PT NGFW
Производительность и защита на новом уровне
Основная часть программы стартует в 2025 году, остальные продукты выйдут на багбаунти в 2026 году.
Positive Technologies запустила на площадке Standoff Bug Bounty отдельные программы по поиску уязвимостей сразу для 15 своих продуктов. Будучи одним из лидеров в сфере результативной кибербезопасности, компания предоставила тысячам независимых специалистов по всему миру возможность непрерывно проверять защищенность своих решений. Вознаграждение за результативную попытку выявления наиболее опасных уязвимостей в рамках новых программ может достигать до полумиллиона рублей.
Каждая из новых программ содержит список из 10–15 возможных уязвимостей, ранжированных по степени опасности для каждого продукта. Среди них, например, потенциальное получение прав администратора в PT NGFW, попытка обхода аутентификации в интерфейсе управления PT Application Inspector или возможность удаления следов атак в PT Network Attack Discovery. За изучение реализации критических рисков багхантеры могут получить от 300 до 500 тысяч рублей, а за исследование уязвимостей высокого уровня опасности — от 150 до 300 тысяч.
Компания также обновила уже действующие программы багбаунти. В запущенную более трех лет назад программу Positive dream hunting, нацеленную на поиск недопустимых для бизнеса событий, добавлен третий критический риск — кража персональных данных. Ранее в нее вошли два таких события — хищение денег со счетов компании и внедрение условно вредоносного кода. Награда за исследование этих недопустимых сценариев может достичь до 60 млн рублей. В то же время расширена и область действия другой долгосрочной программы — Positive bug hunting, направленной на выявление уязвимостей в веб-сервисах Positive Technologies. Она включает в себя все основные домены и поддомены, доступные для исследователей. На данный момент сумма выплат экспертам в рамках этого проекта превысила 1,2 млн рублей.
«Как лидеры в области результативной кибербезопасности, мы предъявляем особые требования к надежности собственных решений. Они должны быть эталоном защищенности. Поэтому мы не просто создаем современные средства защиты, но и постоянно совершенствуем их. Новый шаг в этом направлении — запуск отдельных программ багбаунти для каждого продукта и расширение возможностей исследования периметра компании (например, теперь багхантеры могут искать потенциальные недостатки в доменах *.ptsecurity, *.phdays, *.maxpatrol). Это позволит эффективнее привлекать к тестированию всего продуктового портфеля Positive Technologies тысячи исследователей, а также мотивировать их выявлять наиболее актуальные уязвимости. Так независимые эксперты ИБ помогут нашим командам достичь самого высокого уровня защищенности продуктов».
Виктор ГордеевРуководитель департамента ИБ Positive Technologies
В декабре 2023 года Positive Technologies запустила свою первую (действующую до сих пор) продуктовую программу багбаунти для облачного межсетевого экрана уровня веб-приложений PT Cloud Application Firewall. С тех пор компания последовательно развивает это направление: расширяет перечень продуктов, тестируемых на площадке Standoff Bug Bounty, улучшает условия взаимодействия с исследователями и совершенствует собственные продукты и сервисы.
