Timeweb Cloud — один из немногих российских облачных провайдеров, чью инфраструктуру проверяют на Standoff Bug Bounty (данная программа была запущена осенью 2024 года). Белым хакерам предлагается проанализировать и такие направления, как виртуальный хостинг и почтовые сервисы.
С момента запуска публичной программы багхантеры сдали более 250 отчётов с исследованиями рисков разного уровня, 46 из которых Timeweb подтвердил. Максимальное вознаграждение за наиболее опасные риски составляет 500 тыс. рублей.
«Багхантеры активно включаются в работу, и многие из найденных ими рисков действительно требуют пристального внимания. Мы видим, как это напрямую влияет на повышение уровня безопасности наших сервисов», — отмечает Андрей Жариков, руководитель продуктового отдела безопасности Timeweb.
Помимо усиления киберзащиты программа позволяет выявлять неочевидные точки роста, которые могут остаться незамеченными при проведении внутренних тестирований. Это способствует улучшению процессов внутреннего аудита и расширению мер контроля безопасности на ранних этапах разработки. В компании подчёркивают, что работа с внешними исследователями — важное направление в развитии процессов ИБ.
«Работа с багхантерами научила нас быть более гибкими, помогла повысить общую экспертизу команды в области кибербезопасности. И, самое главное, — это не разовый проект, а целый процесс, который каждый раз непрерывно совершенствуется», — добавляет Жариков.
Timeweb комплексно подходит к защите ресурсов. Например, обеспечивает кластеризацию и резервирование критичных компонентов, автоматически обновляет правила безопасности, а также централизованно управляет ИТ-инфраструктурой. Кроме того, располагает мощными сетевыми узлами в Москве и Санкт-Петербурге, использует многоуровневую защиту от DDoS-атак, Web Application Firewall с защитой от ключевых угроз согласно OWASP и другие средства.
Standoff Bug Bounty — крупнейшая российская платформа для поиска уязвимостей в системах компаний, запущенная в мае 2022 года. С тех пор площадка привлекла свыше 27 тысяч исследователей кибербезопасности. За последние полтора года число белых хакеров на ней увеличилось более чем в три раза, а общее количество сданных отчётов — более чем в пять раз. Всего на платформе было опубликовано свыше 200 программ по поиску уязвимостей, а общий объём вознаграждений за три года составил более 274 млн рублей.
