Positive Technologies
Новости

Позитивный взлом: на Standoff 12 попробуют внедрить вредоносный код в продукт Positive Technologies

На киберучениях Standoff 12, которые пройдут 21–24 ноября в Москве, компания Positive Technologies воссоздаст на полигоне часть своей реальной инфраструктуры со всеми процессами разработки, сборки и доставки ПО. Исследователи безопасности смогут в безопасной среде проверить защищенность систем и попытаться внедрить сторонний код в один из продуктов компании. Инфраструктура будет представлена в трех вариантах, а вознаграждение за взлом самого сложного из них составит пять миллионов рублей.

Проверяя концепцию результативной кибербезопасности на себе1, в 2022 году Positive Technologies перешла на стадию глобальной оценки качества этой концепции и дала старт новому типу программ по поиску уязвимостей в информационных системах: компания впервые призвала независимых исследователей реализовать одно из событий, которое она определила для себя как недопустимое2, — перевод денег со счетов компании. Первая открытая для всех исследователей программа багбаунти по реализации недопустимого события была запущена в ноябре 2022 года на платформе Standoff 365. Через полгода, в апреле 2023 года, сумма вознаграждения за реализацию этого негативного сценария увеличилась с 10 до 30 млн рублей. Компания планиурет продолжать программу до первого факта выполнения задания.

«Ранее мы уже начали привлекать команды независимых исследователей к испытанию нашей инфраструктуры на прочность в новом формате, предложив им не просто найти какие-то уязвимости, а попытаться реализовать наиболее опасные, недопустимые для бизнеса события, чтобы в итоге сделать их гарантированно невозможными, — подчеркивает Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — На первом этапе мы дали атакующим возможность исследовать способы реализации такого неприемлемого сценария, как кража денег со счетов компании. На Standoff 12 атакующие попробуют реализовать еще одно критически опасное для компании событие — внедрить в наш продукт вредоносный код. Только таким образом можно по-настоящему оценить уровень киберзащищенности нашей инфраструктуры, а исследователей ждет солидное вознаграждение».

Критерием реализации недопустимого события в этот раз будет наличие в коде собранного программного продукта произвольной строковой константы, которая отсутствует при штатной сборке.

Еще одна особенность задания на Standoff 12 состоит в том, что моделируемая инфраструктура будет представлена в трех вариантах. В первом из них целевая информационная система сконфигурирована на основе реального процесса разработки ПО, при этом никакие организационные или технические меры защиты использоваться не будут. Во вторую версию инфраструктуры добавлены меры, направленные на повышение защищенности процесса разработки. А третья версия копирует вторую, но включает также средства защиты информации, которые Positive Technologies применяет для защиты собственной инфраструктуры в реальной жизни. Использование разных вариантов инфраструктуры позволит наглядно продемонстрировать, как реинжиниринг бизнес-процессов и внедрение средств защиты влияют на результативность кибербезопасности.

В этом году кибербитва Standoff 12 пройдет в рамках хакерской недели Moscow Hacking Week, которая состоится с 18 по 26 ноября на новой площадке, в уникальном пространстве «Кибердом». В течение недели на площадке пройдут еще три мероприятия для исследователей и энтузиастов кибербезопасности: конференция и воркшопы для начинающих Standoff 101, раунд митапа Standoff Talks, а также закрытое мероприятие Standoff Hacks, где лучшие исследователи проверят защищенность разных компаний.

Соорганизатором Moscow Hacking Week выступает IT-компания Innostage, разработчик и интегратор сервисов и решений в области цифровой безопасности. Генеральным партнером хакерской недели стал интегратор и вендор в области безопасности, компания «Газинформсервис». Технологические партнеры Standoff — RUVDS и eKassir.

  1. Результативная кибербезопасность — состояние защищенности организации, которое обеспечивает ее устойчивость к кибератакам и позволяет в любой момент на практике подтвердить, что злоумышленник не сможет реализовать недопустимые для этой организации события.
  2. Недопустимое событие — событие, возникающее в результате действий злоумышленников и делающее невозможным достижение операционных и стратегических целей организации или приводящее к длительному нарушению ее основной деятельности.