С сегодняшнего дня на платформе Standoff 365 Bug Bounty появилась первая программа багбаунти от субъекта Российской Федерации. Правительство Московской области запустило краткосрочную программу для оценки защищенности одной из важнейших информационных систем региона — портала государственных и муниципальных услуг (uslugi.mosreg.ru).

Платформа по поиску уязвимостей Standoff 365 Bug Bounty первой среди аналогичных российских площадок выходит на международный уровень. С помощью платежных агентов платформа сможет выплачивать вознаграждения исследователям безопасности не только в России, но и за ее пределами. Выплаты будут осуществляться в удобной для багхантеров валюте?

После запуска Standoff 365 Bug Bounty в мае 2022 года количество программ багбаунти увеличилось с 2 до 53 и продолжает расти. Свои программы на платформе разместили Госуслуги, «Одноклассники», «Тинькофф», Rambler&Co, VK, Wildberries.

Однажды проникнув в сеть, злоумышленник открывает дивный новый мир незнакомой инфраструктуры, в которой он — незваный гость. И ему ничего не известно о вашей сети и о том, на каких узлах хранятся пароли и нужные ему данные. Изучение сети и поиск необходимых доступов — основная причина, почему хакерские атаки могут развиваться днями и неделями.

Во время своего путешествия по домену они часто “прыгают” от одного узла сети к другому в попытках развить свою атаку дальше, пока не найдут ту пару логина и пароля, которая даст им полную власть над доменом. И делают они это так же, как и все мы (например, при помощи протокола удаленного рабочего стола (RDP)). Если же администраторы для работы на других узлах используют средство запуска команд PsExec, то злоумышленникам тоже ничего не мешает его использовать, но уже для компрометации других узлов. И как нам тогда различать, где PsExec запустил администратор?‍?, а где — хакер?? Наверное, это можно было бы сделать вручную: сравнить имена пользователей и узлы, с которых и на которые были выполнены команды. Но лучше бы, чтобы NTA-система умела делать это сама...

С 1 декабря пользователям платформы Standoff 365 доступна программа поиска уязвимостей в системах Wildberries за вознаграждение. В область исследования входят все ресурсы компании, включая сервисы для покупателей, продавцов, курьеров, а также для сотрудников складов и пунктов выдачи заказов. Помимо классической багбаунти, компания запускает программу с особым сценарием: багхантер, который получит полный доступ к личному кабинету тестового продавца, заработает полмиллиона рублей.

В Москве завершилось мероприятие Moscow Hacking Week, организованное компанией Positive Technologies — лидером рынка результативной кибербезопасности. С 18 по 26 ноября в Кибердоме прошли четыре крупных события в индустрии ИБ: обновленная кибербитва Standoff 12, конференция и воркшопы для начинающих специалистов в сфере кибербезопасности Standoff 101, закрытый Standoff Hacks для настоящих профи и новый раунд митапа Standoff Talks. Хакерскую неделю посетило более 2 тысяч человек. Кроме того, 84 тысячи зрителей следили за мероприятием и участвовали в соревнованиях и конкурсах онлайн.

Мы подвели итоги работы платформы по поиску уязвимостей Standoff 365 Bug Bounty, запущенной в мае 2022 года. За полтора года количество размещенных программ увеличилось с 2 до 53 и продолжает расти. Размер вознаграждения составляет от девяти тысяч до трех миллионов рублей в зависимости от уровня опасности уязвимости. При этом максимальные выплаты сопоставимы с аналогичными вознаграждениями на мировых площадках.

С момента открытия на платформе зарегистрировалось 7537 исследователей; программы представили Rambler&Co, VK, Госуслуги, «Одноклассники», «Тинькофф».

Минцифры запускает второй этап проекта по поиску уязвимостей в инфраструктуре электронного правительства. Программа расширена на все его ресурсы и системы — ?️ протестировать их безопасность можно на платформе Standoff 365 Bug Bounty. За успешную работу исследователи получат до 1 млн рублей — сумма вознаграждения зависит от уровня опасности выявленных ошибок.

Количество целевых атак на организации постоянно растет. В этих условиях компаниям необходимо пересмотреть подходы к ИБ: не пытаться защититься сразу от всего, а выстроить систему результативной кибербезопасности, используя действительно необходимые инструменты и решения. Именно поэтому и концепция киберучений Standoff 12, которые состоятся в Москве 21–24 ноября, изменится: на макете появятся новые недопустимые события, команды защиты смогут останавливать атаки, а у самой битвы будет абсолютно иной нарратив с комментированием происходящего на макете и демонстрацией всех событий на экранах.

В этом году киберучения Standoff расширятся до недельного мероприятия в области информационной безопасности — Moscow Hacking Week. Хакерская неделя в Москве пройдет с 18 по 26 ноября и включит в себя несколько событий, объединенных общей идеей популяризации кибербезопасности и повышения экспертизы специалистов по ИБ разного уровня подготовки.

Все мероприятия пройдут в Кибердоме — новом хабе информационной безопасности, открытом в центре Москвы в пяти минутах от станции метро «Улица 1905 года».

Мы перезапустили проект Positive Research. Теперь это медиа о кибербезопасности, включающее журнал и сайт, — открытая площадка для обмена опытом. На ней мы разбираем кейсы, анализируем инциденты, отвечаем на острые вопросы и обсуждаем ИТ- и ИБ-тренды.

Сегодня мы начнем собирать алфавит Positive Research. Пора погружаться в кибербезопасность — когда петух все же клюнет, будет поздно ;)

? Вы гуру кибербезопасности? Знаете, как искать уязвимости и зарабатывать на ипотеку? Готовы делиться лайфхаками с комьюнити?

Тогда у вас есть возможность получить инвайт на предстоящий Standoff Hacks, который пройдет 26 ноября, — priv8-ивент для самых крутых багхантеров. Всего мы разыграем шесть инвайтов, пять из которых — за лучшие статьи и один бонусный.

9 октября в киноцентре «Октябрь» мы соберем CISO, CIO и других топ-менеджеров крупных IT-компаний на ежегодной конференции по своим продуктам — Positive Security Day. На мероприятии наши эксперты расскажут о самом важном в технологической и продуктовой стратегии ее развития, о том, что будет влиять на продукты.

Движущая сила развития Positive Technologies — знания и данные, которые мы накапливаем на практике. Именно это позволило нам создать самую большую линейку по-настоящему эффективных продуктов для обеспечения информационной безопасности, лидирующих во многих нишах: начиная с самого популярного российского сканера безопасности и заканчивая метапродуктами, позволяющими остановить хакера нажатием одной кнопки.

9 октября мы сформулируем видение результата своих продуктов, покажем состояние портфеля, планы по его развитию и применению в концепции результативной кибербезопасности, а также расскажем, куда будет развиваться кибербезопасность в ближайшие годы.

Первого августа на онлайн-киберполигоне Standoff 365 стартуют новые учения, а сама площадка начнет работу в обновленном формате. С этого дня киберучения в режиме нон-стоп будут доступны и для команд защитников. Standoff 365 ― онлайн-версия киберполигона Standoff, на котором с 2016 года проводятся самые крупные в России оффлайн-кибербитвы. 

В России руководители организаций несут персональную ответственность за кибербезопасность. В частности, они заинтересованы в создании эффективных команд информационной безопасности, которые смогут выжать максимум возможностей из средств защиты, будут в курсе самых актуальных тактик и техник злоумышленников, смогут удостовериться в своей способности обнаружить кибератаку любой степени сложности и вовремя среагировать на нее.

Отличительная особенность полигона, созданного Positive Technologies, — живой хакерский трафик со стороны поддерживаемого компанией международного сообщества независимых исследователей безопасности. Это позволяет клиентам киберполигона подготовиться к угрозам и самым непредсказуемым сценариям, в том числе выявлять и расследовать атаки, эксплуатирующие уязвимости нулевого дня.

RUVDS и Positive Technologies, лидер рынка результативной кибербезопасности, запустили состязания по спортивному хакингу в формате CTF (Capture the Flag), ключевым элементом которых станет спутник-сервер. Космический аппарат хостинг-провайдера начал работу на орбите Земли в этом месяце и с 18 июля начнет передавать на Землю сигналы, расшифровка которых станет ключом к прохождению всех этапов соревнований.

В Парке Горького завершилась кибербитва Standoff 11. Сильнейшие исследователи безопасности из разных стран мира тестировали защищенность IT-инфраструктуры виртуального Государства F, построенной на реальных системах управления. На киберполигоне атакам подверглись банковская система страны, металлургический комбинат, железная дорога, аэропорт и морской порт, атомная электростанция, ТЭЦ и ГЭС, а также ветрогенераторы и солнечная станция, водозаборные и водоочистные сооружения, нефтеперерабатывающий завод, трубопроводы с насосными станциями и другие объекты.

Positive Technologies вводит свой «Оскар», но на рынке информационной безопасности. Каждый год мы будем вручать награду тем, кто двигает индустрию кибербезопасности вперед. Церемония награждения состоится 20 мая на киберфестивале Positive Hack Days 12.

Двенадцатый Positive Hack Days пройдет в московском Парке Горького в формате масштабного городского киберфестиваля, открытого для самой широкой аудитории. Участников территории безопасности на набережной — закрытой части PHDays, вход в которую доступен по билетам, — ждут более 200 выступлений в рамках пяти технических треков и бизнес-программы.

Здесь же состоятся конкурсы для энтузиастов информационной безопасности, а на кибербитве Standoff три десятка команд этичных хакеров из разных стран сразятся за контроль над инфраструктурой виртуальной страны и попытаются реализовать более 130 недопустимых событий.

Киберпреступники не дают покоя никому — ни бизнесу, ни простым гражданам, поэтому очередная битва Standoff, как и фестиваль PHDays, впервые откроет двери широкой публике в рамках настоящего городского киберфестиваля. Тридцать команд атакующих и защитников в этом году соберутся в Парке Горького, где для них возведут целый замок?

Цитадель Standoff из камня и песка расположится на Пушкинской набережной. За счет двух башен высотой 5 и 10 метров твердыня этичных хакеров будет возвышаться над всей территорией форума, а ночью благодаря анимированной подсветке приобретет более технологичный вид.

На обновленном полигоне появятся дополнительные объекты и новая отрасль экономики — все смогут увидеть, какие последствия произойдут на атомной электростанции в случае атаки хакеров. Участники битвы будут соревноваться в своем мастерстве четыре дня — с 17 по 20 мая.

Цифровые технологии сделали нашу жизнь комфортнее, динамичнее и ярче, но рост изощренных кибератак подрывает доверие людей к этому дивному кибермиру. Международный фестиваль по практической безопасности Positive Hack Days 12, который пройдет 19 и 20 мая в московском Парке Горького, ответит на этот вызов, впервые открыв свои двери для широкой публики.

Новый формат будет интересен не только специалистам по информационной безопасности, представителям государства и бизнеса, но и простым горожанам, которые смогут самостоятельно разобраться в реальном устройстве цифрового мира и сделать важный шаг навстречу доверию к новым технологиям.

Финал Всероссийского конкурса open-source-проектов школьников и студентов (FOSS Kruzhok) по направлению «Кибербезопасность» пройдет на фестивале Positive Hack Days в мае. Мероприятие проводится Кружковым движением Национальной технологической инициативы (НТИ) при поддержке Минобрнауки, Минпросвещения, Минцифры России, Positive Technologies, «СайберОК» и других IT-компаний страны.

?‍? Прием работ открыт до 24 марта на сайте foss.kruzhok.org. К участию в FOSS Kruzhok приглашаются школьники, студенты колледжей и вузов, которые создают ПО с открытым кодом, дорабатывают уже существующие проекты или внедряют в образовательных учреждениях open-source-решения.