Positive Technologies непрерывно совершенствует свой подход к результативной кибербезопасности: в программу Bug Bounty Positive Dream Hunting добавлено второе недопустимое для компании событие, говорится в сообщении на сайте PT. Первый, кто сможет внедрить условно вредоносный код в продукты вендора, получит вознаграждение в 60 млн рублей. Также Positive Technologies подняла до 60 млн рублей выплату за реализацию первого недопустимого события — кражи денег со счетов компании.
«Отечественные компании активно строят результативную кибербезопасность в своих инфраструктурах. Многие делают это пошагово, последовательно определяя и верифицируя недопустимые события, настраивая мониторинг ключевых и целевых систем и проводя регулярные киберучения. Запуск программы багбаунти, ориентированной на недопустимые события, — это серьёзный шаг для компании. Однако это единственный способ для её CISO и топ-менеджмента на деле убедиться в эффективности выстроенной системы защиты», — заявил Алексей Новиков, директор экспертного центра безопасности PT.
Positive Technologies первой решилась привлекать независимых исследователей безопасности для подтверждения способов реализации недопустимых событий. В компании ожидают, что в 2024 году этому примеру последуют другие организации, прежде всего самые зрелые с точки зрения ИБ. В PT отмечают рост интереса компаний к Bug Bounty и увеличение числа подобных программ.
Перед запуском новой программы Bug Bounty на второе недопустимое событие Positive Technologies проверила возможность его реализации на киберполигоне Standoff 12, где воссоздала часть своей реальной инфраструктуры — с процессами разработки, сборки и доставки ПО. Участникам кибербитвы не удалось внедрить закладку в исходный код одного из продуктов.
В феврале вендор запустил открытую программу на платформе Bug Bounty с вознаграждением в 60 млн рублей. Его получит тот багхантер (или команда), который сможет в соответствии с правилами программы разместить условно вредоносную рабочую сборку с потенциально зловредным кодом на внутреннем сервере обновлений gus.ptsecurity.com либо на публичных серверах update.ptsecurity.com. Он также должен предоставить доказательства того, что её можно сделать доступной для скачивания, а именно — скриншот с необходимыми правами. По условиям программы, исследователям запрещено использовать модифицированную сборку. Кроме того, внутренние механизмы безопасности со стороны Positive Technologies исключают любую возможность распространения условно вредоносного обновления в продукты, поставляемые клиентам компании.
Белым хакерам, которым удастся выполнить один или несколько шагов до потенциальной реализации недопустимого события, могут рассчитывать на поощрительное вознаграждение. Его размер зависит от глубины и сложности проникновения в инфраструктуру компании. В частности, за преодоление сетевого периметра и закрепления на узле можно будет получить 300-500 тыс. рублей, а за внедрение кода в публичный релиз продукта на этапе хранения или тестирования — 3-5 млн рублей.
