Мы непрерывно совершенствуем свой подход к результативной кибербезопасности: в программу багбаунти Positive Dream Hunting добавлено второе недопустимое для компании событие. Первый, кто сможет внедрить условно вредоносный код в продукты вендора, получит вознаграждение в 60 млн рублей. Также мы подняли до 60 млн рублей выплату за реализацию первого недопустимого события — кражи денег со счетов компании.
Алексей Новиков
Директор экспертного центра безопасности Positive Technologies
Отечественные компании активно строят результативную кибербезопасность в своих инфраструктурах. Многие делают это пошагово, последовательно определяя и верифицируя недопустимые события, настраивая мониторинг ключевых и целевых систем и проводя регулярные киберучения. Запуск программы багбаунти, ориентированной на недопустимые события, — это серьезный шаг для компании. Однако это единственный способ для ее CISO и топ-менеджмента на деле убедиться в эффективности выстроенной системы защиты.
Он также добавил, что Positive Technologies первой решилась привлекать независимых исследователей безопасности для подтверждения способов реализации недопустимых событий. Мы ожидаем, что в 2024 году этому примеру последуют другие организации, прежде всего самые зрелые с точки зрения ИБ. Уже сейчас заметно вырос интерес компаний к поиску сценариев реализации недопустимых событий и увеличилось количество подобных программ.
Перед запуском багбаунти-программы на второе недопустимое событие мы проверили возможность его реализации на киберполигоне Standoff 12, где воссоздали часть своей реальной инфраструктуры — с процессами разработки, сборки и доставки ПО. Участники кибербитвы пробовали внедрить закладку в исходный код одного из продуктов, но им это не удалось.
Спустя три месяца после тестирования на киберполигоне мы запускаем открытую программу на багбаунти-платформе с вознаграждением в 60 млн рублей. Его получит тот багхантер (или команда), который сможет в соответствии с правилами программы разместить условно вредоносную рабочую сборку с потенциально зловредным кодом на внутреннем сервере обновлений gus.ptsecurity.com либо на публичных серверах update.ptsecurity.com. Он также должен предоставить доказательства того, что ее можно сделать доступной для скачивания, а именно — скриншот с необходимыми правами. По условиям программы исследователям запрещено использовать модифицированную сборку. Кроме того, внутренние механизмы безопасности со стороны Positive Technologies исключают любую возможность распространения условно вредоносного обновления в продукты, поставляемые клиентам компании.
Белым хакерам, которым удастся выполнить один или несколько шагов до потенциальной реализации недопустимого события, будет присуждаться поощрительное вознаграждение. В частности, за преодоление сетевого периметра и закрепления на узле можно будет получить 300–500 тыс. рублей, а за внедрение кода в публичный релиз продукта на этапе хранения или тестирования — 3–5 млн рублей.
Открытую для всех исследователей программу багбаунти по реализации недопустимых событий мы запустили в ноябре 2022 года на платформе Standoff 365. Тогда багхантерам предложили осуществить первое критически опасное событие — похитить деньги со счетов компании. В апреле 2023 года мы утроили размер награды, и она составляла 30 млн рублей. До сих пор исполнить сценарий полностью, включая финальный этап кражи, никто не смог.
Для обеспечения результативной кибербезопасности мы используем свои продукты, в том числе последние разработки. Так, система мониторинга событий информационной безопасности и выявления инцидентов MaxPatrol SIEM собирает данные обо всем происходящем в инфраструктуре, сетевая песочница PT Sandbox проверяет почтовые вложения и файлы из трафика, межсетевой экран уровня веб-приложений PT Application Firewall защищает веб-ресурсы. Параллельно с корпоративным SOC в тестовом режиме работает автопилот для результативной кибербезопасности MaxPatrol O2.