Positive Technologies заплатит белым хакерам 60 млн рублей за закладку в коде своих продуктов

«Отечественные компании активно строят результативную кибербезопасность в своих инфраструктурах. Многие делают это пошагово, последовательно определяя и верифицируя недопустимые события, настраивая мониторинг ключевых и целевых систем и проводя регулярные киберучения. Запуск программы багбаунти, ориентированной на недопустимые события, — это серьезный шаг для компании. Однако это единственный способ для ее CISO и топ-менеджмента на деле убедиться в эффективности выстроенной системы защиты», — отметил Алексей Новиков, директор экспертного центра безопасности Positive Technologies.

Он также добавил, что Positive Technologies первой решилась привлекать независимых исследователей безопасности для подтверждения способов реализации недопустимых событий. В Positive Technologies ожидают, что в 2024 году этому примеру последуют другие организации, прежде всего самые зрелые с точки зрения ИБ. Уже сейчас заметно вырос интерес компаний к поиску сценариев реализации недопустимых событий и увеличилось количество подобных программ.

Перед запуском багбаунти-программы на второе недопустимое событие Positive Technologies проверила возможность его реализации на киберполигоне Standoff 12, где воссоздала часть своей реальной инфраструктуры — с процессами разработки, сборки и доставки ПО. Участники кибербитвы пробовали внедрить закладку в исходный код одного из продуктов, но им это не удалось.

Спустя три месяца после тестирования на киберполигоне Positive Technologies запускает открытую программу на багбаунти-платформе с вознаграждением в 60 млн рублей. Его получит тот багхантер (или команда), который сможет в соответствии с правилами программы разместить условно вредоносную рабочую сборку с потенциально зловредным кодом на внутреннем сервере обновлений gus.ptsecurity.com либо на публичных серверах update.ptsecurity.com. Он также должен предоставить доказательства того, что ее можно сделать доступной для скачивания, а именно — скриншот с необходимыми правами. По условиям программы исследователям запрещено использовать модифицированную сборку. Кроме того, внутренние механизмы безопасности со стороны Positive Technologies исключают любую возможность распространения условно вредоносного обновления в продукты, поставляемые клиентам компании.

Белым хакерам, которым удастся выполнить один или несколько шагов до потенциальной реализации недопустимого события, будет присуждаться поощрительное вознаграждение. В частности, за преодоление сетевого периметра и закрепления на узле можно будет получить 300–500 тыс. рублей, а за внедрение кода в публичный релиз продукта на этапе хранения или тестирования — 3–5 млн рублей.

Открытую для всех исследователей программу багбаунти по реализации недопустимых событий компания Positive Technologies запустила в ноябре 2022 года на платформе Standoff 365. Тогда багхантерам предложили осуществить первое критически опасное событие — похитить деньги со счетов компании. В апреле 2023 года размер награды утроили, и она составляла 30 млн рублей. Теперь выплата за реализацию этого события повышена вдвое, до 60 млн рублей.  До сих пор исполнить сценарий полностью, включая финальный этап кражи, никто не смог.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!