В программу багбаунти Positive Dream Hunting добавлено второе недопустимое для компании событие: первый, кто сможет внедрить условно вредоносный код в продукты вендора, получит вознаграждение в 60 миллионов рублей, сообщает Positive Technologies во вторник.
Также компания подняла до 60 миллионов рублей выплату за реализацию первого недопустимого события — кражи денег со счетов компании.
Под условно вредоносной рабочей сборкой понимается сборка, в которой изменен релизный состав (докер-контейнеры, ZIP-архивы и т.п.), или любая сборка с полезной нагрузкой (невредоносным рабочим кодом), при которой сохраняются корректная установка решения и работа его основных функций. По правилам программы багхантерам запрещается добавлять функциональность, несущую угрозу безопасности пользователей продуктов.
Как говорится в сообщении, Positive Technologies первой решилась привлекать независимых исследователей безопасности для подтверждения способов реализации недопустимых событий. В Positive Technologies ожидают, что в 2024 году этому примеру последуют другие организации, прежде всего самые зрелые с точки зрения ИБ. Уже сейчас заметно вырос интерес компаний к поиску сценариев реализации недопустимых событий и увеличилось количество подобных программ.
Перед запуском багбаунти-программы на второе недопустимое событие Positive Technologies проверила возможность его реализации на киберполигоне Standoff 12, где воссоздала часть своей реальной инфраструктуры — с процессами разработки, сборки и доставки ПО. Участники кибербитвы пробовали внедрить закладку в исходный код одного из продуктов, но им это не удалось.
Спустя три месяца после тестирования на киберполигоне Positive Technologies запускает открытую программу на багбаунти-платформе с вознаграждением в 60 миллионов рублей. Его получит тот багхантер (или команда), который сможет в соответствии с правилами программы разместить условно вредоносную рабочую сборку с потенциально зловредным кодом на внутреннем сервере обновлений gus.ptsecurity.com либо на публичных серверах update.ptsecurity.com. Он также должен предоставить доказательства того, что ее можно сделать доступной для скачивания, а именно — скриншот с необходимыми правами. По условиям программы исследователям запрещено использовать модифицированную сборку. Кроме того, внутренние механизмы безопасности со стороны Positive Technologies исключают любую возможность распространения условно вредоносного обновления в продукты, поставляемые клиентам компании.
Белым хакерам, которым удастся выполнить один или несколько шагов до потенциальной реализации недопустимого события, будет присуждаться поощрительное вознаграждение. В частности, за преодоление сетевого периметра и закрепления на узле можно будет получить 300–500 тысяч рублей, а за внедрение кода в публичный релиз продукта на этапе хранения или тестирования — 3–5 миллионов рублей.
Открытую для всех исследователей программу багбаунти по реализации недопустимых событий компания Positive Technologies запустила в ноябре 2022 года на платформе Standoff 365. Тогда багхантерам предложили осуществить первое критически опасное событие — похитить деньги со счетов компании. В апреле 2023 года размер награды утроили, и она составляла 30 млн рублей. До сих пор исполнить сценарий полностью, включая финальный этап кражи, никто не смог.
Для обеспечения результативной кибербезопасности Positive Technologies использует свои продукты, в том числе последние разработки. Так, система мониторинга событий информационной безопасности и выявления инцидентов MaxPatrol SIEM собирает данные обо всем происходящем в инфраструктуре, сетевая песочница PT Sandbox проверяет почтовые вложения и файлы из трафика, межсетевой экран уровня веб-приложений PT Application Firewall защищает веб-ресурсы. Параллельно с корпоративным SOC в тестовом режиме работает автопилот для результативной кибербезопасности MaxPatrol O2.