Positive Technologies представил собственную платформу bug bounty

Компания Positive Technologies 19 мая 2022 года на форуме Positive Hack Days  представила собственную платформу bug bounty — The Standoff 365 Bug Bounty. 

eea49301549662bf51ef4f70293ba3ae.jpg

На момент написания статьи в платформе зарегистрировано 366 белых хакеров; компаний, готовых к исследованиям безопасности, пока зарегистрировано две: «Азбука вкуса» и Positive Technologies. Прогноз на 2022 год такой — планируется регистрация от 500 до 1000 хакеров на платформе и от 10 до 20 компаний, готовых платить за поиск уязвимостей в собственной инфраструктуре. Пока программа рассчитана на внутренний рынок РФ, и на данный момент выплаты для исследователей безопасности  будут происходить на рублевые счета. Также и на российские компании, выходящие на платформу вознаграждения. Но, как сказал директор экспертного центра безопасности Positive Technologies Алексей Новиков на пресс-конференции, если уязвимость найдена в продукте, то без привлечения вендора не обойдется. 

5b4a983d5cd75cd73621e10aa27c6ad8.jpgЯрослав Бабин

CPO The Standoff 365

«В целом программы bug bounty представляют собой набор условий — правил, политик, цен и границ поиска —, в соответствии с которыми белые хакеры получают от организаций вознаграждение за уязвимости, найденные в их IT-сетях, системах и приложениях. Компании объявляют bug bounty, чтобы независимо и достоверно оценить свою защищенность и своевременно устранить проблемы в сфере безопасности, пока злоумышленники ими не воспользовались». 

Отличие The Standoff 365 от традиционного формата поиска уязвимостей — в новом  механизме вознаграждения для выхода из этой ситуации. 

По словам  CPO The Standoff 365 Ярослава Бабина, главное отличие платформы The Standoff 365 Bug Bounty — возможность создания программ по принципу результативной кибербезопасности, когда исследователи ищут не просто уязвимости в огромных количествах, а реализуют недопустимые для нее сценарии. Данный механизм поможет правильно распределить бюджет вознаграждения по программе от компании и определить риски, которые приводят к неприемлемым последствиям. Это значит, что исследователь должен не просто найти уязвимость и указать на нее, а проэксплуатировать ее и предоставить отчет, насколько она критична. 

На платформе компании могут сами устанавливать правила bug bounty: сроки, границы исследований, форматы отчетов, суммы вознаграждений и права доступа. Программы рассчитаны на 3, 6 и 12 месяцев и до исчерпания бюджета проекта. Они могут быть  даже непрерывны в течение нескольких лет. Сами отчеты об уязвимостях белые хакеры могут отправлять напрямую компаниям или пройти верификацию экспертов Positive Technologies. В перспективе компании смогут сделать программу публичной для всех или дать к ней доступ только определенным группам таких хакеров, например, тем, кто ранее выявил уязвимости в приложениях и системах конкретной организации.

В данной программе bug bounty участвует компания «Азбука вкуса» с 2020 года. Она стала первой компанией с собственной публичной программой вознаграждений за найденные уязвимости. 

2eaa434e4368ba5bd387d13857df25b0.jpgРуслан Верхоланцев

Руководитель отдела по информационной безопасности «Азбуки вкуса»

«Первый отчет мы получили всего через час после запуска, а подтвержденную уязвимость — спустя три часа. Эффективность повысилась, когда мы перешли на специализированную площадку, так как еще больше исследователей узнали о нашей программе. От The Standoff 365 Bug Bounty мы ожидаем активного участия багхантеров и качественных отчетов. Вместе с Positive Technologies мы хотим повысить интерес к программам bug bounty, улучшить свои сервисы, дать исследователям возможность честно работать и получать вознаграждение за свои старания. Мы призываем соблюдать этику сообщества и ответственно относиться ко всем действиям в рамках программы».

Кроме «Азбуки вкуса» в программе приняла участие и сама компания Positive Technologies, которая уже проводила открытые киберучения на своей инфраструктуре. Компания планирует проверить безопасность корпоративных сайтов ptsecurity.com и partners.ptsecurity.com. За найденные уязвимости Positive Technologies будет платить исследователям безопасности от 20 тыс. до 393 тысяч рублей.

238ca095fef60d622b94fe5330901bde.jpgАлексей Новиков

Директор экспертного центра безопасности Positive Technologies

«Мы проводим публичные киберучения, запускаем bug bounty — все это с одной целью: сделать недопустимые для нас события невозможными, получить объективную и достоверную оценку защищенности компании».

© Habrahabr.ru