kreditu strháva aj 20-percentná marža pre HackerOne. Keď sa kredit vyčerpá za skôr ako 12 mesiacov, môžete ho navýšiť.

BugCrowd

Ďalšia medzinárodne pôsobiaca americká spoločnosť Bugcrowd ponúka širokú škálu bug bounty programov. Rozlišuje medzi privátnymi a verejnými programami, no stoja rovnako – $24,000 ročne. Ak si k základnému balíku dokúpite aj testovanie webových alebo mobilných aplikácií, pripravte si dodatočne $12,000. V manažovaných programoch ponúkajú plnú podporu pre zákazníkov. Kredit na odmeny pre hackerov je nutné dokúpiť zvlášť, no výhodou je, že BugCrowd si pri odmenách neúčtuje žiadnu ďalšiu maržu.

ZeroCopter

Holandská spoločnosť, ktorá na trhu pôsobí už 4 roky, ponúka 3 úrovne bug bounty programu. V Basic programe si za 1000 €/mesiac môžete nechať otestovať až 3 webstránky alebo aplikácie s reakčným časom 3 dni. Pri programe Standard môžete za 2500 € mesačne počítať s rýchlejšími reakciami (do 2 dní) a otestovať môžete až 10 domén.

Najvyšší program Full ponúka za 5000 € mesačne testovanie až 25 domén alebo aplikácií. Rýchlosť odozvy je 1 deň a v ponuke sa nachádza aj možnosť 24-hodinovej podpory za 2000 € mesačne. Ku všetkým programom spoločnosti ZeroCopter treba doplniť aj financie potrebné na odmeny pre hackerov, ku ktorému si spoločnosť nepridáva žiadnu maržu či extra poplatky. Takže cena dokáže vyskočiť na niekoľko tisícok eúr.

Jednorazové testy online bezpečnosti

Okrem klasických bug bounty programov sme sa v našom porovnaní zamerali aj na alternatívy k penetračným testom, resp. privátne či časovo-obmedzené bug bounty programy. Pozrite sa, aké typy jednorazových testov a za aké poplatky ponúkajú jednotlivé platformy. Najdrahšími sú balíky amerických spoločností.

Platforma HT TB IN YWH H1 BC ZC
Dĺžka testu 30 až 90 dní 14 dní neznáma 90 dní alebo 50 chýb 30 dní 14 dní N/A
Cena testu min. 3500 EUR + odmeny pre hackerov 4000 EUR podľa špecifikácií, on demand 4000 EUR + odmeny pre hackerov (2500 EUR) $22,000 vrátane odmien pre hackerov $10,000 + odmeny pre hackerov ($15,000) N/A
Počet testerov 20 a viac 20 N/A N/A Podľa špecifikácií testu 15 – 30 N/A
Extra provízia pre platformu 20 % z odmeny pre hackera
Nie 20 % z odmeny pre hackera 10 % z odmeny pre hackera 20 % z odmeny pre hackera N/A Nie

 

Najvýhodnejšia ponuka medzi bug bounty platformami

Hoci je Hacktrophy na trhu len pomerne krátku dobu, svojou ponukou je dôstojným konkurentom aj firmám, ktoré v tomto segmente pôsobia oveľa dlhšie. Naša ponuka sa vyvíja spolu s našimi klientmi, no už dnes máte k dispozícii plnohodnotné bug bounty programy. Okrem nízkych cien ponúkaných služieb prinášame aj väčšiu variabilitu. Výhodou pre slovenské a české spoločnosti môže byť aj tuzemské riešenie a podpora v slovenčine či angličtine.

V porovnaní s konkurenciou je ponuka Hacktrophy celkovo cenovo výhodnejšia. Ak sa chcete dozvedieť, koľko by vás stálo testovanie vašej IT bezpečnosti formou verejných bug bounty programov alebo jednorazových bezpečnostných testov (privátnych bug bounty projektov), neváhajte nás kontaktovať.

Newsletter

Novinky o IT bezpečnosti pre firmy

Chcete vašu firmu udržať bezpečnou? Prihláste sa k odberu nášho newslettera a dostávajte tipy a novinky zo sveta online bezpečnosti.

Chcem novinky