Компания «Электрорешения», один из лидеров на российском рынке электрооборудования, запустила на платформе Standoff Bug Bounty программу для проверки киберустойчивости инфраструктуры в формате кибериспытаний. Проект нацелен на исследование недопустимого для организации события — удаления или шифрования резервных копий. Максимальная выплата за его успешную реализацию составляет 800 тысяч рублей.
Компания «Электрорешения» — представитель международного бренда EKF, один из крупнейших в России производителей электрооборудования, комплексных энергоэффективных решений для электроснабжения и автоматизации, а также разработчик программного обеспечения. В рамках публичной программы исследователям безопасности доступны для тестирования ключевые информационные веб-ресурсы «Электрорешений», IP-адреса и корпоративная почта. Специалистам предлагается продемонстрировать возможность получения привилегированных прав доступа к системе резервного копирования EKF. При успешной реализации этого сценария можно получить максимальную выплату — 800 тыс. рублей.
«Цель кибериспытаний заключается не в поиске и устранении отдельных уязвимостей, а в проверке устойчивости инфраструктуры к реальным кибератакам. Специалисты моделируют цепочки атак, осуществляют поиск слабых мест на стыках различных систем — примерно так, как это сделал бы настоящий злоумышленник, но в безопасных, контролируемых условиях. Кибериспытания— объективный способ измерения киберустойчивости компании. Если независимым исследователям удается реализовать недопустимое событие, компания выплачивает вознаграждение. Этот подход сегодня набирает популярность, и наиболее зрелые компании переходят к регулярному проведению подобных тестирований», — отметил Иван Булавин, директор по продуктам платформы Standoff 365, Positive Technologies.
В рамках программы также предусмотрены поощрительные вознаграждения за промежуточные результаты: от 100 тыс. рублей за компрометацию корпоративной учетной записи с закреплением на рабочей станции до 300 тыс. рублей за потенциальное нарушение работы платформы виртуализации. Компания уже приняла от специалистов почти полсотни отчетов и выплатила им в качестве наград около полумиллиона рублей. Публичная программа продлится три месяца или до первой успешной реализации недопустимого события.
«Программа помогает нам выявлять уязвимости и, анализируя их, получать более полное представление о системных проблемах. Это позволяет сделать акценты на тех элементах инфраструктуры и сервисах, которые требуют тщательной настройки и защиты. Особое внимание мы уделяем критически важным контролям и их объектам, дефекты которых могут привести к реализации недопустимых событий. За время действия программы мы уже видим первые результаты: исследователи сдали 50 отчетов, а общий объем вознаграждений за подтвержденные находки составил около полумиллиона рублей. Отдельно подчеркнем работу с багхантерами, которые ищут новые уязвимости и указывают на аспекты, требующие особого внимания со стороны нашей команды», — комментирует Александр Злой, руководитель службы информационной и коммерческой безопасности компании «Электрорешения».
По данным Positive Technologies, в России за последний год промышленность стала главной целью киберпреступников: на этот сектор были направлены 17% всех успешных атак на организации. При этом более чем в четверти (28%) всех атак на российские компании эксплуатировались уязвимости в ПО. В таких условиях эксперты настаивают на необходимости проактивной защиты, которая позволит бизнесу платить не за время, потраченное на поиск ошибки, а за достигнутый результат. Помимо классических программ багбаунти, нацеленных на выявление и устранение уязвимостей, важным становится и участие в кибериспытаниях. Такой подход позволяет оценить риски нанесения организации недопустимого для нее ущерба. Ранее в этом году на площадке уже реализовала подобную инициативу компания «Т-Технологии», входящая в экосистему Т-Банка.