Positive Technologies объявила новые условия для своей bug bounty программы на платформе The Standoff 365
Positive Technologies объявила сегодня свою программу bug bounty, нацеленную на реализацию недопустимых событий. Вознаграждение за их реализацию составляет ₽10 миллионов, Есть условие — багхантеры перевести деньги со счетов компании Positive Technologies. Об этом Информационная служба Хабра узнала на мероприятии The Standoff 10.
Алексей Новиков Директор экспертного центра безопасности Positive Technologies
«До сегодняшнего дня целью традиционных программ bug bounty всегда являлся поиск относительно мелких и незначительных уязвимостей в сервисах компаний. При этом не всегда они имеют критически важное значение для бизнеса и, как правило, остаются понятны только техническим специалистам. Нам важно, чтобы наиболее опасные для компании события были гарантированно нереализуемы. Поэтому мы посмотрели на bug bounty по-новому и переориентировали атакующих с обнаружения исключительно технических проблем на поиск способов реализации недопустимых для нашего бизнеса событий — в частности, на этом этапе мы проверяем возможности кражи денег со счетов компании. Такая постановка задачи на порядок усложняет работу исследователя, так как ему нужно разобраться с тем, как выстроены бизнес-процессы компании, обойти системы защиты и продемонстрировать факт хищения денег».
Добавление в программу bug bounty недопустимых событий связанно с анализом серии киберучений с многими крупными компаниями, предоставляющими услуги по тестированию на проникновение в России. Было проанализировано более 200 возможных сценариев атак. И результаты показали, что каждая команда действует в разных стилях. Так, например, кто-то ориентирован на использование социальной инженерии, а кто-то больше сфокусирован на сетевой инфраструктуре или веб-приложениях.
И как заявили в компании Positive Technologies, единственным способом, гарантирующим объективную и всеобъемлющую проверку защищенности компании, является расширение и разнообразие атакующей экспертизы. Поэтому компания запустила открытую для всех исследователей программу bug bounty с такими условиями на платформе Standoff 365. Программа bug bounty Positive Technologies не ограничена по времени, компания оценивает свою защищенность непрерывно, вплоть до реализации неприемлемого для компании сценария.
Отличие от обычных bug bounty такое — этичным хакерам разрешено использовать для проникновения практически любые способы проведения удаленных атак (включая социальную инженерию). Если хакеры смогут реализовать, то как уже говорилось, они получат ₽10 млн. Исследователь в соответствии с правилами программы должен не только нелегитимным способом перевести деньги со счетов компании, но и предоставить отчёт с соответствующей детализации.
