Positive Technologies запустила первую в России программу bug bounty, нацеленную на реализацию недопустимых событий

Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа, которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критически опасного для компании события — хищения денег со счетов. Positive Technologies готова выплатить беспрецедентное для России вознаграждение в 10 миллионов рублей.

"До сегодняшнего дня целью традиционных программ bug bounty всегда являлся поиск относительно мелких и незначительных уязвимостей в сервисах компаний. При этом не всегда они имеют критически важное значение для бизнеса и, как правило, остаются понятны только техническим специалистам, — рассказывает Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — Нам важно, чтобы наиболее опасные для компании события были гарантированно нереализуемы. Поэтому мы посмотрели на bug bounty по-новому и переориентировали атакующих с обнаружения исключительно технических проблем на поиск способов реализации недопустимых для нашего бизнеса событий — в частности, на этом этапе мы проверяем возможности кражи денег со счетов компании. Такая постановка задачи на порядок усложняет работу исследователя, так как ему нужно разобраться с тем, как выстроены бизнес-процессы компании, обойти системы защиты и продемонстрировать факт хищения денег".

Постоянно совершенствуя свою систему защиты, Positive Technologies провела серию киберучений практически со всеми крупными компаниями, предоставляющими услуги по тестированию на проникновение в России. Было проанализировано более 200 возможных сценариев атак. Результаты показали, что каждая команда действует в разных стилях — кто-то, к примеру, более ориентирован на использование социальной инженерии, другие сфокусированы на сетевой инфраструктуре или веб-приложениях. Единственным способом, гарантирующим объективную и всеобъемлющую проверку защищенности компании, является расширение и разнообразие атакующей экспертизы. Поэтому Positive Technologies запустила открытую для всех исследователей программу bug bounty с уникальными условиями на платформе Standoff 365, объединяющей сегодня более 2800 багхантеров.

Программа bug bounty Positive Technologies не ограничена по времени, то есть компания оценивает свою защищенность непрерывно, вплоть до реализации неприемлемого для компании сценария. В отличие от классических bug bounty, здесь этичным хакерам разрешено использовать для проникновения практически любые способы проведения удаленных атак (включая социальную инженерию). Главный приз — 10 миллионов рублей — получит тот исследователь, который в соответствии с правилами программы сможет нелегитимным способом перевести деньги со счетов компании и предоставит отчет в соответствующей детализации.

"Мы считаем, что такая эволюция программ bug bounty — это новый виток в развитии индустрии кибербезопасности, так как это единственный способ для руководителя компании контролируемо убедиться, что система защиты реально работает", — резюмирует Алексей Новиков.

 

Последние комментарии

Антонина Чайко 24 октября 2022 10:53 Сбер представил аналитический сервис для развития туризма

правильно давно пора было развивать местный туризм,столько классных мест у нас есть которые нужно только грамотно разрекламировать

Евгений Жуков 27 июня 2022 16:16 "Соллерс Авто" рассказал о продаже контрольного пакета акций топ-менеджерам автоконцерна

УАЗу необходимо партнёрство с китайцами, чтобы развиваться. Поэтому могу только удачи пожелать.

Фото на сайте

Все фотогалереи

Новости раздела

Все новости
Архив
Пн Вт Ср Чт Пт Сб Вс
31 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 1 2 3 4