Новости

Positive Technologies заплатит белым хакерам 60 млн рублей за закладку в коде своих продуктов

«Отечественные компании активно строят результативную кибербезопасность в своих инфраструктурах. Многие делают это пошагово, последовательно определяя и верифицируя недопустимые события, настраивая мониторинг ключевых и целевых систем и проводя регулярные киберучения. Запуск программы багбаунти, ориентированной на недопустимые события, — это серьезный шаг для компании. Однако это единственный способ для ее CISO и топ-менеджмента на деле убедиться в эффективности выстроенной системы защиты», — отметил Алексей Новиков, директор экспертного центра безопасности Positive Technologies.

Он также добавил, что Positive Technologies первой решилась привлекать независимых исследователей безопасности для подтверждения способов реализации недопустимых событий. В Positive Technologies ожидают, что в 2024 году этому примеру последуют другие организации, прежде всего самые зрелые с точки зрения ИБ. Уже сейчас заметно вырос интерес компаний к поиску сценариев реализации недопустимых событий и увеличилось количество подобных программ.

Перед запуском багбаунти-программы на второе недопустимое событие Positive Technologies проверила возможность его реализации на киберполигоне Standoff 12, где воссоздала часть своей реальной инфраструктуры — с процессами разработки, сборки и доставки ПО. Участники кибербитвы пробовали внедрить закладку в исходный код одного из продуктов, но им это не удалось.

Спустя три месяца после тестирования на киберполигоне Positive Technologies запускает открытую программу на багбаунти-платформе с вознаграждением в 60 млн рублей. Его получит тот багхантер (или команда), который сможет в соответствии с правилами программы разместить условно вредоносную рабочую сборку с потенциально зловредным кодом на внутреннем сервере обновлений gus.ptsecurity.com либо на публичных серверах update.ptsecurity.com. Он также должен предоставить доказательства того, что ее можно сделать доступной для скачивания, а именно — скриншот с необходимыми правами. По условиям программы исследователям запрещено использовать модифицированную сборку. Кроме того, внутренние механизмы безопасности со стороны Positive Technologies исключают любую возможность распространения условно вредоносного обновления в продукты, поставляемые клиентам компании.

Белым хакерам, которым удастся выполнить один или несколько шагов до потенциальной реализации недопустимого события, будет присуждаться поощрительное вознаграждение. В частности, за преодоление сетевого периметра и закрепления на узле можно будет получить 300–500 тыс. рублей, а за внедрение кода в публичный релиз продукта на этапе хранения или тестирования — 3–5 млн рублей.

Купить Positive Technologies можно на сайте abc-av.