Positive Technologies впервые в России объявила о запуске программы bug bounty нового типа[1], которая ориентирована не на поиск сугубо технических уязвимостей во внешних сервисах компании, а на реализацию действительно критически опасного для компании события — хищения денег со счетов. Мы готовы выплатить беспрецедентное для России вознаграждение в 10 миллионов рублей.
Мы проанализировали состояние защищенности российских компаний[1]. В ходе пентестов[2] 96% организаций оказались не защищены от проникновения в локальную сеть, во всех организациях был получен полный контроль над инфраструктурой. Получить доступ во внутреннюю сеть компании в среднем оказалось возможно за пять дней и четыре часа. Среди всех обозначенных организациями недопустимых событий для 89% удалось подтвердить возможность их реализации.
Анализ показал, что в 96% организаций злоумышленник мог бы преодолеть сетевой периметр и проникнуть во внутреннюю сеть. В 57% компаний существовал вектор проникновения, состоявший не более чем из двух шагов; в среднем для этого потребовалось бы четыре шага. Самая быстрая атака была проведена пентестерами за час. Исследования показали, что в среднем для проникновения во внутреннюю сеть компании злоумышленнику могло бы потребоваться пять дней и четыре часа.
VK разместила RuStore, официальный российский магазин приложений для Android, в программу по поиску уязвимостей (Bug Bounty) на платформе Standoff 365 Bug Bounty, разработчиком которой выступает Positive Technologies.
В случае выявления уязвимостей в RuStore исследователи безопасности получат от компании вознаграждения от 3 до 60 тыс. рублей в зависимости от уровня угрозы.
В Positive Technologies проанализировали крупные и активные платформы bug bounty по всему миру[[1]]. Эксперты отметили, что наиболее востребованными платформы оказались[[2]] у IT-компаний (16%), онлайн-сервисов (14%), сферы услуг (13%) и торговли (11%), финансовых организаций (9%).
Этот мировой тренд в целом коррелирует с российским. Основная масса заказчиков российских программ bug bounty представлена частным бизнесом, обслуживающим большое количество клиентов: банками, онлайн-сервисами, электронной коммерцией, разработчиками IT-продуктов. Главным драйвером развития bug bounty в России могут стать госсектор и организации критической инфраструктуры.
В этот раз программа Go meetup получилась особенно насыщенной. Вместе со спикерами из Ozon, Авито и ВКонтакте мы разберёмся, какие ошибки нельзя обработать; заглянем под капот каналов; изучим опыт применения Open Policy Agent для реализации по типу RBAC; и рассмотрим особенности интеграционных тестов.
Митап пройдёт 19 октября онлайн, а это значит, что вас ждут студийные записи докладов и живое обсуждение со спикерами в чате. Для участия необходимо предварительно зарегистрироваться. Начало в 19.00
22–24 ноября 2022 года белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве Standoff. Уже в десятый раз инфраструктура виртуального Государства F окажется под шквалом хакерских атак, а службы ИБ увидят недостатки инфраструктуры и разберут, как хакеры могут ее взломать. Наблюдать за происходящим на мероприятии можно в онлайн-трансляции на сайте standoff365.com.
Совсем скоро все тестировщики будут отмечать профессиональный праздник, а это отличный повод собраться и послушать крутые доклады.
9 сентября в 18:00 (по Мск) состоится большой праздничный QA-митап. Поговорим о том, какие процессы упрощают жизнь и повышают эффективность не только команды тестировщиков, но также разработчиков и продактов. Самых активных и внимательных участников ждет мерч!
Что такое Quality Gate и как эта практика помогает раньше находить ошибки и легче их исправлять? Какие слабые места бывают в релизном процессе и как их устранить? Зачем нужна ретроспектива? Метрики и KPI — необходимость или вселенское зло? На эти и многие другие вопросы в своих докладах ответят представители QA-команд из SuperJob, Skyeng и Сравни, а также эксперт по управлению разработкой Виталий Шароватов.
Мы подвели итоги первых трех месяцев работы платформы The Standoff 365 — проекта, где воссоздаются операционные и бизнес-процессы реальных промышленных, энергетических, транспортных и финансовых компаний и целых отраслей экономики. О результатах работы платформы рассказали на конференции по кибербезопасности OFFZONE 2022, которая прошла в Москве 25 и 26 августа.
Кстати, на конференции наш стенд стал для участников точкой притяжения в атмосфере киберпанка.
Даже идеальный исходный код (если бы такой существовал) — еще не гарантирует безопасность. Чтобы вовремя находить уязвимости и предотвращать реализацию недопустимых событий, важно проводить динамическое тестирование приложения и анализировать его поведение в среде использования.
Зачем бизнесу нужен DAST? Как развивались технологии этого метода? ?23 августа в 14:00 Positive Technologies в онлайн-эфире представит динамический анализатор приложений PT BlackBox и расскажет, как он устроен.
Среди участников эфира разыграем мерч от Positive Technologies ?
VK разместила программу по поиску уязвимостей (bug bounty) на платформе The Standoff 365 Bug Bounty, разработанной Positive Technologies. Цель bug bounty состоит в том, чтобы с помощью внешних экспертов выявить и устранить недостатки безопасности до того, как их обнаружат и начнут использовать злоумышленники. В программу bug bounty VK входят более 40 проектов. В зависимости от уровня угрозы найденной уязвимости исследователи безопасности получат вознаграждения от 6 тыс. до 1,8 млн рублей.
