10.06.2022 | Всем BUG BOUNTY! |
Год от года во всем мире растет количество кибератак. При этом, согласно статистике Positive Technologies , 86% киберпреступлений направлены на организации, и 74% от общего числа атак — целевые. Факт: весной 2022 года российские компании захлестнула волна кибератак, так что даже самые беспечные убедились, что взломать можно всё, и что в любом программном обеспечении находятся баги, ведущие к убыткам и репутационным потерям. В первые три недели марта, на пике кибератак, число обращений в Positive Technologies за сервисами защиты равнялось трети от всех запросов в 2021 году. При этом объем работ по анализу защищенности увеличился в два раза, а по расследованию инцидентов — в три. Вот еще пугающие цифры: согласно новому исследованию Positive Technologies, в 98% веб-приложений возможны атаки на пользователей, в 84% случаев есть угроза несанкционированного доступа, а в 91% возможны утечки важных данных. Так как же достоверно и объективно оценить защищенность IT-инфраструктуры бизнеса? Где искать нужных специалистов и какой бюджет необходим? Испытать на практике надежность любой IT-системы силами большого числа исследователей безопасности с разным опытом и умениями позволяют публичные программы bug bounty. И теперь запустить такую программу в России проще, чем когда-либо прежде. Платформа-агрегаторPositive Technologies представила на 11-м форуме практической кибербезопасности PHDays платформу The Standoff 365 Bug Bounty , которая объединяет компании и исследователей безопасности, чтобы сделать недопустимое невозможным. Bug bounty — программа вознаграждения за нахождение багов и уязвимостей. Собственные программы bug bounty обычно объявляют многопользовательские сайты, сервисы и разработчики программного обеспечения, чтобы поощрить исследователей безопасности сообщать об уязвимостях, особенно о таких критически опасных, как RCE. В то время как платформа Bug Bounty — это агрегатор, объединяющий на своей площадке программы самых разных компаний и позволяющий исследователям безопасности выбирать себе проект. При размещении на платформе компании публикуют список ресурсов, за отчет о недостатках защищенности в которых они готовы платить. А белые хакеры, заинтересованные в решении интересных задач, публичном признании и получении награды, обеспечивают объективность и достоверность исследований. Платформа открылась публично 18 мая с программами bug bounty от «Азбуки вкуса» и Positive Technologies. За две первые недели на ней зарегистрировались более 670 исследователей безопасности, и уже сданы 33 отчета. Одна голова хорошо, но лучше — большеВпервые запуская программу bug bounty, компания сталкивается со множеством вопросов: как сформировать правила? сколько платить участникам? как привлечь их именно к этой программе? Новая платформа дает ответы на каждый из них, помогая компаниям взаимодействовать с исследователями: от формирования правил для хакеров до процессов оплаты физлицам и фильтрации отчетов при необходимости. Здесь уже есть хакерский трафик: за 11 лет существования форума PHDays и 6 лет кибербитвы The Standoff организаторы собрали вокруг себя сообщество сильнейших исследователей в области кибербезопасности, имеющих опыт участия в bug bounty. Специалисты Positive Technologies сами ежегодно находят сотни уязвимостей в продуктах мировых технологических лидеров. Они знают всё о том, как работают программы bug bounty и как привлечь хакеров к участию в них. Недопустимое невозможноЕще совсем недавно bug bounty в основном запускали банки, площадки онлайн-торговли и IT-компании — то есть организации, чей бизнес связан с публичными сервисами для большого количества пользователей. С всеобщей цифровизацией и к остальным компаниям пришло понимание, что их бизнес-процессы целиком зависят от информационных технологий, а киберпреступники могут вывести из строя предприятие, систему или объект критической инфраструктуры. Теперь представителям службы безопасности важно не только увидеть уязвимости на периметре, но и понять, как именно хакер может, например, остановить оборудование или украсть чертежи и планы. Вот почему The Standoff 365 Bug Bounty , помимо традиционного формата поиска уязвимостей, предлагает новый механизм вознаграждения, ставя перед исследователями более сложную и амбициозную задачу — реализовать недопустимое событие. Ни одна другая платформа bug bounty в мире такой возможности не дает. «Главное отличие нашей платформы — возможность создания программ в соответствии с принципами результативной кибербезопасности, когда белые хакеры не просто ищут отдельные уязвимости в системе, а реализуют недопустимые для нее сценарии. Мы предложим компаниям самим определить риски, реализация которых может привести к неприемлемым последствиям, и платить белым хакерам за отчет с последовательностью ведущих к ним действий. Исследователь должен не только найти уязвимость, но и проэксплуатировать ее, повысить привилегии в системе, предпринять другие шаги, в результате которых, например, можно получить данные пользователей. Такой подход имеет ряд преимуществ как для исследователей, поскольку суммы вознаграждений будут выше, так и для компаний, которые будут платить только за то, что хакеру удалось реализовать», — говорит Ярослав Бабин, CPO The Standoff 365. Как всё устроеноНа платформе The Standoff 365 компании могут устанавливать свои правила bug bounty: выбирать сроки, форматы отчетов и суммы вознаграждений, а также обозначать границы исследований и права доступа:
В свою очередь, исследователи выбирают, с чем работать, исходя из правил и расценок, опубликованных компаниями. КейсыКомпания «Азбука вкуса» была первой в сегменте продуктового ретейла — она запустила программу bug bounty еще в 2020 году. «Первый отчет мы получили всего через час после запуска, а подтвержденную уязвимость — спустя три часа. Эффективность повысилась, когда мы перешли на специализированную площадку, так как еще больше исследователей узнали о нашей программе. От The Standoff 365 Bug Bounty мы ожидаем активного участия багхантеров и качественных отчетов. Вместе с Positive Technologies мы хотим повысить интерес к программам bug bounty, улучшить свои сервисы, дать исследователям возможность честно работать и получать вознаграждение за свои старания. Мы призываем соблюдать этику сообщества и ответственно относиться ко всем действиям в рамках программы», — рассказал Руслан Верхоланцев, руководитель отдела по информационной безопасности «Азбуки вкуса». Запущенная фуд-ретейлером на новой платформе программа bug bounty предлагает исследователям проверить сервисы в общем доступе на доменах av.ru, azbukavkusa.ru и их субдоменах, а также сервисы, расположенные на внешних сетевых адресах компании. Искать уязвимости можно как в браузерных, так и в мобильном приложении. Positive Technologies также предлагает свою программу bug bounty . Компания и прежде проводила открытые киберучения на своей инфраструктуре; на этот раз хакерам предлагается испытать безопасность корпоративных сайтов ptsecurity.com и partners.ptsecurity.com. За найденные уязвимости Positive Technologies готова платить от 20 тыс. до 393 тыс. руб. Что дальшеПо прогнозам создателей, в 2022 году на новой платформе свои программы bug bounty запустят 10–20 организаций, а к 2025 году их число может перевалить за 100. Может быть, одна из них будет ваша? Узнайте больше про платформу The Standoff 365 Bug Bounty или оставьте заявку на участие. В дальнейшем Positive Technologies планирует развивать платформу как международную, создавая уникальные возможности как для российских, так и для зарубежных компаний. |
Проверить безопасность сайта