60 миллионов за взлом: Positive Technologies бросает вызов хакерам

Компания Positive Technologies продолжает совершенствовать подходы к обеспечению кибербезопасности. В рамках программы баг-баунти Positive Dream Hunting было добавлено второе недопустимое для компании событие. Тот, кто первым сможет внедрить условно вредоносный код в продукты вендора, получит вознаграждение в 60 млн рублей. Также компания подняла до 60 млн рублей выплату за реализацию первого недопустимого события — кражи денег со счетов компании.

По словам Алексея Новикова, директора экспертного центра Positive Technologies, российские компании активно строят результативную кибербезопасность в своих инфраструктурах. Многие делают это пошагово, последовательно определяя и верифицируя недопустимые события, настраивая мониторинг ключевых и целевых систем и проводя регулярные киберучения. Запуск программы багбаунти, ориентированной на недопустимые события, — это серьезный шаг для компании. Однако это единственный способ для ее CISO и топ-менеджмента на деле убедиться в эффективности выстроенной системы защиты.

Он также отметил, что Positive Technologies первой решилась привлекать независимых исследователей безопасности для подтверждения способов реализации недопустимых событий. В компании ожидают, что в 2024 году этому примеру последуют другие организации, прежде всего самые зрелые с точки зрения ИБ. Уже сейчас наблюдается рост интереса бизнеса к поиску сценариев реализации недопустимых событий и увеличение количества соответствующих программ.

Перед запуском багбаунти-программы на второе недопустимое событие Positive Technologies проверила возможность его реализации на киберполигоне Standoff 12, где воссоздала часть своей реальной инфраструктуры — с процессами разработки, сборки и доставки ПО. Участники кибербитвы пробовали внедрить закладку в исходный код одного из продуктов, но им это не удалось.

Спустя три месяца после тестирования на киберполигоне Positive Technologies запускает открытую программу на багбаунти-платформе с вознаграждением в 60 млн рублей. Его получит тот багхантер (или команда), который сможет в соответствии с правилами программы разместить условно вредоносную рабочую сборку с потенциально зловредным кодом на внутреннем сервере обновлений gus.ptsecurity.com либо на публичных серверах update.ptsecurity.com. Он также должен предоставить доказательства того, что ее можно сделать доступной для скачивания, а именно — скриншот с необходимыми правами. По условиям программы исследователям запрещено использовать модифицированную сборку. Кроме того, внутренние механизмы безопасности со стороны Positive Technologies исключают любую возможность распространения условно вредоносного обновления в продукты, поставляемые клиентам компании.

Белым хакерам, которым удастся выполнить один или несколько шагов до потенциальной реализации недопустимого события, будет присуждаться поощрительное вознаграждение. В частности, за преодоление сетевого периметра и закрепления на узле можно будет получить 300–500 тыс. рублей, а за внедрение кода в публичный релиз продукта на этапе хранения или тестирования — 3–5 млн рублей.

Открытую для всех исследователей программу багбаунти по реализации недопустимых событий компания Positive Technologies запустила в ноябре 2022 года на платформе Standoff 365. Тогда багхантерам предложили осуществить первое критически опасное событие — похитить деньги со счетов компании. В апреле 2023 года размер награды утроили, и она составляла 30 млн рублей. До сих пор исполнить сценарий полностью, включая финальный этап кражи, никто не смог.