28/08/25
Осенью 2024 года Timeweb запустил публичную багбаунти программу на платформе Standoff Bug Bounty. За 8 месяцев работы компания получила более 250 отчетов о потенциальных угрозах разного уровня критичности, из которых 46 были подтверждены. Специалисты Timeweb устранили большинство найденных киберрисков, усилив безопасность инфраструктуры.
Ключевое направление для повышения защищенности — облачные сервисы. Timeweb Cloud[1] — один из немногих российских облачных провайдеров, чью инфраструктуру проверяют на Standoff Bug Bounty. Белым хакерам также предлагается проанализировать такие направления, как виртуальный хостинг, почтовые сервисы и другие.
Максимальное вознаграждение за наиболее опасные риски составляет 500 тыс. рублей. С момента запуска публичной программы багхантеры сдали более 250 отчетов с исследованиями рисков разного уровня, 46 из которых Timeweb подтвердил.
«Багхантеры активно включаются в работу, и многие из найденных ими рисков действительно требуют пристального внимания. Мы видим, как это напрямую влияет на повышение уровня безопасности наших сервисов», — отмечает Андрей Жариков, руководитель продуктового отдела безопасности Timeweb.
Помимо усиления киберзащиты программа позволяет выявлять неочевидные точки роста, которые могут остаться незамеченными при проведении внутренних тестирований. Это способствует улучшению процессов внутреннего аудита и расширению мер контроля безопасности на ранних этапах разработки. В компании подчеркивают, что работа с внешними исследователями — важное направление в развитии процессов ИБ.
«Работа с багхантерами научила нас быть более гибкими, помогла повысить общую экспертизу команды в области кибербезопасности. И, самое главное, — это не разовый проект, а целый процесс, который каждый раз непрерывно совершенствуется», — добавляет Андрей Жариков, руководитель продуктового отдела безопасности Timeweb.
Timeweb комплексно подходит к защите ресурсов. Например, обеспечивает кластеризацию и резервирование критичных компонентов, автоматически обновляет правила безопасности, а также централизованно управляет ИТ-инфраструктурой. Кроме того, располагает мощными сетевыми узлами в Москве и Санкт-Петербурге, использует многоуровневую защиту от DDoS-атак, Web Application Firewall с защитой от ключевых угроз согласно OWASP и другие средства.
Standoff Bug Bounty — крупнейшая российская платформа для поиска уязвимостей в системах компаний, запущенная в мае 2022 года. С тех пор площадка привлекла свыше 27 тысяч исследователей кибербезопасности. За последние полтора года число белых хакеров на ней увеличилось более чем в три раза, а общее количество сданных отчетов — более чем в пять раз. Всего на платформе было опубликовано свыше 200 программ по поиску уязвимостей, а общий объем вознаграждений за три года составил более 274 млн рублей.
[1] Timeweb Cloud — облачный провайдер для бизнеса, стартапов и независимых разработчиков. В экосистему сервисов входят решения на базе виртуальных и выделенных серверов, также услуги контейнеризации, управляемые базы данных, резервное копирование и другие PaaS- и SaaS-сервисы.
