Positive Technologies представил собственную платформу bug bounty
Компания Positive Technologies 19 мая 2022 года на форуме Positive Hack Days представила собственную платформу bug bounty — The Standoff 365 Bug Bounty.
На момент написания статьи в платформе зарегистрировано 366 белых хакеров; компаний, готовых к исследованиям безопасности, пока зарегистрировано две: «Азбука вкуса» и Positive Technologies. Прогноз на 2022 год такой — планируется регистрация от 500 до 1000 хакеров на платформе и от 10 до 20 компаний, готовых платить за поиск уязвимостей в собственной инфраструктуре. Пока программа рассчитана на внутренний рынок РФ, и на данный момент выплаты для исследователей безопасности будут происходить на рублевые счета. Также и на российские компании, выходящие на платформу вознаграждения. Но, как сказал директор экспертного центра безопасности Positive Technologies Алексей Новиков на пресс-конференции, если уязвимость найдена в продукте, то без привлечения вендора не обойдется.
CPO The Standoff 365
«В целом программы bug bounty представляют собой набор условий — правил, политик, цен и границ поиска —, в соответствии с которыми белые хакеры получают от организаций вознаграждение за уязвимости, найденные в их IT-сетях, системах и приложениях. Компании объявляют bug bounty, чтобы независимо и достоверно оценить свою защищенность и своевременно устранить проблемы в сфере безопасности, пока злоумышленники ими не воспользовались».
Отличие The Standoff 365 от традиционного формата поиска уязвимостей — в новом механизме вознаграждения для выхода из этой ситуации.
По словам CPO The Standoff 365 Ярослава Бабина, главное отличие платформы The Standoff 365 Bug Bounty — возможность создания программ по принципу результативной кибербезопасности, когда исследователи ищут не просто уязвимости в огромных количествах, а реализуют недопустимые для нее сценарии. Данный механизм поможет правильно распределить бюджет вознаграждения по программе от компании и определить риски, которые приводят к неприемлемым последствиям. Это значит, что исследователь должен не просто найти уязвимость и указать на нее, а проэксплуатировать ее и предоставить отчет, насколько она критична.
На платформе компании могут сами устанавливать правила bug bounty: сроки, границы исследований, форматы отчетов, суммы вознаграждений и права доступа. Программы рассчитаны на 3, 6 и 12 месяцев и до исчерпания бюджета проекта. Они могут быть даже непрерывны в течение нескольких лет. Сами отчеты об уязвимостях белые хакеры могут отправлять напрямую компаниям или пройти верификацию экспертов Positive Technologies. В перспективе компании смогут сделать программу публичной для всех или дать к ней доступ только определенным группам таких хакеров, например, тем, кто ранее выявил уязвимости в приложениях и системах конкретной организации.
В данной программе bug bounty участвует компания «Азбука вкуса» с 2020 года. Она стала первой компанией с собственной публичной программой вознаграждений за найденные уязвимости.
Руководитель отдела по информационной безопасности «Азбуки вкуса»
«Первый отчет мы получили всего через час после запуска, а подтвержденную уязвимость — спустя три часа. Эффективность повысилась, когда мы перешли на специализированную площадку, так как еще больше исследователей узнали о нашей программе. От The Standoff 365 Bug Bounty мы ожидаем активного участия багхантеров и качественных отчетов. Вместе с Positive Technologies мы хотим повысить интерес к программам bug bounty, улучшить свои сервисы, дать исследователям возможность честно работать и получать вознаграждение за свои старания. Мы призываем соблюдать этику сообщества и ответственно относиться ко всем действиям в рамках программы».
Кроме «Азбуки вкуса» в программе приняла участие и сама компания Positive Technologies, которая уже проводила открытые киберучения на своей инфраструктуре. Компания планирует проверить безопасность корпоративных сайтов ptsecurity.com и partners.ptsecurity.com. За найденные уязвимости Positive Technologies будет платить исследователям безопасности от 20 тыс. до 393 тысяч рублей.
Директор экспертного центра безопасности Positive Technologies
«Мы проводим публичные киберучения, запускаем bug bounty — все это с одной целью: сделать недопустимые для нас события невозможными, получить объективную и достоверную оценку защищенности компании».