Новости

Positive Technologies заплатит белым хакерам 60 млн рублей за закладку в коде своих продуктов

Positive Technologies непрерывно совершенствует свой подход к результативной кибербезопасности: в программу багбаунти Positive Dream Hunting добавлено второе недопустимое для компании событие. Первый, кто сможет внедрить условно вредоносный код в продукты вендора, получит вознаграждение в 60 млн рублей. Также компания подняла до 60 млн рублей выплату за реализацию первого недопустимого события — кражи денег со счетов компании.

«Отечественные компании активно строят результативную кибербезопасность в своих инфраструктурах. Многие делают это пошагово, последовательно определяя и верифицируя недопустимые события, настраивая мониторинг ключевых и целевых систем и проводя регулярные киберучения. Запуск программы багбаунти, ориентированной на недопустимые события, — это серьезный шаг для компании. Однако это единственный способ для ее CISO и топ-менеджмента на деле убедиться в эффективности выстроенной системы защиты», — отметил Алексей Новиков, директор экспертного центра безопасности Positive Technologies.

Он также добавил, что Positive Technologies первой решилась привлекать независимых исследователей безопасности для подтверждения способов реализации недопустимых событий. В Positive Technologies ожидают, что в 2024 году этому примеру последуют другие организации, прежде всего самые зрелые с точки зрения ИБ. Уже сейчас заметно вырос интерес компаний к поиску сценариев реализации недопустимых событий и увеличилось количество подобных программ.

Перед запуском багбаунти-программы на второе недопустимое событие Positive Technologies проверила возможность его реализации на киберполигоне Standoff 12, где воссоздала часть своей реальной инфраструктуры — с процессами разработки, сборки и доставки ПО. Участники кибербитвы пробовали внедрить закладку в исходный код одного из продуктов, но им это не удалось.

Спустя три месяца после тестирования на киберполигоне Positive Technologies запускает открытую программу на багбаунти-платформе с вознаграждением в 60 млн рублей. Его получит тот багхантер (или команда), который сможет в соответствии с правилами программы разместить условно вредоносную рабочую сборку1 с потенциально зловредным кодом на внутреннем сервере обновлений gus.ptsecurity.com либо на публичных серверах update.ptsecurity.com. Он также должен предоставить доказательства того, что ее можно сделать доступной для скачивания, а именно — скриншот с необходимыми правами. По условиям программы исследователям запрещено использовать модифицированную сборку. Кроме того, внутренние механизмы безопасности со стороны Positive Technologies исключают любую возможность распространения условно вредоносного обновления в продукты, поставляемые клиентам компании.

Белым хакерам, которым удастся выполнить один или несколько шагов до потенциальной реализации недопустимого события, будет присуждаться поощрительное вознаграждение. В частности, за преодоление сетевого периметра и закрепления на узле можно будет получить 300–500 тыс. рублей, а за внедрение кода в публичный релиз продукта на этапе хранения или тестирования — 3–5 млн рублей.

Открытую для всех исследователей программу багбаунти по реализации недопустимых событий компания Positive Technologies запустила в ноябре 2022 года на платформе Standoff 365. Тогда багхантерам предложили осуществить первое критически опасное событие — похитить деньги со счетов компании. В апреле 2023 года размер награды утроили, и она составляла 30 млн рублей. До сих пор исполнить сценарий полностью, включая финальный этап кражи, никто не смог.

Для обеспечения результативной кибербезопасности Positive Technologies использует свои продукты, в том числе последние разработки. Так, система мониторинга событий информационной безопасности и выявления инцидентов MaxPatrol SIEM собирает данные обо всем происходящем в инфраструктуре, сетевая песочница PT Sandbox проверяет почтовые вложения и файлы из трафика, межсетевой экран уровня веб-приложений PT Application Firewall защищает веб-ресурсы. Параллельно с корпоративным SOC в тестовом режиме работает автопилот для результативной кибербезопасности MaxPatrol O2.

  1. Под условно вредоносной рабочей сборкой понимается сборка, в которой изменен релизный состав (докер-контейнеры, ZIP-архивы и т. п.), или любая сборка с полезной нагрузкой (невредоносным рабочим кодом), при которой сохраняются корректная установка решения и работа его основных функций. По правилам программы багхантерам запрещается добавлять функциональность, несущую угрозу безопасности пользователей продуктов.
Файлы cookies помогают нам улучшать пользовательский опыт на сайте. Продолжая использовать сайт, вы даете согласие на использование cookies и обработку своих данных. Узнайте подробности или измените свои настройки cookies