Крупнейшая российская платформа багбаунти Standoff 365 запустила собственную публичную программу для поиска уязвимостей. Таким образом платформа готова открыто подтвердить защищенность своих сервисов и продемонстрировать заботу о безопасности клиентов.

Багбаунти-программа Standoff 365 будет доступна для всех исследователей, а вознаграждение за наиболее опасные уязвимости составит 1 млн рублей?

Следующим шагом в развитии программы станет запуск багбаунти, нацеленной на реализацию недопустимых событий, и увеличение выплат багхантерам до 2 млн рублей.

Минцифры России впервые привлечет широкий круг независимых специалистов по безопасности для проведения масштабного тестирования защищенности ресурсов электронного правительства. Багхантеры протестируют Госуслуги и единую систему идентификации и аутентификации (ЕСИА). Максимальное вознаграждение за найденные уязвимости составит 1 000 000 рублей. 10 февраля 2023 года соответствующая программа запущена на платформе Standoff 365 Bug Bounty, разработанной компанией Positive Technologies.

Following last year's cyberattacks, even previously laid-back people are now concerned about cybersecurity. That's why we decided to make the twelfth Positive Hack Days information security forum even more open and large-scale: it will be held at Gorky Park in Moscow on May 19 and 20, 2023. We've already started preparing for the event and are accepting applications from speakers. You can submit a talk topic until March 25.

Где собираются лучшие C# разработчики? На нашем митапе, который пройдет 2 февраля в Нижнем Новгороде! Встречаемся в 18:30 в баре Talk&More?.

На следующий день, 3 февраля, участники митапа посетят наш офис, где смогут пройти собеседование с руководителями разработки и стать частью команды!

В прошлом году хакерские атаки заставили задуматься о кибербезопасности даже самых беспечных. Поэтому мы решили сделать двенадцатый форум по информационной безопасности Positive Hack Days еще более открытым и масштабным: он пройдет в Центральном парке культуры и отдыха им. М. Горького в Москве 19 и 20 мая 2023 года. Мы начинаем подготовку к мероприятию и запускаем прием заявок от спикеров на выступление. Предлагайте тему доклада до 25 марта.

Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа^[1], которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критически опасного для компании события — хищения денег со счетов. Мы готовы выплатить беспрецедентное для России вознаграждение в 10 миллионов рублей.

Кибератаки становятся все более изощренными и агрессивными, а реализация недопустимого события может нанести непоправимый ущерб бизнесу. Чтобы выяснить, как далеко могут зайти хакеры, систему защиты важно проверить извне. По данным Positive Technologies, в ходе пентестов внешние исследователи смогли проникнуть в локальные сети 96% российских компаний.

?С 22 по 24 ноября лучшие специалисты по безопасности со всего мира соберутся на кибербитве Standoff, чтобы проверить защищенность IT-систем виртуального Государства F. Семь команд атаки попробуют ограбить банк виртуальной страны или устроить в ней блэкаут, а шесть команд защиты будут следить за их действиями, используя самые актуальные средства защиты информации, и получат по результатам учений развернутые отзывы от экспертов в области кибербезопасности.

Все участники атакующих команд на юбилейной битве будут представителями иностранных государств: на киберполигоне сойдутся команды этичных хакеров из Великобритании, Дании, Индии, Испании, Италии и Швейцарии.

Мы проанализировали состояние защищенности российских компаний^[1]. В ходе пентестов^[2] 96% организаций оказались не защищены от проникновения в локальную сеть, во всех организациях был получен полный контроль над инфраструктурой. Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа. Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации.

Анализ показал, что в 96% организаций злоумышленник мог бы преодолеть сетевой периметр и проникнуть во внутреннюю сеть. В 57% компаний существовал вектор проникновения, состоявший не более чем из двух шагов; в среднем для этого потребовалось бы четыре шага. Самая быстрая атака была проведена пентестерами за час. Исследования показали, что в среднем для проникновения во внутреннюю сеть компании злоумышленнику могло бы потребоваться пять дней и четыре часа.

VK разместила RuStore, официальный российский магазин приложений для Android, в программу по поиску уязвимостей (Bug Bounty) на платформе Standoff 365 Bug Bounty, разработчиком которой выступает Positive Technologies.

В случае выявления уязвимостей в RuStore исследователи безопасности получат от компании вознаграждения от 3 до 60 тыс. рублей в зависимости от уровня угрозы.

Positive Technologies представила PT Network Attack Discovery версии 11. Главное в релизе — выявление еще большего (+20%) количества актуальных киберугроз с помощью нового модуля поведенческого анализа трафика. В частности, продукт обнаруживает атаку Kerberoasting, DNS-туннели¹, удаленное выполнение команд в Windows, а также брутфорс² и спреинг³ паролей.

Теперь PT NAD 11 можно установить на российскую операционную систему Astra Linux и развернуть всего за 15 минут.

В Positive Technologies проанализировали крупные и активные платформы bug bounty по всему миру^[[1]]. Эксперты отметили, что наиболее востребованными платформы оказались^[[2]] у IT-компаний (16%), онлайн-сервисов (14%), сферы услуг (13%) и торговли (11%), финансовых организаций (9%).

Этот мировой тренд в целом коррелирует с российским. Основная масса заказчиков российских программ bug bounty представлена частным бизнесом, обслуживающим большое количество клиентов: банками, онлайн-сервисами, электронной коммерцией, разработчиками IT-продуктов. Главным драйвером развития bug bounty в России могут стать госсектор и организации критической инфраструктуры. 

⚡️ 27 октября в 14:00 (по МСК) мы проведем лонч новой версии системы поведенческого анализа трафика PT Network Attack Discovery (PT NAD). 11-й релиз продукта удивит пользователей скоростью установки (15 минут!), детектом новых техник злоумышленников и другими улучшениями.

В программе лонча:

? что такое network traffic analysis и зачем нужны системы NTA;

?какие задачи помогает решить система анализа трафика PT NAD;

?почему заказчики выбирают PT NAD: цели, кейсы, результаты;

?PT NAD 11. Новые возможности.

22–24 ноября 2022 года белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве Standoff. Уже в десятый раз инфраструктура виртуального Государства F окажется под шквалом хакерских атак, а службы ИБ увидят недостатки инфраструктуры и разберут, как хакеры могут ее взломать. Наблюдать за происходящим на мероприятии можно в онлайн-трансляции на сайте standoff365.com. 

Количество атак на промышленность выросло на 53%, согласно исследованию Positive Technologies. Отрасль уже несколько лет входит в тройку сфер, к которым приковано внимание злоумышленников, а основным инструментом остается применение вредоносного ПО — используется в 61% атак.

⏰На вебинаре 22 сентября вы узнаете:

·         в чем специфика вредоносного ПО, применяемого в атаках на промышленность (Energetic Bear, Industroyer, Industroyer2 и Triton и др.);

·         как с этими зловредами справляется промышленная версия песочницы PT Sandbox.

Мы подвели итоги первых трех месяцев работы платформы The Standoff 365 — проекта, где воссоздаются операционные и бизнес-процессы реальных промышленных, энергетических, транспортных и финансовых компаний и целых отраслей экономики. О результатах работы платформы рассказали на конференции по кибербезопасности OFFZONE 2022, которая прошла в Москве 25 и 26 августа.

Кстати, на конференции наш стенд стал для участников точкой притяжения в атмосфере киберпанка.

Даже идеальный исходный код (если бы такой существовал) — еще не гарантирует безопасность. Чтобы вовремя находить уязвимости и предотвращать реализацию недопустимых событий, важно проводить динамическое тестирование приложения и анализировать его поведение в среде использования.

Зачем бизнесу нужен DAST? Как развивались технологии этого метода?  ?23 августа в 14:00 Positive Technologies в онлайн-эфире представит динамический анализатор приложений PT BlackBox и расскажет, как он устроен.

Среди участников эфира разыграем мерч от Positive Technologies ?

VK разместила программу по поиску уязвимостей (bug bounty) на платформе The Standoff 365 Bug Bounty, разработанной Positive Technologies. Цель bug bounty состоит в том, чтобы с помощью внешних экспертов выявить и устранить недостатки безопасности до того, как их обнаружат и начнут использовать злоумышленники. В программу bug bounty VK входят более 40 проектов. В зависимости от уровня угрозы найденной уязвимости исследователи безопасности получат вознаграждения от 6 тыс. до 1,8 млн рублей. 

Рынок отечественной информационной безопасности штормит: вал кибератак (их интенсивность увеличилась в десятки раз), уход зарубежных вендоров, необходимость поиска и создания отечественных альтернатив.

27 апреля Positive Technologies приглашает вcех желающих на встречу разработчиков.

20 апреля Positive Technologies запускает PT Industrial Cybersecurity Suite (PT ICS) — первую комплексную платформу для защиты промышленности от киберугроз.

Промышленность входит в топ-3 целей для злоумышленников (по данным Positive Technologies). Уже в 2020 году на компании из сфер промышленности было направлено 12% хакерских атак. Примеры инцидентов на индустриальных объектах всем хорошо известны: блэкаут Венесуэлы, остановка трубопроводной системы Colonial Pipeline.

Чтобы избежать подобных атак, защита АСУ ТП должна стать такой же комплексной, как и защита IT-инфраструктуры. Positive Technologies объединяет ключевые продукты компании для защиты АСУ ТП в PT Industrial Cybersecurity Suite.

Более 80% всех уязвимостей веб-приложений содержится в коде. Устранять последствия их эксплуатации после выхода в продакшен — слишком дорого. Дешевле и проще анализировать безопасность кода на стадии разработки.

Находить уязвимости как можно раньше помогают плагины для IDE. Они позволяют анализировать безопасность приложения прямо в процессе написания кода.

Мы впервые разместим плагины для IDE в открытом доступе, а на вебинаре 14 апреля расскажем, как устанавливать, настраивать и работать с ними.