Разыскиваются хакеры для хищений средств компаний
Positive Technologies — претендент на премию «Компания будущего» в номинации «Цифровизация». Вместе с директором экспертного центра безопасности Positive Technologies Алексеем Новиковым рассказываем о том, как белые хакеры помогают найти опасные уязвимости в корпоративном ИТ-периметре.
Более 2800 охотников за уязвимостями могут принять участие в программе bug bounty. По ее условиям багхантерам придется искать не сугубо технические бреши во внешних сервисах компании, а те что приведут к критически опасным для бизнеса действиям – хищению денег со счетов. За обнаружение подобных уязвимостей Positive Technologies готова выплатить беспрецедентное для России вознаграждение в 10 миллионов рублей.
Постоянно совершенствуя свою систему защиты, Positive Technologies провела серию киберучений практически со всеми крупными компаниями, предоставляющими услуги по тестированию на проникновение в России. Было проанализировано более 200 возможных сценариев атак.
Результаты показали, что каждая команда действует в разных стилях — кто-то, к примеру, более ориентирован на использование социальной инженерии, другие сфокусированы на сетевой инфраструктуре или веб-приложениях. Единственным способом, гарантирующим объективную и всеобъемлющую проверку защищенности компании, является расширение и разнообразие атакующей экспертизы.
Именно поэтому Positive Technologies ввела новый формат оценки киберустойчивости компании и впервые в России объявила о запуске программы bug bounty нового типа, открытую для всех исследователей, объединенных платформой Standoff 365.
«До сегодняшнего дня целью традиционных программ bug bounty всегда являлся поиск относительно мелких и незначительных уязвимостей в сервисах компаний. При этом не всегда они имеют критически важное значение для бизнеса и, как правило, остаются понятны только техническим специалистам. Нам важно, чтобы наиболее опасные для компании события были гарантированно нереализуемы. Поэтому мы посмотрели на bug bounty по-новому и переориентировали атакующих с обнаружения исключительно технических проблем на поиск способов реализации недопустимых для нашего бизнеса событий — в частности, на этом этапе мы проверяем возможности кражи денег со счетов компании. Такая постановка задачи на порядок усложняет работу исследователя, так как ему нужно разобраться с тем, как выстроены бизнес-процессы компании, обойти системы защиты и продемонстрировать факт хищения денег»
— Алексей Новиков, директор экспертного центра безопасности Positive Technologies