Проверка множеством независимых исследователей безопасности вариантов реализации недопустимых для компании событий — единственный способ для ее руководителя контролируемо убедиться в результативности выстроенной системы защиты, а размер вознаграждения — демонстрация уверенности CISO в качестве своей работы.
Positive Technologies решила привлечь к участию в своей программе багбаунти Positive Dream Hunting полноценные команды белых хакеров, объединяющие исследователей безопасности с разными компетенциями. Для этого в компании приняли решение увеличить размер награды для исследователей втрое — до 30 млн рублей. Именно такую сумму получат те, кому удастся реализовать недопустимое для компании событие — похитить денежные средства со счетов.
«Единственную объективную оценку состояния киберзащищенности в любое время можно получить только в ходе кибератаки. Поэтому привлечение максимального количества багхантеров, организованно действующих по аналогии с профессиональными кибер-группировками, служит показателем готовности руководителя ИБ продемонстрировать свою способность отвечать за результат, а размер вознаграждения — демонстрация уверенности в этом результате, — отмечает Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — Реализация недопустимого события — сложная и многоэтапная задача, над решением которой в реальности работают слаженные группы хакеров с разнообразными навыками и опытом. Мы хотим максимально приблизиться к реальности, и в три раза повышаем ставки и, соответственно, мотивацию багхантеров, и рассчитываем, что задачу реализации недопустимого для нас события начнут решать не отдельные исследователи, а целые команды».
Концепция и задачи программы багбаунти Positive Technologies останутся прежними: в отличие от традиционных багбаунти, нацеленных на поиск и исправление относительно мелких уязвимостей в сервисах компаний, Positive Technologies переориентировала атакующих на поиск способов реализации одного из недопустимых для ее бизнеса событий — перевода денег со счетов компании. Такая постановка задачи усложняет работу исследователей: им нужно разобраться с тем, как выстроены бизнес-процессы, обойти системы защиты и продемонстрировать сам факт хищения денег. Специалистам потребуется не просто найти отдельные уязвимости, а исследовать и реализовать всю их цепочку. Для этого необходимы не только навыки в поиске уязвимостей в сети, но и опыт поиска слабых мест в инфраструктуре.
При этом программа максимально приближена к реальности: она не ограничена по времени и, в отличие от классических программ, этичным хакерам разрешено использовать для проникновения в инфраструктуру компании практически любые способы[i]. Одним из главных условий для багхантеров остается то, что проникать в инфраструктуру нужно так, чтобы security operation center (SOC) Positive Technologies не смог обнаружить действий атакующих.
Первая открытая для всех исследователей программа багбаунти на реализацию недопустимого события была запущена компанией Positive Technologies в ноябре 2022 года на платформе Standoff 365, которая объединяет уже более 4600 исследователей. Основной задачей была реализация недопустимого дня компании события — перевода денежных средств со счетов компании. До сих пор багхантерам не удалось этого сделать.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.