Как принять работу правильно:
Наймите безопасников на время аудита/купите услугу SOC, настройте им отправку необходимых логов. Команда Blue получится будет видеть что делает команда Red и сможет подтвердить глубину и ширину атак.
Платят за общую работу по проверке всех согласованных векторов, не за конкретные уязвимости. Но если желаете, то лучше платить за каждый вектор выполнения задания, заданием может быть доступ к такой-то информации и какое-то действие с ней.
Хотите платить за конкретные уязвимости, воспользуйтесь багбаунти площадкой.
