Чем более широкое распространение получают удаленные интеллектуальные терминалы, тем “тоньше” они становятся.
Чем более широкое распространение получают удаленные интеллектуальные терминалы, тем “тоньше” они становятся.
На платформе Standoff Bug Bounty появилась новая функция — своеобразная «красная кнопка». Этот сервис будет особенно востребован компаниями, которые запускают программы APT Bug Bounty или участвуют в кибериспытаниях с целью исследовать самые опасные для нее сценарии кибератак. Теперь у участников есть возможность в любой момент приостановить программу, если действия багхантеров выходят за рамки установленной области исследований. Благодаря этому качественно новому шагу процесс проверки защищенности инфраструктуры станет более контролируемым, а сам формат таких программ для компаний — привлекательнее.
В условиях постоянного роста количества кибератак, их усложнения, а также выявления все большего числа уязвимостей ПО, эксперты Positive Technologies рекомендуют организациям для эффективной защиты своей инфраструктуры внедрять принципы результативной кибербезопасности и проверять свою защищенность с помощью программ багбаунти и кибериспытаний.
Самым продвинутым, финальным этапом подтвреждения качества и эффективности выстроенной защиты компании, которая стремится к достижению реального результата и прошла все уровни подготовки ИБ, являются программы по демонстрации возможности реализовать типовые недопустимые для бизнеса события. Новый подход — альтернатива классическому тестированию на проникновение и red team, потому что тысячи независимых исследователей с разными навыками и инструментарием будут искать векторы атак и уязвимости. Они проверяют возможность реализации недопустимых событий в соответствии с критериями, сформулированными совместно со специалистами Positive Technologies. Форматы APT Bug Bounty и кибериспытаний позволяют оценивать существующую систему защиты компании (ее достаточность, эффективность и необходимость доработки), а также быстро и безопасно устранять потенциальные возможности для достижения недопустимых событий.
«Для каждой организации можно выделить недопустимые события, наступление которых будет иметь для нее катастрофические последствия, — отмечает Алексей Новиков, управляющий директор Positive Technologies.— Их определение — ключевой шаг на пути к построению результативной кибербезопасности. На нашей платформе уже давно существует формат багбаунти для исследования возможностей реализовать недопустимые события. При этом не все наши клиенты уверены в своей готовности к таким проверкам. Именно поэтому мы предлагаем революционный подход, который позволит компаниям в любой момент остановить атаку багхантеров. Такая „красная кнопка“ поможет устранить важную причину для сомнений наших клиентов и повысить гарантии безопасности багбаунти».
Как поясняют эксперты, исследователи ИБ будут участвовать в реализации программ таких форматов только посредством специального виртуального рабочего стола, а все их действия будут фиксироваться.
Для клиентов и пользователей «красная кнопка» сделает действия специалистов более прозрачными, процесс — более контролируемым, а значит и уровень доверия к таким программам возрастет. Новая функция позволит расширить круг компаний и организаций, запускающих этот современный формат багбаунти. В частности, «красная кнопка» может быть востребована государственными организациями, промышленными предприятиями и теми компаниями, которые сомневаются в запуске программ по оценке защищенности независимыми исследователями. В результате и у багхантеров на платформе будет больше интересных заданий и возможностей получить вознаграждение.
Standoff Bug Bounty была запущена в мае 2022 года. С тех пор на платформе зарегистрировалось более 16 тысяч исследователей безопасности и было размещено свыше 80 багбаунти-программ компаний из самых разных сфер. Один из наиболее значимых показателей результативности — количество валидных отчетов о найденных уязвимостях. Всего с момента запуска платформы от багхантеров получено уже почти 8000 отчетов. Часть принятых компаниями отчетов (12%) касалась критически опасных уязвимостей, еще 20 % — уязвимостей с высоким уровнем опасности. Общая сумма вознаграждений за обнаруженные уязвимости превысила 148 млн рублей, а максимальные выплаты сопоставимы с аналогичными на мировых площадках. Новый формат багбаунти-программ и кибериспытаний на платформе уже запустили компании Positive Technologies, Rambler&Coи Innostage.
Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru
© ООО Издательский дом "ИнфоАвтоматизация", 2003-2024 гг.