Positive Technologies объявила свою программу bug bounty, нацеленную на реализацию недопустимых событий. Вознаграждение за их реализацию составляет ₽10 миллионов, Есть условие: багхантеры должны перевести деньги со счетов компании Positive Technologies. Об этом Информационная служба Хабра узнала на мероприятии-кибербитве The Standoff 10.
Алексей Новиков
Директор экспертного центра безопасности Positive Technologies
«До сегодняшнего дня целью традиционных программ bug bounty всегда являлся поиск относительно мелких и незначительных уязвимостей в сервисах компаний. При этом не всегда они имеют критически важное значение для бизнеса и, как правило, остаются понятны только техническим специалистам. Нам важно, чтобы наиболее опасные для компании события были гарантированно нереализуемы. Поэтому мы посмотрели на bug bounty по-новому и переориентировали атакующих с обнаружения исключительно технических проблем на поиск способов реализации недопустимых для нашего бизнеса событий — в частности, на этом этапе мы проверяем возможности кражи денег со счетов компании. Такая постановка задачи на порядок усложняет работу исследователя, так как ему нужно разобраться с тем, как выстроены бизнес-процессы компании, обойти системы защиты и продемонстрировать факт хищения денег».
Добавление в программу bug bounty недопустимых событий связанно с анализом серии киберучений со многими крупными компаниями, предоставляющими услуги по тестированию на проникновение в России. Было проанализировано более 200 возможных сценариев атак. И результаты показали, что каждая команда действует в разных стилях. Так, например, кто-то ориентирован на использование социальной инженерии, а кто-то больше сфокусирован на сетевой инфраструктуре или веб-приложениях.
И как заявили в компании Positive Technologies, единственный способ, гарантирующий объективную и всеобъемлющую проверку защищённости компании, — расширение и разнообразие атакующей экспертизы. Поэтому компания запустила открытую для всех исследователей программу bug bounty с такими условиями на платформе Standoff 365. Программа bug bounty Positive Technologies не ограничена по времени, компания оценивает свою защищённость непрерывно, вплоть до реализации неприемлемого для компании сценария.
Отличие от обычных bug bounty такое: этичным хакерам разрешено использовать для проникновения практически любые способы проведения удалённых атак (включая социальную инженерию). Если хакеры смогут это реализовать, то, как уже говорилось, они получат ₽10 млн. Исследователь в соответствии с правилами программы должен не только нелегитимным способом перевести деньги со счетов компании, но и предоставить отчёт с соответствующей детализации.
