Проверка множеством независимых исследователей безопасности вариантов реализации недопустимых для компании событий — единственный способ для ее руководителя контролируемо убедиться в результативности выстроенной системы защиты, а размер вознаграждения — демонстрация уверенности CISO в качестве своей работы.
Positive Technologies решила привлечь к участию в своей программе багбаунти Positive Dream Hunting полноценные команды белых хакеров, объединяющие исследователей безопасности с разными компетенциями. Для этого в компании приняли решение увеличить размер награды для исследователей втрое — до 30 млн рублей. Именно такую сумму получат те, кому удастся реализовать недопустимое для компании событие — похитить денежные средства со счетов.
«Единственную объективную оценку состояния киберзащищенности в любое время можно получить только в ходе кибератаки. Поэтому привлечение максимального количества багхантеров, организованно действующих по аналогии с профессиональными кибер-группировками, служит показателем готовности руководителя ИБ продемонстрировать свою способность отвечать за результат, а размер вознаграждения — демонстрация уверенности в этом результате, — отмечает Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — Реализация недопустимого события — сложная и многоэтапная задача, над решением которой в реальности работают слаженные группы хакеров с разнообразными навыками и опытом. Мы хотим максимально приблизиться к реальности, и в три раза повышаем ставки и, соответственно, мотивацию багхантеров, и рассчитываем, что задачу реализации недопустимого для нас события начнут решать не отдельные исследователи, а целые команды».
Концепция и задачи программы багбаунти Positive Technologies останутся прежними: в отличие от традиционных багбаунти, нацеленных на поиск и исправление относительно мелких уязвимостей в сервисах компаний, Positive Technologies переориентировала атакующих на поиск способов реализации одного из недопустимых для ее бизнеса событий — перевода денег со счетов компании. Такая постановка задачи усложняет работу исследователей: им нужно разобраться с тем, как выстроены бизнес-процессы, обойти системы защиты и продемонстрировать сам факт хищения денег. Специалистам потребуется не просто найти отдельные уязвимости, а исследовать и реализовать всю их цепочку. Для этого необходимы не только навыки в поиске уязвимостей в сети, но и опыт поиска слабых мест в инфраструктуре.
При этом программа максимально приближена к реальности: она не ограничена по времени и, в отличие от классических программ, этичным хакерам разрешено использовать для проникновения в инфраструктуру компании практически любые способы1. Одним из главных условий для багхантеров остается то, что проникать в инфраструктуру нужно так, чтобы security operation center (SOC) Positive Technologies не смог обнаружить действий атакующих.
Первая открытая для всех исследователей программа багбаунти на реализацию недопустимого события была запущена компанией Positive Technologies в ноябре 2022 года на платформе Standoff 365, которая объединяет уже более 4600 исследователей. Основной задачей была реализация недопустимого для компании события — перевода денежных средств со счетов компании. До сих пор багхантерам не удалось этого сделать.
- Пользователю программы не разрешаются следующие действия:
- Устраиваться на работу в компанию для получения легитимного доступа к системам Positive Technologies и реализации недопустимых событий.
- Подкупать действующих сотрудников компании или осуществлять с ними сговор.
- Пользоваться иной добровольной помощью действующих сотрудников компании (прикрытие действий исследователя, облегчение доступа или реализации недопустимого события, добровольное предоставление оборудования, принадлежащего компании).
- Использовать любые способы воздействия на работников компании, которые несут угрозу здоровью или жизни, похищать сотрудников или членов их семей. Кроме того, запрещено похищать любые устройства, гаджеты и иную собственность сотрудников и компании.
- Физически портить имущество компании или применять к нему грубую силу, чтобы облегчить реализацию недопустимых событий. Проводить физические атаки на персонал, дата-центры и офисы компании.
- Подкупать, иным образом воздействовать на поставщиков услуг или контрагентов компании, вступать с ними в сговор.
- Устраиваться на работу в компанию — поставщика услуг Positive Technologies или в компанию-контрагента для реализации недопустимых событий.
- Использовать любые ошибки, проблемы безопасности или уязвимости в личных целях.
- Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
- Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т. д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Использовать спреинг паролей можно только в нерабочие часы (с 22:00 до 5:30 по московскому времени), не злоупотребляя им.
- Удалять любую информацию, принадлежащую компании, если это не нужно для сокрытия своих следов пребывания в инфраструктуре (удалять записи о собственных действиях в журналах безопасности и собственные артефакты можно).
- Проводить атаки с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам и партнерам Positive Technologies.
- Проводить атаки на системы Positive Technologies с использованием вишинга. Рассылка фишинговых писем на электронную почту разрешена.