The Standoff 365. Итоги

На PHDays 19 мая была представлена платформа The Standoff 365 Bug Bounty.

Она объединит компании и исследователей безопасности для поиска уязвимостей и оценки защищенности организаций.

Запуск публичных программ bug bounty, которые позволяют на практике испытать надежность любой системы силами большого числа исследователей безопасности с разным опытом и умениями, стало логичным ответом на резкий рост киберугроз. Платформа позволит компаниям со зрелыми процессами информационной безопасности достоверно и объективно оценить защищенность бизнеса. Впервые исследователи безопасности смогут получать награду не только за найденные недопустимые для бизнеса события, но и за их реализацию.

«В целом программы bug bounty представляют собой набор условий — правил, политик, цен и границ поиска, в соответствии с которыми белые хакеры получают от организаций вознаграждение за уязвимости, найденные в их IT-сетях, системах и приложениях. Компании объявляют bug bounty, чтобы независимо и достоверно оценить свою защищенность и своевременно устранить проблемы в сфере безопасности, пока злоумышленники ими не воспользовались», — отметил Ярослав Бабин, CPO The Standoff 365.

Платформа bug bounty — это агрегатор, объединяющий на своей площадке сотни программ от различных организаций и исследователей безопасности, поэтому компаниям не нужно привлекать исследователей, а исследователи сразу видят, какие организации проводят bug bounty и сколько платят за найденные уязвимости. При размещении на платформе компании соглашаются на то, чтобы их «ломали», а тысячи сильнейших белых хакеров со всего мира, заинтересованных в решении интересных задач, публичном признании и получении награды, обеспечивают эффективный поиск уязвимых мест, независимость и достоверность исследований. Платформа позволяет им вносить свой вклад в безопасность и честно зарабатывать.

В мире много платформ, однако все их программы направлены на поиск уязвимости в приложениях или сервисах, специалисты находят много уязвимостей низкой значимости, а компании не всегда их устраняют. The Standoff 365, помимо традиционного формата поиска уязвимостей, впервые предложил новый механизм вознаграждения для выхода из этой ситуации.

«Главное отличие нашей платформы — возможность создания программ по принципу результативной кибербезопасности, когда белые хакеры не просто ищут отдельные уязвимости в системе, а реализуют недопустимые для нее сценарии, — говорит Ярослав Бабин. — Мы предложим компаниям самим определить риски, реализация которых может привести к неприемлемым последствиям, и платить белым хакерам за отчет с последовательностью ведущих к ним действий. Исследователь должен не только найти уязвимость, но и проэксплуатировать ее, повысить привилегии в системе, предпринять другие шаги, в результате которых, например, можно получить данные пользователей. Такой подход имеет ряд преимуществ как для исследователей, поскольку суммы вознаграждений будут выше, так и для компаний, которые будут платить только за то, что хакеру удалось реализовать».

На платформе The Standoff 365 компании смогли устанавливать свои правила bug bounty: сроки, границы исследований, форматы отчетов, суммы вознаграждений и права доступа. Программы могут длиться 3, 6 и 12 месяцев, до исчерпания бюджета проекта и даже непрерывно в течение нескольких лет. Отчеты об уязвимостях можно получать напрямую от исследователей или после их верификации специалистами Positive Technologies. Этичные хакеры заранее смогут выбрать, где искать уязвимость или сценарий реализации недопустимого события, — компании предварительно оценивают их и публикуют расценки на платформе. В перспективе компании смогут сделать программу публичной для всех или дать к ней доступ только определенным группам таких хакеров, например тем, кто ранее выявил уязвимости в приложениях и системах конкретной организации.

Впервые запуская программу bug bounty, компания сталкивается с рядом вопросов, например: как сформировать правила, сколько платить участникам и как привлечь их искать уязвимости именно в ваших приложениях и сервисах? Платформа The Standoff 365 помогает их решить. «За 11 лет существования форума PHDays и шесть лет организации кибербитвы The Standoff было сформировано комьюнити исследователей кибербезопасности. Многие из этих сильнейших специалистов в практической оценке защищенности приложений, систем и инфраструктур станут участниками новой платформы bug bounty», — добавил Ярослав Бабин. К концу 2022 года создатели рассчитывают привлечь 500–1000 исследователей. То есть компании не нужно искать способы рассказать о себе белым хакерам — достаточно разместить программу на The Standoff 365.

В презентации платформы принял участие Руслан Верхоланцев, руководитель отдела по информационной безопасности «Азбуки вкуса». Фуд-ретейлер запустил программу bug bounty еще в 2020 году, став первой в сегменте компанией с собственной публичной программой вознаграждений за найденные уязвимости. «Первый отчет мы получили всего через час после запуска, а подтвержденную уязвимость — спустя три часа. Эффективность повысилась, когда мы перешли на специализированную площадку, так как еще больше исследователей узнали о нашей программе. От The Standoff 365 Bug Bounty мы ожидаем активного участия багхантеров и качественных отчетов. Вместе с Positive Technologies мы хотим повысить интерес к программам bug bounty, улучшить свои сервисы, дать исследователям возможность честно работать и получать вознаграждение за свои старания. Мы призываем соблюдать этику сообщества и ответственно относиться ко всем действиям в рамках программы», — рассказал Руслан Верхоланцев.

«Азбука вкуса» планирует проверять сервисы, которые находятся в общем доступе на доменах av.ru, azbukavkusa.ru и их субдоменах, а также сервисы, расположенные на внешних сетевых адресах компании. Исследователей ждут как веб-приложения, так и мобильное приложение.

Компания Positive Technologies, которая уже проводила открытые киберучения на своей инфраструктуре, также разместила собственную программу bug bounty на новой платформе. «Мы проводим публичные киберучения, запускаем bug bounty — все это с одной целью: сделать недопустимые для нас события невозможными, получить объективную и достоверную оценку защищенности компании», — говорит Алексей Новиков, директор экспертного центра безопасности Positive Technologies. Компания планирует проверить безопасность корпоративных сайтов ptsecurity.com и partners.ptsecurity.com. За найденные уязвимости Positive Technologies будет платить исследователям безопасности от 20 тыс. до 393 тыс. руб.

По прогнозам создателей новой платформы, уже в 2022 году свои программы bug bounty на ней запустят 10–20 организаций, к 2025 году их число может достичь 100 и даже больше. Positive Technologies создает международную платформу и уникальные возможности для рынка, которые будут интересны как российским, так и зарубежным компаниям.

Группа компаний Innostage уже в третий раз выступила соорганизатором PHDays и The Standoff. Бизнес-партнерами форума стали разработчик решений в сфере ИБ Security Vision, национальный провайдер сервисов и технологий для защиты информации «Ростелеком-Солар» и дистрибьютор ПО для любого бизнеса MONT. Технологический партнер — «Азбука вкуса». Партнеры PHDays 11 — компании Axoft, Fortis, «ICL Системные технологии», InfoWatch, «Марвел-Дистрибуция», R-Vision, «Газинформсервис», «Пангео Радар», «Инфосистемы Джет», Liberum Navitas, IBS Platformix, «УЦСБ».

О форуме

Positive Hack Days — международный форум по практической безопасности, который собирает представителей госструктур, крупных бизнесменов, молодых ученых и журналистов. Форум проходит в Москве ежегодно, начиная с 2011 года. Организатор форума — компания Positive Technologies. Главные принципы Positive Hack Days: минимум рекламы и максимум полезных знаний в докладах и на семинарах, неформальное общение «пиджаков» и «футболок» за круглым столом, захватывающие конкурсы и энергичная атмосфера исследовательского полигона.

Об учениях

The Standoff — киберучения, где собираются сильнейшие хакеры и команды защитников — эксперты по информационной безопасности из крупнейших компаний страны. На киберполигоне без готовых сценариев и векторов атак хакеры пытаются взломать воссозданные IT-системы реальных организаций. Атакуемая инфраструктура визуализируется на уникальном макете, который управляется настоящими промышленными контроллерами. С годами виртуальный город на макете разросся в целое государство (Государство F), представляя технологические цепочки целых отраслей. При этом все сценарии катастроф смоделированы по мотивам реальных инцидентов: зрители и участники могут наблюдать на макете такие последствия атак, как разлив нефти, крушение поезда, взрыв на газораспределительной станции, перехват межбанковского перевода.

О компании — организаторе

Positive Technologies — ведущий разработчик решений для информационной безопасности. Его технологии и сервисы используют более 2300 организаций по всему миру, в том числе 80% компаний из рейтинга «Эксперт-400».

 

Похожие записи