Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка

Positive Technologies стартовала первую в России программу bug bounty, нацеленную на реализацию недопустимых событий

22/11/22

 

PT-Nov-22-2022-02-50-25-1869-PM

Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа, которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критически опасного для компании события — хищения денег со счетов. Positive Technologies готова выплатить беспрецедентное для России вознаграждение в 10 миллионов рублей.


«До сегодняшнего дня целью традиционных программ bug bounty всегда являлся поиск относительно мелких и незначительных уязвимостей в сервисах компаний. При этом не всегда они имеют критически важное значение для бизнеса и, как правило, остаются понятны только техническим специалистам, — рассказывает Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — Нам важно, чтобы наиболее опасные для компании события были гарантированно нереализуемы. Поэтому мы посмотрели на bug bounty по-новому и переориентировали атакующих с обнаружения исключительно технических проблем на поиск способов реализации недопустимых для нашего бизнеса событий — в частности, на этом этапе мы проверяем возможности кражи денег со счетов компании. Такая постановка задачи на порядок усложняет работу исследователя, так как ему нужно разобраться с тем, как выстроены бизнес-процессы компании, обойти системы защиты и продемонстрировать факт хищения денег».

 


Постоянно совершенствуя свою систему защиты, Positive Technologies провела серию киберучений практически со всеми крупными компаниями, предоставляющими услуги по тестированию на проникновение в России. Было проанализировано более 200 возможных сценариев атак. Результаты показали, что каждая команда действует в разных стилях — кто-то, к примеру, более ориентирован на использование социальной инженерии, другие сфокусированы на сетевой инфраструктуре или веб-
приложениях. Единственным способом, гарантирующим объективную и всеобъемлющую проверку защищенности компании, является расширение и разнообразие атакующей экспертизы. Поэтому Positive Technologies запустила открытую для всех исследователей программу bug bounty с уникальными условиями на платформе  Standoff 365 2 , объединяющей сегодня более 2800 багхантеров.


Программа bug bounty Positive Technologies не ограничена по времени, то есть компания оценивает свою защищенность непрерывно, вплоть до реализации неприемлемого для компании сценария. В отличие от классических bug bounty, здесь этичным хакерам разрешено использовать для проникновения практически любые способы проведения удаленных атак (включая социальную инженерию). Главный приз — 10 миллионов рублей — получит тот исследователь, который в соответствии с правилами программы сможет нелегитимным способом перевести деньги со счетов компании и предоставит отчет в соответствующей детализации.

«Мы считаем, что такая эволюция программ bug bounty — это новый виток в развитии индустрии кибербезопасности, так как это единственный способ для руководителя компании контролируемо убедиться, что система защиты реально работает», — резюмирует Алексей
Новиков.

 

Темы:Пресс-релизPositive TechnologiesОтрасльBug Bounty
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...