Bug hunters *

Программа багбаунти позволит проверить защищенность интеллектуальной платформы «ИРИС» («Интернет риск скоринг») — решения для анализа поведения пользователей в цифровых каналах. В область исследования входят два ключевых компонента «ИРИС» — личный кабинет и скрипт, собирающий данные о пользовательских сессиях. Максимальное вознаграждение за обнаружение уязвимостей составляет 125 тысяч рублей.

Новая версия предлагает исследователям безопасности больше возможностей для прокачки навыков анализа защищенности и поиска уязвимостей. Участникам доступны свежие задания, обновленная инфраструктура и специальный режим тренировок в формате сезонов. Такая практика подходит для пентестеров и специалистов red team, которым важно совершенствовать навыки наступательной безопасности в условиях, максимально приближенных к реальным.

Команда SOC «К2 Кибербезопасности» успешно прошла практику на онлайн-симуляторе Standoff Cyberbones компании Positive Technologies. Интеграция с продуктами компании и реалистичные кейсы с легитимной нагрузкой помогли аналитикам повысить квалификацию в расследовании инцидентов.

Во втором квартале 2024 года число атак в СНГ выросло в 2,6 раза, из них 73% пришлось на Россию (по данным Positive Technologies). В таких условиях подготовка специалистов SOC становится критически важной. Команда «К2 Кибербезопасности» выбрала Standoff Cyberbones, чтобы отработать навыки расследования инцидентов в условиях, максимально приближенных к реальным.

Третий этап программ багбаунти позволит эффективно защитить госсервисы и данные более чем 112 миллионов пользователей.

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации объявило о старте третьего этапа проекта по поиску уязвимостей на платформе Standoff Bug Bounty. Рост числа пользователей и увеличение нагрузки на цифровые сервисы ведомства требуют постоянного мониторинга и поиска уязвимостей. Тысячи багхантеров смогут проверить защищенность ключевых ресурсов Минцифры — от Госуслуг до Единой биометрической системы. Максимальная награда за выявление критической уязвимости составит 1 млн рублей.

Рейтинг платформы HackerOne возглавил бот на базе искусственного интеллекта Xbow, сообщив о рекордном количестве уязвимостей в программном обеспечении крупных компаний. За разработкой ИИ-бота стоит одноимённая компания, которую возглавляет выходец из GitHub.

Бизнес-лаборатория цифрового развития КРОК заключила соглашение о партнерстве с нон-фикшн издательством Бомбора, входящим в крупнейший издательский холдинг ЭКСМО. Компании планируют совместно развивать профессиональную литературу в рамках клуба рецензентов и переводчиков Read IT Club – инициативы КРОК по улучшению качества переводов ИТ-литературы. 

Рецензенты Read IT Club – специалисты из КРОК и других крупных технологических компаний, на безвозмездной основе помогают издательствам с проверкой терминологии в переводах профильной иностранной литературы. Эксперты уже приступили к рецензированию первых книг от Бомбора – в мае вышло издание по теме информационной безопасности «Цифровой иммунитет», проверенное рецензентами клуба. 

На 28-м Петербургском международном экономическом форуме (ПМЭФ) с 18 по 20 июня состоится международная кибербитва Standoff. В этом году соревнования превратятся в киберучения, где сотни специалистов по информационной безопасности из 21 страны очно и онлайн будут расследовать инциденты, чтобы использовать полученный опыт для защиты своих компаний. Мероприятие пройдет на площадке «Территории инноваций» — проекта фонда «Росконгресс», направленного на развитие высоких технологий, науки и венчурных инвестиций.

В 2025 году на ПМЭФ компания Positive Technologies проведет кибербитву Standoff в специальном формате: на три дня легендарное киберсражение превратится в полноценные учения для синих команд. При таком формате ставка делается на отработку навыков расследования и защиты от атак, что критически важно на фоне роста числа целевых угроз. Участники 28 команд из Индии, Индонезии, Китая, Омана, Египта и других стран, включая представителей SOC и CERT, будут расследовать атаки на киберполигоне, где воссоздана IT-инфраструктура логистической и нефтегазовой отраслей. Кибератаки в виртуальном Государстве F максимально реалистичны: здесь в ходу настоящие системы SCADA и программируемые логические контроллеры.

На международном киберфестивале Positive Hack Days платформа Standoff Bug Bounty подвела итоги своей работы за три года. С момента запуска площадка привлекла почти 25 тысяч исследователей кибербезопасности из 60 стран мира. Общий объем вознаграждений за это время составил 242 млн рублей. На платформе было опубликовано свыше 100 программ по поиску уязвимостей, каждая из которых помогает повысить уровень защищенности бизнеса и государства. В субботу, 24 мая, в рамках пленарной дискуссии на главной сцене «Лужников» состоялась церемония награждения лучших компаний.

За три года, с мая 2022-го по май 2025 года, на Standoff Bug Bounty зарегистрировалось почти 25 тысяч багхантеров из 60 стран. География охватывает государства Азии, СНГ, Ближнего Востока, а также Европы, Африки и Латинской Америки. За последние полтора года число белых хакеров на платформе увеличилось более чем в три раза, а общее количество сданных отчетов (10,9 тыс.) — более чем в пять раз.

Максимальная сумма вознаграждения на платформе составляет почти 4 млн рублей. Это самая крупная награда среди отечественных площадок багбаунти.

Международная кибербитва Standoff 15 пройдет с 21 по 24 мая в рамках киберфестиваля Positive Hack Days в «Лужниках». В крупнейших соревнованиях по информационной безопасности примут участие более 40 команд атакующих и защитников из 15 государств, включая страны Европы, СНГ, Юго-Восточной Азии и Ближнего Востока. По итогам кибербитвы сильнейшие красные команды разделят общий призовой фонд в $50 000. Команды «синих» займутся расследованием живых хакерских атак и защитой отраслей, чтобы потом применить полученные знания в реальной жизни.

Участникам кибербитвы предстоит атаковать и защищать инфраструктуру виртуального государства. Она включает семь отраслей: металлургию, энергетику, нефтегазовую отрасль, банковский сектор, городскую среду, авиацию и логистику. У каждого сегмента будут свои физические макеты и обновленная система визуализации.

Заместитель председателя комитета Совета Федерации по конституционному законодательству и госстроительству Артём Шейкин направил заместителю главы Министерства цифрового развития Ивану Лебедеву предложения по регулированию деятельности «белых хакеров», пишет «Коммерсантъ». В частности, член верхней палаты российского парламента настаивает на создании формы сотрудничества таких специалистов с владельцами IT-систем, чтобы находить уязвимости и предупреждать о них без опасности наступления административной или уголовной ответственности.

OpenAI подняла выплаты по своей bounty-программе. Вознаграждение за обнаружение критических уязвимостей выросло в пять раз, с $20 000 до $100 000. Таким образом OpenAI рассчитывает привлечь лучших специалистов для проверки своих продуктов и сервисов.

Исследователям предстоит искать и реализовывать недопустимые события через возможные уязвимости в девяти продуктах компании: MaxPatrol SIEM, MaxPatrol VM, MaxPatrol EDR, PT Network Attack Discovery, PT Sandbox, PT MultiScanner, PT Application Firewall, PT Application Inspector, PT BlackBox. Размер вознаграждения будет зависеть от уровня опасности сценария. За реализацию самых опасных из них багхантеры могут получить до 2 млн рублей.

📅 С 25 февраля по 26 апреля пройдут Международные игры по кибербезопасности — крупнейшее независимое онлайн-соревнование для студентов и молодых специалистов в сфере ИБ. Турнир объединит лучшие команды атакующих и защитников, которым предстоит выявлять уязвимости в инфраструктуре и расследовать инциденты на одном из самых реалистичных киберполигонов — Standoff. Организатором турнира выступает Positive Technologies при поддержке CyberCamp от «Инфосистемы Джет» и CyberED.

📬 Заявки на участие в Международных играх по кибербезопасности принимаются до 10 марта для защитников и до 21 марта для атакующих. Команды, показавшие лучшие результаты, сразятся в финале, который пройдет 24 и 25 апреля, итоги будут подведены 26 апреля. Две лучшие команды атакующих примут участие в Standoff 15 без отборочных этапов, а две сильнейшие команды защитников отправятся на международный киберфестиваль Positive Hack Days с полной компенсацией трансфера и проживания. Кроме того, лидеры турнира получат эксклюзивный мерч, возможность повысить свой рейтинг на платформе Standoff 365 и доступ к образовательным программам партнеров игр.

Кибербитва Standoff 15 пройдет с 21 по 24 мая в рамках международного хайтек-фестиваля Positive Hack Days, который состоится на территории спорткомплекса «Лужники» в Москве. В ходе киберучений с обеих сторон — атакующих и защитников — будут как российские, так и иностранные команды специалистов по кибербезопасности. Сильнейшие белые хакеры по итогам сражения разделят общий призовой фонд в 5 миллионов рублей 🏆

Ранее на платформе BI.ZONE компания вывела продукт серверной виртуализации VMmanager, входящий в портфель «Группы Астра», что вызвало большой интерес со стороны профессионального сообщества. Теперь на платформе BI.ZONE Bug Bounty будет доступен продукт BILLmanager — многофункциональная платформа для управления и анализа IT-инфраструктур.

«Группа Астра» запускает новую программу на платформе BI.ZONE Bug Bounty. Теперь на площадке будет доступен продукт BILLmanager — многофункциональная платформа для управления и анализа ИТ-инфраструктур.

Ранее на платформе BI.ZONE компания вывела продукт серверной виртуализации VMmanager, что вызвало большой интерес со стороны профессионального сообщества.

Теперь независимые исследователи смогут внести свой вклад в укрепление безопасности решения BILLmanager. Багхантеры будут искать уязвимости в системе, а за каждую подтвержденную проблему им будет выплачиваться вознаграждение. Размер награды может достигать 100 000 рублей в зависимости от серьезности обнаруженных недостатков.

«Продолжая инвестировать в безопасность наших решений, мы убеждены, что совместные усилия профессионалов «Группы Астра», наших команд разработчиков и независимых экспертов позволят обеспечить надежную защиту наших продуктов и способствовать развитию ИТ-сообщества», — подчеркнул Павел Гуральник, генеральный директор ISPsystem (входит в «Группу Астра»).

«Это уже третья программа на нашей платформе от «Группы Астра». Мы отмечаем растущий интерес к багбаунти со стороны разработчиков коммерческого ПО, а также интерес со стороны багхантеров к таким программам. Совместные усилия внутренних специалистов и независимых исследователей позволят повысить устойчивость цифровых ресурсов Группы к актуальным киберугрозам», – отметил Андрей Левкин, руководитель продукта BI.ZONE Bug Bounty.

Напомним, что BILLmanager ориентирован на управление облачными и аппаратными инфраструктурами, включая гибридные и мультиоблачные среды. Платформа позволяет проводить глубокий анализ эффективности использования инфраструктуры, отслеживать текущую нагрузку и прогнозировать будущий спрос на ресурсы. Продукт помогает компаниям автоматизировать процессы предоставления виртуальных и физических ресурсов, учитывать доступные или выделенные ресурсы, а также оценивать затраты на предоставляемые внутри организации услуги. 

Positive Technologies и АО «Кибериспытание» заключили партнерское соглашение, согласно которому 100 компаний смогут оценить свою защищенность с помощью программ кибериспытаний и выйдут на платформу Standoff Bug Bounty в 1-м квартале 2025 года. В рамках задач исследователи должны найти способ реализовать недопустимое событие, которое может нанести организации критически опасный ущерб. За успешное достижение целей таких программ исследователи ИБ могут получить вознаграждение в размере одного миллиона рублей.

Эксперты подвели итоги работы платформы Standoff Bug Bounty за 2024 год. К концу 2024-го количество зарегистрированных на платформе исследователей достигло 18 400, увеличившись по сравнению с уровнем прошлого года более чем в два раза.

Было принято 1926 отчетов об уязвимостях — это на 43% больше, чем за 2023-й. Всего багхантеры сдали 4658 отчетов. Общая сумма вознаграждений, выплаченных исследователям с момента запуска Standoff Bug Bounty, достигла 158 миллионов рублей. При этом средняя выплата за принятый отчет выросла на 13%, составив 58 тысяч рублей.

Meta* выплатила исследователю по ИБ $100 тысяч за обнаружение уязвимости, которая позволяла выполнять команды на внутреннем сервере Facebook**. Уязвимость удалось найти в ходе анализа рекламной платформы соцсети.

Команда реагирования на чрезвычайные ситуации в сфере ИБ является частью агентства CyberSecurity Malaysia при Министерстве связи и мультимедиа Малайзии. На кибербитве Standoff малайзийская команда успешно защитила ИТ-системы департамента ЖКХ и государственных услуг.

Аналитики из команды Cyber1000 ежегодно сталкиваются с тысячами атак, поэтому для них важно регулярно повышать свои компетенции и всегда быть готовыми к отражению киберугроз любой сложности. Кибербитва Standoff стала для Cyber1000 отличной возможностью проверить слаженность и навыки своей команды, а также повысить уровень ее подготовки к отражению реальных угроз. На киберполигоне воссоздана ИТ-инфраструктура виртуального государства, включая органы управления, предприятия из сферы энергетики, промышленности и других отраслей. Это позволяет командам защиты получить бесценный практический опыт.

Перед участием в кибербитве Positive Technologies предоставила команде ментора и подробную информацию о защищаемых узлах и сервисах полигона. Аналитики из команды Cyber1000 защищали информационные системы, которые отвечали за работу жилищно-коммунального хозяйства и предоставление государственных услуг. По итогам Standoff специалистам CyberSecurity Malaysia удалось выявить ряд критически опасных инцидентов безопасности и расследовать несколько кибератак.