Positive Technologies: The Standoff 365 Bug Bounty

Продукт
Разработчики: Positive Technologies (Позитив Текнолоджиз)
Дата премьеры системы: 2022/05
Дата последнего релиза: 2024/11/21
Отрасли: Интернет-сервисы,  Информационная безопасность

Содержание

Основная статья: Багхантеры (Bughunter). Bug bounty. Поиск уязвимостей

Платформа The Standoff 365 Bug Bounty для поиска уязвимостей от Positive Technologies была представлена в мае 2022 года. Исследователи безопасности, работающие в рамках платформы, впервые смогут получать награду не только за обнаружение отдельных рисков, но и за демонстрацию их реализации. На платформе на август 2022 года зарегистрировано более 1400 исследователей. Белые хакеры сдали 73 отчета об уязвимостях, первый из них — спустя всего 20 минут после запуска платформы.

2024

В ходе открытых кибериспытаний Innostage отразила 780 тыс адресных атак

Innostage прошел кибериспытания на платформе Standoff Bug Bounty. По итогам прохождения полугодовой программы компания получила сертификат АО «Кибериспытания». Количество исследователей, пытавшихся взломать инфраструктуру Innostage, превысило 930 человек, включая 4 Red team команды, победителей российских кибербитв. Вознаграждение за успешную атаку составляло 10 млн рублей. Об этом компания сообщила 6 декабря 2024 года. Подробнее здесь.

Запуск программы «СберЛогистики»

СберЛогистика запустила программу по поиску уязвимостей на Standoff Bug Bounty. Об этом Positive Technologies сообщили 5 декабря 2024 года.

Собственная программа на платформе Standoff Bug Bounty позволит достичь высокого уровня защищенности и надежности сервисов. Исследователям безопасности будет доступен для изучения большой набор веб-ресурсов СберЛогистики, а вознаграждение за выявление самых опасных уязвимостей может достичь 250 тысяч рублей.TAdviser Security 100: Крупнейшие ИБ-компании в России 56.5 т

По данным исследования Positive Technologies, практически в каждой пятой атаке на отрасль транспорта и логистики киберпреступники прибегали к эксплуатации уязвимостей. Семь из каждых десяти инцидентов в этой сфере повлекли за собой нарушение основной деятельности компаний. В некоторых случаях успешная атака приводила к недопустимым для компании последствиям — вплоть до объявления неплатежеспособности. Как отмечают эксперты, в таких условиях все больше организаций этой отрасли, стремясь достичь высокого уровня киберустойчивости, запускают программы багбаунти.

«
Мы ожидаем большое количество интересных отчетов от исследователей на Standoff Bug Bounty. В первую очередь, связанных с утечкой данных, нарушением логистических маршрутов, а также влияющих на доступность отдельных сервисов, например, пункты ПВЗ, — отметил руководитель прикладной безопасности СберЛогистики Алексей Морозов.
»

Запуск программы Timeweb

В рамках публичной программы специалисты по информационной безопасности, зарегистрированные на платформе Standoff Bug Bounty, получат возможность исследовать основные веб-ресурсы Timeweb. Таким образом один из облачных провайдеров в России планирует достичь высокого уровня защищенности своих сервисов в условиях роста кибератак на сферу информационных технологий. Суммы вознаграждений варьируются от 5 до 500 тыс рублей. Об этом Positive Technologies сообщили 26 ноября 2024 года. Подробнее здесь.

Включение в единый реестр российского программного обеспечения

Платформа для организации программ по поиску уязвимостей за вознаграждение Standoff Bug Bounty, запущенная компанией Positive Technologies в мае 2022 года, включена в единый реестр российского программного обеспечения. Это позволит еще большему числу госучреждений использовать площадку для запуска багбаунти в целях повышения защищенности своей инфраструктуры от кибератак. Об этом Positive Technologies сообщили 26 ноября 2024 года.

Платформа позволяет компаниям проводить программы для поиска уязвимостей в продуктах и инфраструктуре и автоматизировать этот процесс. В соответствии с поручением Минцифры России от 15.11.2024, платформа Standoff Bug Bounty отнесена к средствам автоматизации процессов информационной безопасности.

Включение в реестр российского ПО подтверждает, что платформа надежно защищена и разрабатывается исключительно на территории России. Это значит, что функционирование и модернизация платформы не зависит от иностранных компаний и зарубежного ПО. Таким образом, Standoff Bug Bounty можно использовать для запуска программ по поиску уязвимостей объектов критической информационной инфраструктуры. Согласно Указу Президента РФ от 30.03.2022 № 166, с начала 2025 года на объектах КИИ будет полностью запрещено применять иностранное ПО.

«
В некоторых случаях в рамках закупок государственные организации предъявляют требование подтвердить место происхождения программного обеспечения. Поэтому компания приняла решение внести Standoff Bug Bounty в единый реестр российского ПО. Этот шаг позволит расширить круг клиентов нашей платформы. В результате еще больше учреждений смогут привлечь тысячи специалистов по ИБ для поиска уязвимостей и обеспечить высокий уровень защищенности своей инфраструктуры, — отметила Юлия Воронова, директор по консалтингу центра компетенции Positive Technologies.
»

В 2024 году специалисты PT SWARM обнаружили в российском ПО уязвимостей почти в три раза больше, чем в 2023. При этом 20% выявленных брешей имеет критический уровень опасности, что может привести к реализации недопустимых событий в организациях всех отраслей. Эксперты по информационной безопасности в таких условиях рекомендуют организациям использовать современный способ выявления и устранения уязвимостей — запускать программы багбаунти.

Добавление «красной кнопки»

На платформе Standoff Bug Bounty появилась своеобразная «красная кнопка». Этот сервис будет особенно востребован компаниями, которые запускают программы APT Bug Bounty или участвуют в кибериспытаниях с целью исследовать самые опасные для нее сценарии кибератак. Об этом Positive Technologies сообщили 21 ноября 2024 года. Теперь у участников есть возможность в любой момент приостановить программу, если действия Багхантеры (Bughunter). Bug bounty. Поиск уязвимостей|багхантеров выходят за рамки установленной области исследований. Благодаря этому шагу процесс проверки защищенности инфраструктуры станет более контролируемым, а сам формат таких программ для компаний — привлекательнее.

В условиях постоянного роста количества кибератак, их усложнения, а также выявления все большего числа уязвимостей ПО, эксперты Positive Technologies рекомендуют организациям для эффективной защиты своей инфраструктуры внедрять принципы результативной кибербезопасности и проверять свою защищенность с помощью программ багбаунти и кибериспытаний.

Самым продвинутым, финальным этапом подтвреждения качества и эффективности выстроенной защиты компании, которая стремится к достижению реального результата и прошла все уровни подготовки ИБ, являются программы по демонстрации возможности реализовать типовые недопустимые для бизнеса события. Данный подход — альтернатива классическому тестированию на проникновение и red team, потому что тысячи независимых исследователей с разными навыками и инструментарием будут искать векторы атак и уязвимости. Они проверяют возможность реализации недопустимых событий в соответствии с критериями, сформулированными совместно со специалистами Positive Technologies. Форматы APT Bug Bounty и кибериспытаний позволяют оценивать существующую систему защиты компании (ее достаточность, эффективность и необходимость доработки), а также быстро и безопасно устранять потенциальные возможности для достижения недопустимых событий.

«
Для каждой организации можно выделить недопустимые события, наступление которых будет иметь для нее катастрофические последствия, — отметил Алексей Новиков, управляющий директор Positive Technologies.— Их определение — ключевой шаг на пути к построению результативной кибербезопасности. На нашей платформе уже давно существует формат багбаунти для исследования возможностей реализовать недопустимые события. При этом не все наши клиенты уверены в своей готовности к таким проверкам. Именно поэтому мы предлагаем революционный подход, который позволит компаниям в любой момент остановить атаку багхантеров. Такая "красная кнопка" поможет устранить важную причину для сомнений наших клиентов и повысить гарантии безопасности багбаунти.
»

Как поясняют эксперты, исследователи ИБ будут участвовать в реализации программ таких форматов только посредством специального виртуального рабочего стола, а все их действия будут фиксироваться.

Для клиентов и пользователей «красная кнопка» сделает действия специалистов более прозрачными, процесс — более контролируемым, а значит и уровень доверия к таким программам возрастет. Данная функция позволит расширить круг компаний и организаций, запускающих этот современный формат багбаунти. В частности, «красная кнопка» может быть востребована государственными организациями, промышленными предприятиями и теми компаниями, которые сомневаются в запуске программ по оценке защищенности независимыми исследователями. В результате и у багхантеров на платформе будет больше интересных заданий и возможностей получить вознаграждение.

Запуск программы «Афиши»

«Афиша» запускает отдельную программу поиска уязвимостей на платформе Standoff Bug Bounty. Об этом Positive Technologies сообщили 30 октября 2024 года.

Компания предоставит «белым» хакерам возможность получать вознаграждение за найденные на своих веб-ресурсах уязвимости через платформу Standoff Bug Bounty.

Исследователям предлагается протестировать сайты как традиционных медиа – «Афиши Daily» и «Еды.ру», так и тикетинг-сервис afisha.ru. Таким образом компания планирует вывести защищенность своих проектов на новый уровень. Заявленные суммы вознаграждений варьируются в зависимости от степени критичности уязвимостей и составляют от 5 до 500 тысяч рублей.

«
Раньше поиском уязвимостей на серверах компании «Афиша» можно было заниматься в рамках монопрограммы партнёра – медиахолдинга Rambler&Co. Теперь мы решили выделить компанию в отдельную программу – так будет удобнее как "белым" хакерам, так и нам самим. Кроме того, мы повысили выплаты за все виды уязвимостей, поэтому ожидаем вовлечения ещё большего числа специалистов с сильной экспертизой,
сказал Константин Ермаков, руководитель отдела проектной безопасности «Афиши».
»

Программа багбаунти становится стандартом для крупных технологических и медиакомпаний, так как позволяет обеспечить непрерывный анализ защищенности сервисов силами независимых исследователей безопасности, при этом сохраняя высокую экономическую эффективность.

«
Подходы к управлению уязвимостями в компаниях эволюционируют. Все больше организаций, которые хотят защитить свои сервисы и данные пользователей, выбирают багбаути, как один из самых прогрессивных методов поиска уязвимостей. Он позволяет силами тысяч независимых исследователей с разным опытом и инструментарием искать ошибки и платить только за результат,
отметил Анатолий Иванов, СРО Standoff Bug Bounty.
»

Расширение программы Rambler&Co

Rambler&Co проверит свою защищенность на платформе Standoff Bug Bounty при помощи белых хакеров. Об этом Positive Technologies (Позитив Текнолоджиз) сообщили 23 октября 2024 года.

Компания расширяет программу по поиску уязвимостей за вознаграждение на платформе Standoff 365 и запускает ее в формате APT Bug Bounty. Теперь независимые исследователи безопасности будут пытаться реализовать недопустимые для компании события, чтобы проверить киберустойчивость ИТ-систем. За их реализацию багхатеры получат 3 млн рублей.

АРТ Bug Bounty — это подход Positive Technologies к проверке защищенности от киберугроз, при котором независимые исследователи в режиме 24/7 в условиях постоянно изменяющейся инфраструктуры оценивают защищенность компании от взлома и пытаются реализовать недопустимые для нее события.

«
APT Bug Bounty — это логичное развитие нашей стратегии по защите инфраструктуры медиахолдинга. Мы формируем понимание ее наиболее важных областей и фокусируемся на них. Экспертиза Positive Technologies и платформа Standoff Bug Bounty позволяют расширить "партнерство" с багхантерами для оценки защищенности наиболее ценных активов от целевых атак»,
сказал Евгений Руденко, директор по кибербезопасности Rambler&Co.
»

Rambler&Co предлагает белым хакерам изучить бизнес-процессы компании и проверить ее инфраструктуру на прочность. Лучшие киберспециалисты будут искать векторы проникновения в инфраструктуру медиахолдинга и отчитываться о реализованных критериях недопустимых событий.

«
АРТ Bug Bounty — альтернатива red team и классическому пентесту, которая обеспечивает объективную оценку защищенности компании от киберугроз. Этот подход позволяет оценить эффективность системы защиты компании и в кратчайшие сроки устранить уязвимости,
отметил Алексей Новиков, управляющий директор Positve Technologies.
»

На платформе Standoff Bug Bounty опубликована программа, содержащая правила и условия, следуя которым исследователи безопасности попробуют выявить и реализовать векторы атак, позволяющие получить доступ к договорам, контрагентам, объектам интеллектуальной собственности и персональным данным работников и клиентов Rambler&Co.

На первом этапе программа будет запущена в приватном режиме и доступна ограниченному числу багхантеров.

Кроме того, Rambler&Co расширяет основную программу багбаунти. Теперь исследователям предлагается отдельно рассматривать уязвимости на основных медийных активах компании, доменах со спортивной тематикой, портале «Рамблер» и LiveJournal. Таким образом холдинг планирует вывести защищенность своих проектов на новый уровень. Также увеличены суммы выплат за все виды уязвимостей: «низкая» — до 5000 рублей, «средняя» — от 5000 до 35 000 рублей, «высокая» — от 35 000 до 150000 рублей, «критическая» до 500 000 рублей.

Увеличение вознаграждения от Innostage до 10 млн рублей

Innostage 9 сентября 2024 года объявила о двукратном повышении вознаграждения для участников открытых кибериспытаний (ОКИ). Программа реализуется на платформе для исследователей безопасности Standoff Bug Bounty и призвана проверить и повысить киберустойчивость бизнеса. Подробнее здесь.

Добавление онлайн-симулятора Standoff Cyberbones

Positive Technologies обновила платформу Standoff 365 и добавила новый продукт: онлайн-симулятор Standoff Cyberbones теперь доступен всем, кто хочет получить новые знания по расследованию киберинцидентов и развить свои навыки в этой области. Специалисты по ИБ разного уровня смогут на практике изучить тактики сильнейших белых хакеров — участников кибербитвы Standoff. На первом этапе для пользователей будет доступно 15 лучших, по мнению экспертов Standoff, инцидентов, произошедших на кибербитве. Подробнее здесь.

Запуск программы для систем MaxPatrol SIEM и MaxPatrol VM

Positive Technologies запускает программу Багхантеры (Bughunter). Bug bounty. Поиск уязвимостей|багбаунти для систем MaxPatrol SIEM и MaxPatrol VM. Об этом компания сообщила 22 марта 2024 года.

За обнаруженные недостатки исследователи могут получить до 1 млн рублей.

В течение последних трех лет эксплуатация уязвимостей применяется примерно в каждой третьей успешной атаке на организации. При этом число обнаруженных в мире уязвимостей программного обеспечения за этот период постоянно растет: в 2023 году их количество (28 902) превысило показатели 2021-го и 2022 года на 42% и 14% соответственно.

«
Наша компания — один из представителей российского рынка кибербезопасности, мы создаем продукты, позволяющие организациям построить результативную безопасность. MaxPatrol SIEM используют более 600 компаний из разных отраслей. Продукт обеспечивает практическую результативность работы операторов и аналитиков системы. MaxPatrol VM — единственное решение, которое доставляет информацию о трендовых уязвимостях за 12 часов. Продукт позволяет выстроить процесс управления уязвимостями, соответствовать требованиям ИБ, а также помогает сделать инфраструктуру труднодоступной для хакера. Для того чтобы обеспечить реальную безопасность, мы постоянно проверяем на защищенность и собственные продукты. Мы хотим сделать их максимально безопасными для клиентов, именно поэтому привлекаем и сторонних исследователей ИБ, объявив программу вознаграждения за найденные уязвимости в MaxPatrol SIEM и MaxPatrol VM, — отметил Иван Прохоров, руководитель продукта MaxPatrol SIEM Positive Technologies.
»

В программе смогут принять участие все зарегистрированные на платформе Standoff 365 исследователи, число которых уже превышает 8500.

В декабре 2023 года Positive Technologies запустила свою первую продуктовую программу багбаунти для межсетевого экрана уровня веб-приложений PT Cloud Application Firewall, а затем еще для двух своих продуктов — PT Sandbox и PT Network Attack Discovery.

Отмена срока действия программы

Positive Technologies сделала бессрочной свою первую продуктовую программу Багхантеры (Bughunter). Bug bounty. Поиск уязвимостей|багбаунти. Об этом компания сообщила 13 февраля 2024 года.

Исследователи могут продолжать искать уязвимости в облачном продукте PT Cloud Application Firewall на платформе Standoff 365 Bug Bounty, условия и требования программы не изменились. Цель — делать продукт безопасным в режиме нон-стоп.

Программа была запущена в конце декабря 2023 года. В течение месяца исследователи искали уязвимости в межсетевом экране уровня веб-приложений PT Cloud Application Firewall. В результате было принято 20 отчетов, при этом критически важных уязвимостей обнаружено не было. Выявленные недостатки безопасности были оперативно устранены продуктовой командой в течение пяти часов.

По прогнозам экспертов Positive Technologies, в 2024 году тренд на усложнение кибератак продолжит укрепляться, хакеры начнут использовать более изощренные методы. В итоге спрос на инструменты и сервисы безопасности вырастет, но при этом требования к качеству их работы повысятся. На февраль 2024 года клиенты в первую очередь заинтересованы в получении честной оценки их уровня киберустойчивости и построении надежной защиты от недопустимых рисков. Уязвимые системы не способны обеспечить компаниям необходимый уровень безопасности: злоумышленники могут взломать их, как и любое незащищенное ПО.

«
Тенденции рынка ИБ диктуют вендорам условие: необходимо непрерывно повышать защищенность инструментов. Бессрочная программа багбаунти позволит решить эту задачу: компании смогут постоянно проверять и совершенствовать продукты, в том числе облачные, — сказал Анатолий Иванов, руководитель направления багбаунти Standoff 365. — Это касается как продуктов и решений Positive Technologies, так и предложений других вендоров. Как еще защитить продукт от влияния хакеров? Дать багхантерам возможность беспрерывно искать в нем уязвимости, а разработчикам — их устранять. PT Cloud Application Firewall стал нашим первым шагом на пути к реализации этой стратегии.
»

При разработке продуктов для результативной кибербезопасности Positive Technologies акцентирует внимание среди прочего на их надежности. Эксперты компании анализируют защищенность систем и устраняют уязвимости теми же методами, какие применяют в проектах. Бессрочные программы багбаунти дополнят привычные средства аудита, делая анализ безопасности непрерывным процессом.

«
Выбор PT Cloud Application Firewall, продукта класса web application firewall (WAF), как первопроходца на багбаунти-программе Positive Technologies неслучаен. WAF отвечает в компаниях за отказоустойчивость и надежность бизнеса, а потому сам должен быть максимально защищен от киберугроз, при этом не в моменте, а всегда, — отметил Алексей Астахов, руководитель продуктов application security в Positive Technologies. — Программа багбаунти в этом смысле — очень правильный инструмент, который дополняет процессы безопасной разработки. Мы хотим, чтобы наши продукты были под пристальным вниманием пентестеров, и с радостью готовы платить за результаты этой работы.
»

2023

Запуск продуктовой программы багбаунти

Positive Technologies запустила свою первую продуктовую программу багбаунти. Об этом компания сообщила 20 декабря 2023 года.

Исследователи будут искать уязвимости в облачном продукте компании — PT Cloud Application Firewall.

Программа на платформе Standoff 365 Bug Bounty продлится с 20 декабря 2023 года по 20 января 2024 года. За обнаруженные баги исследователи могут получить до 500 000 рублей.

Эксплуатация уязвимостей остается самым успешным методом проведения атак на организации. В 37% случаев злоумышленники начинали атаку именно с поиска уязвимостей. Positive Technologies как представитель рынка результативной кибербезопасности в России неоднократно заявляла, что багбаунти-программа может кардинально изменить ситуацию и усложнить реализацию атаки. В связи с этим мы выводим свой первый коммерческий облачный продукт — межсетевой экран уровня веб-приложений PT Cloud Application Firewall — на платформу Standoff 365 Bug Bounty.

«
Нам важно задать стандарты защиты cloud-native-инфраструктуры, так как мы уверены, что «облака» — это не просто будущее, а уже настоящее, — сказал Алексей Астахов, руководитель направления application security в Positive Technologies. — Логично, что начать этот путь стоит с себя, с собственного облачного продукта — PT Cloud Application Firewall, который должен соответствовать серьезным требованиям по отказоустойчивости и надежности для защиты приложений. Программа багбаунти в этом случае — максимально эффективный инструмент для независимой оценки защищенности. Мы открыты перед исследователями: если вы сможете найти критические уязвимости, то мы охотно за них заплатим, ведь это в итоге сделает продукт еще более защищенным от киберугроз.
»

Продукт PT Cloud Application Firewall распространяется по ежемесячной подписке через технологических партнеров — авторизованных сервисных и облачных провайдеров. По условиям программы, все зарегистрированные на платформе исследователи (на декабрь 2023 года их более 8000) смогут, используя метод черного ящика, искать уязвимости в ресурсах, которые находятся на домене ptcloud.ru.

Выплаты за багбаунти в России сопоставимы с вознаграждением на мировых платформах

В Positive Technologies 23 ноября 2023 года подвели итоги работы платформы по поиску уязвимостей Standoff 365 Bug Bounty, запущенной в мае 2022 года. За полтора года количество размещенных программ увеличилось с 2 до 53 и продолжает расти. Размер вознаграждения составляет от девяти тысяч до трех миллионов рублей в зависимости от уровня опасности уязвимости. При этом максимальные выплаты сопоставимы с аналогичными вознаграждениями на мировых площадках.

На ноябрь 2023 года на платформе разместили свои программы организации из разных отраслей: ИТ, торговля, финансы, государственные учреждения. Наибольшее количество программ представлено в секторе ИТ (38%), среди государственных учреждений (17%) и образовательных платформ (11%).

С момента открытия на платформе зарегистрировалось 7537 исследователей; программы представили Rambler&Co, VK, Госуслуги, «Одноклассники», «Тинькофф».

«
Одним из наиболее значимых показателей результативности платформы является количество полученных валидных отчетов о найденных уязвимостях, — сказал менеджер по продукту Standoff 365 Анатолий Иванов. — Таковыми, как правило, считаются отчеты исследователей, которые прошли верификацию со стороны платформы и представителя программы. Всего багхантеры отправили 1479 отчетов, из которых 10% (152) были с критически опасными уязвимостями и 19% (287) — с уязвимостями высокой степени опасности.
»

За полтора года работы Standoff 365 Bug Bounty хакеры нашли уязвимости 71 типа по классификации CWE (Common Weakness Enumeration) в веб-приложениях. Недостаток CWE-79 —«Некорректная нейтрализация входных данных при генерировании веб-страниц (межсайтовое выполнение сценариев)» — занял первое место по популярности, так как попал в 22% отчетов.

Одна из мировых платформ багбаунти HackerOne тоже ведет статистику по CWE, где также публикуются недостатки безопасности, которые ранжируются по количеству отчетов с ними. В Positive Technologies отметили, что данные с двух платформ схожи, а следовательно, Standoff 365 Bug Bounty поддерживает мировые тренды даже в статистике об уязвимостях инфраструктур организаций.

От программы к программе метрика пиковой выплаты может значительно различаться. В одной за критически опасную уязвимость могут выплатить несколько тысяч рублей, а в другой — более трех миллионов. Размеры вознаграждений зависят от самой компании: ее доходов, масштаба, информации, с которой она работает.

«
По нашим данным, ИТ-компании и организации из финансовой сферы выплатили хакерам больше, чем компании из других отраслей, представленных на платформе, — отметил Григорий Прохоров, аналитик исследовательской группы департамента аналитики Positive Technologies. — На них суммарно приходится 81% вознаграждений, несмотря на то что количественно они представлены лишь в 44% программ. Мы отмечаем, что уровень выплат на зарубежных платформах сопоставим с аналогичными программами на Standoff 365 Bug Bounty. Например, на платформе HackerOne вознаграждения по ним могут составлять до 20 тыс. долл. в зависимости от компании — участника программы.
»

Кроме того, в 2023 году Standoff 365 Bug Bounty было организовано два закрытых мероприятия Standoff Hacks, где багхантерам предоставили возможность поучаствовать в закрытых программах. Только по итогам последнего события общая сумма выплат составила 11 470 740 рублей.

Доступность киберучений для корпоративных служб информационной безопасности

1 августа 2023 года на онлайн-киберполигоне Standoff 365 стартуют очередные учения, а сама площадка начнет работу в обновленном формате: с этого дня киберучения в режиме нон-стоп будут доступны и для команд защитников. Об этом сообщила компания Positive Technologies (Позитив Текнолоджиз).

В России руководители организаций несут персональную ответственность за кибербезопасность. В частности, они заинтересованы в создании эффективных команд информационной безопасности, которые смогут выжать максимум возможностей из средств защиты, будут в курсе самых актуальных тактик и техник злоумышленников, смогут удостовериться в своей способности обнаружить кибератаку любой степени сложности и вовремя среагировать на нее. Отличительная особенность полигона, созданного Positive Technologies, — живой хакерский трафик со стороны поддерживаемого компанией международного сообщества независимых исследователей безопасности. Это позволяет клиентам киберполигона подготовиться к угрозам и самым непредсказуемым сценариям, в том числе выявлять и расследовать атаки, эксплуатирующие уязвимости нулевого дня.

Киберучения на полигоне Standoff 365 позволяют команде специалистов по ИБ оценить степень защищенности инфраструктуры и понять, как максимально усложнить жизнь преступникам. Здесь они могут изучать, разбирать и исследовать актуальные и нетривиальные техники хакеров. А компании в случае необходимости могут разместить и проверить здесь фрагменты своей инфраструктуры, чтобы протестировать ее защищенность в безопасной и контролируемой среде. Кроме того, на Standoff 365 можно на практике познакомиться с разными классами продуктов ИБ, определить, какие из них необходимы для конкретной организации, обеспечить оптимальную настройку средств защиты.

До сих пор запущенный в июле 2022 года киберполигон был доступен только для атакующих. На август 2023 года на платформе Standoff 365 уже зарегистрированы более шести тысяч независимых специалистов по информационной безопасности. Здесь они, исследуя копии реальных инфраструктур компаний, оттачивают свои навыки, исследуют новые техники атак 24/7 и проверяют пределы безопасности организаций из разных отраслей. За год в трех отраслевых сегментах, представленных на киберполигонах, исследователи обнаружили более 440 уязвимостей и смогли реализовать недопустимые сценарии 165 раз. С 1 августа возможность совершенствовать свои навыки появилась и у команд защиты. Они смогут мониторить и расследовать действия атакующих, чтобы в дальнейшем использовать полученные навыки в жизни для предотвращения реальных хакерских атак.

Киберполигон — ключевой элемент построения системы результативной кибербезопасности. С его помощью тысячи этичных хакеров, использующих различные тактики, техники и инструменты, помогают бизнесу и государству предотвратить недопустимые для организаций сценарии, раскрывая интересные и неожиданные векторы атак. Быстрое развитие информационных систем требует постоянного внимания специалистов по безопасности. Онлайн-полигон помогает компаниям повышать компетенции команд защиты и улучшать процессы ИБ в непрерывном режиме, при этом почти не отвлекая специалистов от основной работы: подписка на онлайн-полигон действует в течение года, каждый специалист или команда обращаются к нему в комфортном для себя режиме.

Инфраструктура обновленного Standoff 365 включает копии ИТ-систем разного уровня сложности с возможностью добавления необходимых базовых сервисов, объектов и оборудования АСУ ТП, сред разработки, средств мониторинга и защиты информации. Полигон включает модули, воссоздающие элементы промышленной сети шести разных отраслей (с возможностью отработки защиты от прохождения из корпоративной сети в технологическую), а также финансовые сервисы.

По запросу клиента в Standoff 365 можно добавить и собственную инфраструктуру для оценки ее защищенности в условиях реальных атак с непрогнозируемыми векторами. Полигон предназначен не только для проведения учений, повышения экспертизы в ИБ и комплаенса, но и максимизации эффективности средств защиты, постоянного потока актуальной информации о тактиках, техниках и инструментарии хакеров.

Размещение собственной программы для поиска уязвимостей

1 марта 2023 года компания Positive Technologies (Позитив Текнолоджиз) сообщила о том, что на платформе Багхантеры (Bughunter). Bug bounty. Поиск уязвимостей|багбаунти Standoff 365 запущена собственная публичная программа для поиска уязвимостей. Таким образом платформа готова открыто подтвердить защищенность своих сервисов и продемонстрировать заботу о безопасности клиентов. Багбаунти-программа Standoff 365 будет доступна для всех исследователей, а вознаграждение за наиболее опасные уязвимости составит 1 млн рублей.

В IV квартале 2022 года количество атак хакеров на ИТ-компании увеличилось на 18%. Сфера ИТ вплотную приблизилась к тройке лидеров в списке самых атакуемых отраслей. Злоумышленникам интересны ИТ-компании, поскольку их компрометация открывает путь для дальнейших атак на их клиентов — пользователей продуктов и сервисов.

«
Запуск собственной программы поиска уязвимостей — серьезный шаг в развитии Standoff. Платформа содержит много данных, важных для нас и наших клиентов, поэтому запуск багбаунти позволит усилить защиту и подготовить команду разработки к тому, чтобы быстро менять процессы, находить и исправлять баги на раннем этапе. Мы готовы на своем примере показать всем, что багбаунти — это нестрашно и что поиск уязвимостей багхантерами не оказывает негативного влияния на работу сервисов, — сказал Анатолий Иванов, руководитель направления развития багбаунти Standoff 365.
»

В рамках багбаунти-программы Standoff 365 исследователям будут доступны все поддомены сайта платформы — standoff365.com, включая домены авторизации (auth.standoff365.com), багбаунти (bugbounty.standoff365.com) и киберполигона (range.standoff365.com). Суммы вознаграждения этичных хакеров зависят от степени опасности найденных уязвимостей и составят 1 миллион рублей за критически опасный уровень, 250 тысяч рублей — за высокий, 50 тысяч и 15 тысяч рублей соответственно за средний и низкий уровни.

Следующим шагом в развитии программы станет запуск багбаунти, нацеленной на реализацию недопустимых событий, и увеличение выплат багхантерам до 2 млн рублей. Кроме того, для мотивации исследователей платформа готова и на другие формы поощрения, включая мерч и приглашения на мероприятия.

2022

Запуск программы bug bounty, нацеленной на реализацию недопустимых событий

Positive Technologies 22 ноября 2022 года объявила о запуске программы bug bounty, которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критически опасного для компании события — хищения денег со счетов. Positive Technologies готова выплатить вознаграждение в 10 миллионов рублей.

«
Ранее целью традиционных программ bug bounty всегда являлся поиск относительно мелких и незначительных уязвимостей в сервисах компаний. При этом не всегда они имеют критически важное значение для бизнеса и, как правило, остаются понятны только техническим специалистам, — сказал Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — Нам важно, чтобы наиболее опасные для компании события были гарантированно нереализуемы. Поэтому мы посмотрели на bug bounty по-новому и переориентировали атакующих с обнаружения исключительно технических проблем на поиск способов реализации недопустимых для нашего бизнеса событий — в частности, на этом этапе мы проверяем возможности кражи денег со счетов компании. Такая постановка задачи на порядок усложняет работу исследователя, так как ему нужно разобраться с тем, как выстроены бизнес-процессы компании, обойти системы защиты и продемонстрировать факт хищения денег.
»

Постоянно совершенствуя свою систему защиты, Positive Technologies провела серию киберучений практически со всеми крупными компаниями, предоставляющими услуги по тестированию на проникновение в России. Было проанализировано более 200 возможных сценариев атак. Результаты показали, что каждая команда действует в разных стилях — кто-то, к примеру, более ориентирован на использование социальной инженерии, другие сфокусированы на сетевой инфраструктуре или веб-приложениях. Единственным способом, гарантирующим объективную и всеобъемлющую проверку защищенности компании, является расширение и разнообразие атакующей экспертизы. Поэтому Positive Technologies запустила открытую для всех исследователей программу bug bounty с особыми условиями на платформе Standoff 365, объединяющей на ноябрь 2022 года более 2800 багхантеров.

Программа bug bounty Positive Technologies не ограничена по времени, то есть компания оценивает свою защищенность непрерывно, вплоть до реализации неприемлемого для компании сценария. В отличие от классических bug bounty, здесь этичным хакерам разрешено использовать для проникновения практически любые способы проведения удаленных атак (включая социальную инженерию). Главный приз — 10 миллионов рублей — получит тот исследователь, который в соответствии с правилами программы сможет нелегитимным способом перевести деньги со счетов компании и предоставит отчет в соответствующей детализации.

«
Мы считаем, что такая эволюция программ bug bounty — это новый виток в развитии индустрии кибербезопасности, так как это единственный способ для руководителя компании контролируемо убедиться, что система защиты реально работает, — заключил Алексей Новиков.
»

Размещение решения RuStore

VK 15 ноября 2022 года сообщила о размещении RuStore в программе по поиску уязвимостей (Bug Bounty) на платформе Standoff 365 Bug Bounty, разработчиком которой выступает Positive Technologies. Подробнее здесь.

Получение VK 300 отчетов об уязвимостях

18 октября 2022 года компания VK сообщила о получении 300 отчетов об уязвимостях от внешних экспертов за три месяца работы программы по поиску уязвимостей (bug bounty) на платформе Standoff 365 Bug Bounty, разработчиком которой выступает Positive Technologies. Более половины сообщений эксперты VK признали существенными, выявленные на их основе уязвимости были устранены.

Более 50 исследователей безопасности получили вознаграждение на общую сумму три миллиона рублей. Размер выплат составил от трех тысяч рублей до 750 тысяч рублей в зависимости от критичности выявленной уязвимости.

Иллюстрация:twicopy.com
«
Компания разместила программу по поиску уязвимостей на Standoff 365 три месяца назад и уже видим положительные результаты ее работы. За это время внешние эксперты помогли улучшить и усилить защиту наших сервисов. VK стремится предоставить комфортные условия для пользователей, обеспечение сохранности и конфиденциальности их данных. Помимо создания собственных технологических решений VK продолжит сотрудничество с крупными российскими ИТ-компаниями, чтобы продукты были максимально безопасными,
отметил вице-президент, директор по информационной безопасности VK, Алексей Волков.
»

VK объявила об участии в Standoff 365 Bug Bounty в августе 2022 года. Компания разместила на платформе 12 сервисов. В течение трех месяцев их число выросло до 19. В планах - увеличение количества проектов на платформе более чем на 20%.

Размещение программы по поиску уязвимостей от Rambler&Co

22 сентября 2022 года Rambler&Co сообщил о запуске публичной программы по поиску уязвимостей на платформе The Standoff 365 Bug Bounty, разработанной Positive Technologies. Исследователям предлагается протестировать 10 наиболее важных и известных сервисов медиахолдинга, среди которых сайты «Ленты.ру», «Газеты.Ru», «Чемпионата», портал «Рамблер», «Рамблер/новости», «Рамблер/почта» и другие. Таким образом холдинг планирует вывести защищенность своих проектов на следующий уровень.

Пользователям необходимо обеспечить постоянный бесперебойный доступ к контенту, а также надежную сохранность и конфиденциальность персональных данных. Это важный шаг в условиях, когда доля атак на российские веб-ресурсы выросла почти в два раза (до 22% в первом квартале 2022 года относительно 13% в предыдущем квартале). При этом медиаиндустрия впервые вошла в пятерку самых атакуемых отраслей.

В этой ситуации программа bug bounty становится стандартом для крупных технологических и медиакомпаний, так как позволяет обеспечить непрерывный анализ защищенности сервисов силами независимых исследователей безопасности, при этом сохраняя высокую экономическую эффективность.

У Rambler&Co уже есть опыт использования подобной программы в закрытом режиме, когда приглашают участвовать ограниченное число исследователей. В этот раз медиахолдинг открывает bug bounty для всех желающих, заявленные суммы вознаграждений в которой варьируются в зависимости от степени критичности уязвимостей и составят от 2 000 до 100 000 рублей.

«
У компании Positive Technologies большой опыт работы в индустрии кибербезопасности, авторитет в сообществе и сильная экспертиза, что является дополнительной гарантией в привлечении специалистов. На отечественном рынке платформа The Standoff 365 Bug Bounty выглядит наиболее зрелым решением, поэтому от участия в программе компания ожидает вовлечения большого числа специалистов, сильной экспертизы и, как следствие, дополнительного повышения уровня защищенности проектов и сервисов,
подчеркнул Евгений Руденко, директор по кибербезопасности Rambler&Co.
»

«
Исследования компания демонстрируют растущий интерес киберпреступников к организациям медиаотрасли. Громкие атаки на СМИ в 2022 году сигнализируют о том, что отрасли пора пересмотреть свое отношение к кибербезопасности. Ответственные компании, такие как Rambler&Co, осознают растущие риски и важность программ bug bounty. А платформа помогает им вовремя обнаруживать и устранять критичные бреши в сервисах — тем самым защищая пользователей,
рассказал Ярослав Бабин, CPO The Standoff 365.
»

Привлечение 1800 белых хакеров

Positive Technologies 26 августа 2022 года поделилась итогами первых трех месяцев работы платформы The Standoff 365 — проекта, где воссоздаются операционные и бизнес-процессы реальных промышленных, энергетических, транспортных и финансовых компаний и целых отраслей экономики.

The Standoff 365 объединяет в себе три проекта: платформу Bug Bounty, киберполигон и социальную площадку для хакеров и исследователей безопасности. За три месяца платформа привлекла 1800 белых хакеров.

The Standoff 365 Bug Bounty действует с 19 мая, и на 26 августа 2022 года это ключевая отечественная площадка для привлечения внешних исследователей к поиску и исправлению уязвимостей в инфраструктуре, продуктах и сервисах компаний, а также к обнаружению путей реализации недопустимых событий. После запуска на платформе были размещены 13 программ bug bounty, а зарегистрированные исследователи сдали 250 отчетов о найденных уязвимостях. Багхантерам уже одобрены первые выплаты.

В июле начал действовать и второй элемент The Standoff 365: в дополнение к регулярным офлайн-кибербитвам появился доступный 365 дней в году онлайн-киберполигон, который позволяет анализировать защищенность инфраструктуры в трех ключевых сегментах: корпоративном, финансовом и электроэнергетическом. Участники уже обнаружили на онлайн-киберполигоне 203 уязвимости, больше всего (82) — в энергетическом сегменте, а также реализовали 40% всех заявленных недопустимых событий, в том числе четыре из семи недопустимых событий в банковском сегменте.

Размещение программы по поиску уязвимостей от VK

8 августа 2022 года VK сообщила об участии в платформе The Standoff 365 Bug Bounty, разработчиком которой выступает Positive Technologies. ИТ-компания разместила на платформе программу по поиску уязвимостей (bug bounty), которая с помощью внешних экспертов помогает находить недостатки в системе безопасности и устранять их до обнаружения злоумышленниками. В bug bounty VK входят более 40 проектов. В случае выявления уязвимостей исследователи безопасности получат от компании вознаграждения от 6 тыс. рублей до 1,8 млн рублей в зависимости от уровня угрозы.

«
Безопасность пользователей и доверие к сервисам VK всегда были приоритетом для нас. Мы применяем различные инструменты, чтобы укрепить киберзащиту, и давно используем bug bounty для проверки качества наших сервисов, видим в этом реальную, практическую пользу. За последние полгода количество кибератак на Россию выросло в разы, и мы рады, что отечественные компании запускают собственные bug bounty платформы. Уверен, что размещение нашей программы на платформе The Standoff 365 расширит возможности VK в поиске уязвимостей и их оперативном устранении, — отметил вице-президент, директор по информационной безопасности VK Алексей Волков.

»

«
Чтобы привлечь к обнаружению уязвимостей внешних экспертов по кибербезопасности, руководству компании требуется смелость. Но именно этот шаг позволяет достоверно и объективно оценить защищенность бизнеса и вовремя устранить уязвимости в ИТ-инфраструктуре до того, как плохие парни воспользуются ими и нанесут организации непоправимый ущерб. Программа bug bounty — это забота о будущем; это признак открытости компании, ее внимания к безопасности данных пользователей. Поэтому сам факт наличия bug bounty вызывает больше доверия к организации. Мы рады приветствовать на своей платформе компанию VK с ее многолетним опытом в bug bounty и рассчитываем на долгосрочное сотрудничество в деле улучшения защищенности сервисов и повышения уровня кибербезопасност», — сказал CPO The Standoff 365 Ярослав Бабин.
»

Ссылки

Ссылка на The Standoff 365 Bug Bounty



СМ. ТАКЖЕ (19)