Záujem o bug bounty programy ako inovatívnu formu testovania IT bezpečnosti neustále rastie, a preto je prirodzená otázka: „Koľko stoja služby bug bounty platforiem vo svete a ktorá je najvýhodnejšia?“ Porovnali sme ponuky platforiem z Európy a USA s Hacktrophy, aby ste to už nemuseli robiť vy.
Pri porovnávaní sme sa zamerali na kľúčové parametre bug bounty programov akými sú forma bezpečnostného testovania, počet etických hackerov, výška poplatkov a najmä ceny za jednotlivé služby. Tie sme porovnali s ponukou Hacktrophy, jednak formou tabuliek, ako aj detailnejším opisom ponúkaných verzií verejných a privátnych bug bounty programov.
| Platforma | HT | TB | IN | YWH | H1 | BC | ZC |
| Založené | Hacktrophy, 2017, SVK | Testbirds, 2011, NEM | Intigriti, 2016, BEL | YesWeHack, 2013, FRA | HackerOne, 2012, USA | Bugcrowd, 2012, USA | Zerocopter, 2014, HOL |
| Pentesty / Skeny | áno (s externými partnermi) | áno (1) | áno | áno | áno (3) | áno | nie |
| Bug bounty programy | áno, privátne aj verejné | áno (2), len privátne | áno, privátne aj verejné | áno, len privátne | áno, len privátne | áno, privátne aj verejné | áno, len privátne |
| Odborná podpora moderátora | áno, v cene balíka alebo za príplatok | áno, v cene | áno, v cene | áno, externá, za príplatok | áno, v cene | áno, v cene | áno, podľa zvoleného balíka za príplatok |
| Demo služieb | áno (4) | N/A | áno | N/A | áno | áno | áno |
| Počet etických hackerov | 650 | 300 | 3000 | N/A | 166 000 | 80 000 | 150 |
| Ceny bug bounty programov | Od 2500 € už vrátane odmien pre hackerov |
4000 € |
od 15 000 € + odmeny hackerom |
od 6500 € |
45 000 USD | od 24 000 USD | od 1000 € + odmeny pre hackerov |
1. „Pentest“ v tomto prípade znamená jednorazový test v dĺžke 2 týždne.
2. Kombinácia balíčkov (pentestov), ktorá je alternatívou bug bounty programu.
3. 1 mesiac trvajúci bezpečnostný test, ktorý je alternatívou pentestu.
4. Vo forme online prezentácie obchodného zástupcu.
Prekvapením je nielen cenová, ale aj ponuková rôznorodosť jednotlivých bug bounty platforiem. Tie sa líšia možnosťami a variáciami testov, ale aj dĺžkou a štýlom testovania. Kvôli rozličnosti jednotlivých ponúk by bolo neefektívne tieto dáta prezentovať v tabuľke, a tak vám v krátkosti opíšeme, čo pod pojmom „bug bounty program“ ponúkajú spoločnosti pôsobiace v tejto oblasti testovania IT bezpečnosti.
Hacktrophy
Slovenská bug bounty platforma ponúka na výber z viacerých verzií verejných bug bounty programov a privátneho bug bounty programu. Do verejných sa zapája viac než 500 etických hackerov, zaregistrovaných na Hacktrophy, pričom ich moderuje pridelený moderátor. Dôležitou výhodou balíčkov služieb Hacktrophy je, že za jednu cenu obsahujú už všetko, za čo sa zvykne u konkurencie platiť osobitne – moderátora, nastavenie či odmeny pre etických hackerov. V prípade osobitných požiadaviek, napríklad na výšku testovacieho rozpočtu, môžu firmy využiť program na mieru.
Do privátneho bug bounty programu sa zapája 20 vybraných špičkových a preverených profesionálov, ktorí v dohodnutom čase 1 až 3 mesiace dokážu nájsť množstvo bezpečnostných zraniteľností. Súčasťou je aj podpora pre testovanie cez VPN alebo s iným technologickým obmedzením. Keďže privátne programy sa už svojim charakterom blížia penetračným testom, aj ich cena je vyššia. Dávame si ale záležať na tom, aby celkové náklady našich klientov na testovanie bezpečnosti boli najnižšie na trhu.
Všeobecne – ceny bug bounty programov v Hacktrophy začínajú od 2500 EUR a stúpajú podľa charakteru testovaného projektu. Viac informácií o cenách vám radi poskytneme, neváhajte nás kontaktovať.
Testbirds
Príkladom netradičnosti v nastavení bug bounty projektov je program nemeckej spoločnosti. Svojim klientom ponúka jeden druh takejto služby. Ide o jednorazový test bezpečnosti, ktorý trvá 2 týždne, v základnej cene ponúka 20 testerov a je určený pre rôzne platformy (PC, web, aplikácie, …). V cene testu je zahrnuté manažovanie programu.
Zaujímavosťou je, že TestBirds neponúka žiadne záruky nájdenia zraniteľností. Môže sa tak stať, že po 2-týždňovom testovaní neobjaví žiadny z dvadsiatich testerov bug alebo iný typ bezpečnostného rizika. Cena testu je 4000 EUR.
Intigriti
Belgické Intigriti sa ku bug bounty programom stavia pragmaticky. V ponuke majú 3 cenové balíky, ktoré sú rozdelené podľa špecifických požiadaviek klientov a počtu testerov. Aby to nebolo jednoduché, medzi privátnymi a verejnými bug bounty programami rozlišujú 8 medzistupňov. V ponuke majú iba manažované programy. Ich cena je 15 000, 30 000 alebo 60 000 EUR ročne, pričom za jednotlivé zraniteľnosti platíte nad rámec ceny, spolu s 20 % maržou pre Intigrity.
YesWeHack
V ponuke francúzskeho YesWeHack nájdete dva typy bug bounty programov. Prvý, označovaný ako starter pack, obsahuje za cenu 6500 EUR štartovací poplatok (1500 €), licenciu v cene 2500 € platnú na 3 mesiace alebo do úrovne 50 nájdených bugov a 2500 € kredit na odmeny pre hackerov. Spoločnosť si navyše účtuje 10 % poplatok za každú vyplatenú odmenu. Ceny sú uvedené bez dane.
Druhý balík ponúka licenciu na 1 rok alebo 75 bugov (10 000 € bez DPH), štartovací poplatok a 7500-eurový kredit na odmeny. Aj v tomto prípade musíte k sume prirátať daň a 10 % maržu z každej odmeny. Celkovo vás tak balík bude stáť minimálne 19 000 € bez DPH.
HackerOne
Jeden z najväčších hráčov na trhu s bug bounty programami – HackerOne – ponúka len jeden typ bug bounty programu s názvom Bounty Pro Managed. S neobmedzeným rozsahom testovania, počtom nájdených bugov a 24-hodinovou podporou z Európy zaň zaplatíte $30,000 ročne. Ku balíku je nutné dokúpiť aj $15,000 kredit na odmeny pre hackerov. V tomto prípade sa priamo z kreditu strháva aj 20-percentná marža pre HackerOne. Keď sa kredit vyčerpá za skôr ako 12 mesiacov, môžete ho navýšiť.
BugCrowd
Ďalšia medzinárodne pôsobiaca americká spoločnosť Bugcrowd ponúka širokú škálu bug bounty programov. Rozlišuje medzi privátnymi a verejnými programami, no stoja rovnako – $24,000 ročne. Ak si k základnému balíku dokúpite aj testovanie webových alebo mobilných aplikácií, pripravte si dodatočne $12,000. V manažovaných programoch ponúkajú plnú podporu pre zákazníkov. Kredit na odmeny pre hackerov je nutné dokúpiť zvlášť, no výhodou je, že BugCrowd si pri odmenách neúčtuje žiadnu ďalšiu maržu.
ZeroCopter
Holandská spoločnosť, ktorá na trhu pôsobí už 4 roky, ponúka 3 úrovne bug bounty programu. V Basic programe si za 1000 €/mesiac môžete nechať otestovať až 3 webstránky alebo aplikácie s reakčným časom 3 dni. Pri programe Standard môžete za 2500 € mesačne počítať s rýchlejšími reakciami (do 2 dní) a otestovať môžete až 10 domén.
Najvyšší program Full ponúka za 5000 € mesačne testovanie až 25 domén alebo aplikácií. Rýchlosť odozvy je 1 deň a v ponuke sa nachádza aj možnosť 24-hodinovej podpory za 2000 € mesačne. Ku všetkým programom spoločnosti ZeroCopter treba doplniť aj financie potrebné na odmeny pre hackerov, ku ktorému si spoločnosť nepridáva žiadnu maržu či extra poplatky. Takže cena dokáže vyskočiť na niekoľko tisícok eúr.
Jednorazové testy online bezpečnosti
Okrem klasických bug bounty programov sme sa v našom porovnaní zamerali aj na alternatívy k penetračným testom, resp. privátne či časovo-obmedzené bug bounty programy. Pozrite sa, aké typy jednorazových testov a za aké poplatky ponúkajú jednotlivé platformy. Najdrahšími sú balíky amerických spoločností.
| Platforma | HT | TB | IN | YWH | H1 | BC | ZC |
| Dĺžka testu | 30 až 90 dní | 14 dní | neznáma | 90 dní alebo 50 chýb | 30 dní | 14 dní | N/A |
| Cena testu | min. 3500 EUR + odmeny pre hackerov | 4000 EUR | podľa špecifikácií, on demand | 4000 EUR + odmeny pre hackerov (2500 EUR) | $22,000 vrátane odmien pre hackerov | $10,000 + odmeny pre hackerov ($15,000) | N/A |
| Počet testerov | 20 a viac | 20 | N/A | N/A | Podľa špecifikácií testu | 15 – 30 | N/A |
| Extra provízia pre platformu | 20 % z odmeny pre hackera |
Nie | 20 % z odmeny pre hackera | 10 % z odmeny pre hackera | 20 % z odmeny pre hackera | N/A | Nie |
Najvýhodnejšia ponuka medzi bug bounty platformami
Hoci je Hacktrophy na trhu len pomerne krátku dobu, svojou ponukou je dôstojným konkurentom aj firmám, ktoré v tomto segmente pôsobia oveľa dlhšie. Naša ponuka sa vyvíja spolu s našimi klientmi, no už dnes máte k dispozícii plnohodnotné bug bounty programy. Okrem nízkych cien ponúkaných služieb prinášame aj väčšiu variabilitu. Výhodou pre slovenské a české spoločnosti môže byť aj tuzemské riešenie a podpora v slovenčine či angličtine.
V porovnaní s konkurenciou je ponuka Hacktrophy celkovo cenovo výhodnejšia. Ak sa chcete dozvedieť, koľko by vás stálo testovanie vašej IT bezpečnosti formou verejných bug bounty programov alebo jednorazových bezpečnostných testov (privátnych bug bounty projektov), neváhajte nás kontaktovať.
