Positive Technologies запустила на площадке Standoff Bug Bounty отдельные программы по поиску уязвимостей сразу для 15 своих продуктов. Будучи одним из лидеров в сфере результативной кибербезопасности, компания предоставила тысячам независимых специалистов по всему миру возможность непрерывно проверять защищённость своих решений. Вознаграждение за результативную попытку выявления наиболее опасных уязвимостей в рамках новых программ может достигать до полумиллиона рублей.
Каждая из новых программ содержит список из 10–15 вероятных уязвимостей, ранжированных по степени опасности для каждого продукта. Среди них, например, — потенциальное получение прав администратора в PT NGFW, попытка обхода аутентификации в интерфейсе управления PT Application Inspector или возможность удаления следов атак в PT Network Attack Discovery. За изучение реализации критических рисков багхантеры могут получить от 300 до 500 тысяч рублей, а за исследование уязвимостей высокого уровня опасности — от 150 до 300 тысяч.
Вендор также обновил уже действующие программы багбаунти. В запущенную более трёх лет назад программу Positive dream hunting, нацеленную на поиск недопустимых для бизнеса событий, добавлен третий критический риск — кража персональных данных. Ранее в неё вошли хищение денег со счетов компании и внедрение условно вредоносного кода. Награда за исследование этих недопустимых сценариев может достичь 60 млн рублей. В то же время расширена и область действия другой долгосрочной программы — Positive bug hunting, направленной на выявление уязвимостей в веб-сервисах Positive Technologies. Она включает в себя все основные домены и поддомены, доступные для исследователей. На данный момент сумма выплат экспертам в рамках этого проекта превысила 1,2 млн рублей.
«Как лидеры в области результативной кибербезопасности, мы предъявляем особые требования к надёжности собственных решений. Они должны быть эталоном защищённости. Поэтому мы не просто создаем современные средства защиты, но и постоянно совершенствуем их. Новый шаг в этом направлении — запуск отдельных программ багбаунти для каждого продукта и расширение возможностей исследования периметра компании (например, теперь багхантеры могут искать потенциальные недостатки в доменах *.ptsecurity, *.phdays, *.maxpatrol). Это позволит эффективнее привлекать к тестированию всего продуктового портфеля Positive Technologies тысячи исследователей, а также мотивировать их выявлять наиболее актуальные уязвимости. Так независимые эксперты ИБ помогут нашим командам достичь самого высокого уровня защищенности продуктов», — сказал Виктор Гордеев, руководитель департамента ИБ Positive Technologies.
В декабре 2023 года Positive Technologies запустила свою первую (действующую до сих пор) продуктовую программу багбаунти для облачного межсетевого экрана уровня веб-приложений PT Cloud Application Firewall. С тех пор вендор последовательно развивает это направление: расширяет перечень продуктов, тестируемых на площадке Standoff Bug Bounty, улучшает условия взаимодействия с исследователями и совершенствует собственные продукты и сервисы.
