💻 Киберучения, особенно для крупных компаний, — это must have. Без регулярной практики сложно построить результативную кибербезопасность.

Пора ли вашей команде защитников выходить на киберполигон или пока можно ограничиться командно-штабными учениями, рассказала в своей колонке Forbes Елена Молчанова, бизнес-лидер киберполигона Standoff 365.

Чем поможет киберполигон:

🔸 Учения на киберполигоне, таком как Standoff 365, дают понять, чего не хватает службе ИБ.

🔸 Здесь можно протестировать защищенность фрагментов собственной инфраструктуры.

🔸 А еще — познакомиться с актуальными и нетривиальными техниками хакеров.

🔸 И, конечно, попробовать разные классы продуктов ИБ.

Обо всем этом — в статье.

#PositiveЭксперты #Standoff365

🐞 Вы знали, что раньше в прообразах современных багбаунти-программ тестировали самые хитроумные замки, предлагая умельцам открыть запертые двери или, например, сейфы?

Впрочем, и сейчас багхантеры иногда тоже ломают замки — только цифровые. Этичные хакеры давно вышли из «серой» зоны и переквалифицировались в исследователей кибербезопасности, сотрудничающих со специальными платформами или напрямую с компаниями.

💰 Рекордные выплаты по багбаунти у Google — 12 млн $ за 2022 год, — но и российские компании готовы вкладываться в кибербезопасность. Так, например, по данным нашей багбаунти-платформы Standoff 365, «Тинькофф» выплатил белым хакерам более 8 млн рублей, а VK — свыше 30 млн рублей. Госструктуры тоже проверяют стойкость своих цифровых рубежей: вознаграждение по программе багбаунти от Минцифры на Standoff 365 составило 780 000 рублей.

О том, почему некоторые компании боятся выходить на багбаунти, как менялись отношения между хакерами, государством и бизнесом и чем может грозить игнорирование уже найденных уязвимостей, читайте в материале «Ведомостей».

#Standoff365 #PositiveЭксперты

🐞Своя программа багбаунти — уже не роскошь и пригодится любому бизнесу, который хочет защитить свою инфраструктуру от хакерских атак.

Просто ли выйти на багбаунти, и как к этому подготовиться, рассказал РБК Анатолий Иванов, руководитель направления багбаунти Standoff 365.

В его инструкции подробнее о том:
— что нужно сделать в рамках подготовки;
— как определиться с бюджетом (примерно от 3 млн рублей в год);
— что выбрать: выходить на багбаунти-платформу, такую как Standoff 365, или готовить и объявлять программу самим;
— что исследовать: сейчас становятся популярны багбаунти-программы нового типа, нацеленные на выявление всей цепочки недопустимого для организации события.

Читайте и задавайте вопросы, если они останутся.

#Standoff365

🎉 Платформе Positive Technologies по поиску уязвимостей — Standoff 365 Bug Bounty — исполнилось полтора года! Удивляемся, как быстро растут проекты пролетело время, и подводим итоги работы.

Количество размещенных программ увеличилось с 2 до 53 и продолжает расти. Больше всего их от организаций из IT-сектора (38%), госучреждений (17%) и образовательных платформ (11%). В список участников входят Rambler&Co, VK, Госуслуги, «Одноклассники», «Тинькофф» и многие другие.

👨‍💻 С момента открытия на платформе зарегистрировались 7 537 исследователей безопасности, и с каждым днем их становится больше.

Всего багхантеры отправили 1479 отчетов, из которых 10% (152) были с критически опасными уязвимостями и 19% (287) — с высокой степенью опасности.

💰 Размер баунти за уязвимость — от 9 тысяч до 3 млн рублей, вознаграждение зависит не только от уровня опасности, но и от компании: ее доходов, масштаба, информации, с которой она работает.

«Мы отмечаем, что уровень выплат на зарубежных платформах сопоставим с аналогичными программами на Standoff 365 Bug Bounty. Например, на платформе HackerOne вознаграждения могут достигать 20 тыс. долларов, в зависимости от компании — участника программы», — комментирует Григорий Прохоров, аналитик исследовательской группы департамента аналитики Positive Technologies.

Общая сумма вознаграждений, полученных этичными хакерами по всем программам с мая 2022 года, — более 54 млн рублей. Больше всего по своим программам хакерам выплатили компании из финансовой и IT-отрасли. На них суммарно приходится 81% вознаграждений, несмотря на то что количественно они представлены лишь в 44% программ.

Мы провели два закрытых мероприятия Standoff Hacks для лучших багхантеров, во время которых они заработали почти 11,5 млн рублей на уязвимостях.

🧐 Ну и, наконец, среди существующих в России платформ багбаунти мы стали лучшими по ряду характеристик!

И все это — за полтора года. То ли еще будет! Подробности ищите в аналитической статье на сайте.

#Standoff365
@Positive_Technologies

🆕 Wildberries с 1 декабря открывает собственную багбаунти-программу на Standoff 365

Теперь 7700 багхантеров, зарегистрированных на платформе, помогут маркетплейсу проверить безопасность его сервисов. Это очень важно, поскольку, согласно нашим исследованиям, утечки в ритейле часто характеризуются большим объемом скомпрометированных данных, и проблема будет только усугубляться.

К слову, 74% атак первых трех кварталов текущего года, направленных на организации сферы торговли, привели к утечкам конфиденциальных данных — прежде всего персональных (49%) и учетных (16%). Чаще всего в таких атаках злоумышленники прибегали к использованию ВПО (48%), эксплуатации уязвимостей на внешнем периметре (45%) и социальной инженерии (29%).

Это не первый опыт сотрудничества ритейл-платформы со Standoff 365: исследователи безопасности уже тестировали сервисы Wildberries во время Standoff Hacks в Сочи в августе этого года (пытались взломать умный замок ПВЗ). Тогда компания выплатила им более 4 млн рублей.

В скоуп программы входят все ресурсы компании, включая сервисы для покупателей, продавцов, курьеров, а также для сотрудников складов и пунктов выдачи заказов. За найденные уязвимости багхантеры могут получить до 250 000 рублей вознаграждения.

💵Отдельный сценарий, состоящий из нескольких этапов, — взлом личного кабинета тестового продавца. Тот, кому удастся это сделать, заработает 500 000 рублей.

Подробно изучить условия программы и начать багхантить можно на сайте Standoff 365 Bug Bounty.

#Standoff365
@Positive_Technologies

☄️ Эксплуатация уязвимостей в инфраструктуре — один из самых популярных методов кибератак на организации. А что, если найти все эти дыры в киберзащите раньше, чем это сделают злоумышленники?

Такой способ есть: создать собственную программу багбаунти, разместить ее в открытом доступе (например, на специальной платформе, такой как Standoff 365 Bug Bounty) и выплачивать белым хакерам вознаграждение за каждую найденную проблему.

Сегодня багбаунти — уже не эксперимент, а рабочий метод тестирования инфраструктуры (ее части или копии) для компаний любого размера и из любых отраслей. Более того, госсектор задает тренд: в этом году Минцифры предлагает багхантерам до 1 млн рублей за уязвимости, найденные в одном из девяти сервисов электронного правительства.

Этот способ проверки инфраструктуры на прочность популярен у IT-компаний, онлайн-сервисов, компаний в сфере услуг, торговли и финансовых организаций, но мы ожидаем, что интерес к багбаунти в 2024 году будет расти.

Почему это важно, сколько стоит и чем багхантеры (они же исследователи безопасности или белые хакеры) могут помочь вашей компании, разобрался и написал «Коммерсантъ».

#Standoff365

🌐 Платформа Standoff 365 Bug Bounty, которую мы запустили в мае 2022 года, выходит на международный уровень!

Мы первыми среди аналогичных российских площадок начинаем выплачивать вознаграждения исследователям безопасности не только в России, но и за ее пределами.

💬 «Standoff 365 с самого начала задумывалась как площадка, которая сможет привлечь исследователей со всего мира. Мы видим большой спрос со стороны багхантеров-иностранцев, более того — мы уже получали отчеты из-за рубежа, но оплатить их до сих пор не могли. Теперь, благодаря нашим платежным агентам, это стало возможным», — рассказал Анатолий Иванов, руководитель направления багбаунти Standoff 365.

🤑 Сегодня на платформе зарегистрировано около 8 тысяч исследователей безопасности, для них доступно более 50 багбаунти-программ от компаний из самых разных сфер экономики.

За полтора года на платформе багхантерам выплачено в качестве награды более 60 млн рублей, а максимальные выплаты сопоставимы с аналогичными вознаграждениями на мировых площадках.

Выход на международную арену позволит кратно увеличить число этичных хакеров на платформе — это значит, что значительно расширятся и возможности наших клиентов по реализации багбаунти-программ.

🍸 Хотите повысить безопасность своей компании? Приходите на Standoff 365 Bug Bounty.

#Standoff365
@Positive_Technologies

🆕 Московская область запустила собственную программу на Standoff 365 Bug Bounty

С 12 по 29 декабря 8 тысяч исследователей безопасности, зарегистрированных на нашей платформе, смогут протестировать одну из важнейших информационных структур области — портал государственных и муниципальных услуг uslugi.mosreg.ru — и заработать до 150 000 рублей за баг. Участвовать в программе могут граждане России старше 18 лет.

Почему это важно?

1️⃣ Портал госуслуг Московской области — одна из самых посещаемых площадок Подмосковья (около 4 млн человек ежемесячно).

2️⃣ Госсектор — одна из самых атакуемых сфер, крупная и выгодная мишень для злоумышленников: учреждения этой сферы создают, контролируют и эксплуатируют критически важную инфраструктуру, а также аккумулируют, передают и хранят большие объемы конфиденциальных данных.

Как мы можем помочь?

💬 «У нас уже есть успешный опыт проведения программ поиска уязвимостей в системах электронного правительства на федеральном уровне. Вообще во многих странах мира наблюдается тренд на проведение багбаунти для государственных систем, поскольку госсектор — самая атакуемая сфера. В России госсектор также может стать драйвером запуска публичных программ по поиску уязвимостей», —рассказал Анатолий Иванов, руководитель направления багбаунти Standoff 365.

Узнать подробные условия и участвовать в программе можно на Standoff 365 Bug Bounty.

#Standoff365
@Positive_Technologies

👣 Готовы ли вы к выходу на киберполигон?

Давайте проверим по чек-листу:
✔️ в компании внедрены базовые процессы ИБ;
✔️ сформирована служба кибербезопасности;
✔️ и в ее арсенале есть разнообразные средства защиты (WAF, SIEM-системы, песочницы, NTA-решения и так далее).

Если все эти условия выполнены, самое время проверить, насколько надежно защищена ваша инфраструктура. Например, по одному из сценариев, предложенных Еленой Молчановой, бизнес-лидером киберполигона Standoff 365.

1️⃣ Первый — стандартный — подразумевает обучение специалистов SOC и прокачку их навыков.

На киберучениях команды защиты на практике знакомятся с продвинутыми техниками и инструментами современных хакеров, пробуют в деле разные средства защиты информации и могут подобрать их идеальное сочетание для мониторинга и реагирования на инциденты ИБ.

Хотите знать и о других вариантах? Читайте колонку Елены Молчановой для «Forbes Экспертиза».

#PositiveЭксперты
#Standoff365

🏆 Где одна награда, там и вторая: в этом году мы снова стали лауреатами премии «RB Digital Awards» в номинации «Кибербезопасность» за онлайн-киберполигон Standoff 365.

Ежегодно на премию претендуют компании, которые используют в бизнесе новые технологии. В 2023 году награду принесла Standoff 365 Bug Bounty, а сейчас мы выбираем, какой из новых крутых проектов сможет выиграть в следующий раз 😉

С момента запуска в июле 2022 года на полигоне Standoff 365 могли тренироваться красные команды, а в августе 2023-го мы сделали его доступным и для команд защиты. Киберполигон постоянно обновляется: там появляются новые сегменты, такие, как банковская отрасль и IT-компания NetFusionPro, дополняется список инцидентов и недопустимых событий, которые можно реализовать.

💬 «За год мы провели большую работу и отлично прокачали киберполигон. Теперь совершенствовать свои навыки в ИБ можно в режиме 24/7, — комментирует Олег Иванов, руководитель киберполигона Standoff 365. — Мы рады, что жюри снова высоко оценило нашу платформу. Создание по-настоящему результативной кибербезопасности — наша главная цель, к которой мы продолжаем идти. Спасибо этичным хакерам за огромный вклад в развитие проекта».

#Standoff365