Багбаунти в новом формате кибериспытаний

Компания Innostage, интегратор и разработчик сервисов и решений в области цифровой безопасности, объявила о запуске программы открытых кибериспытаний (КИ).

Программа реализуется на платформе для исследователей безопасности Standoff Bug Bounty и позволит проверить киберустойчивость ИТ-инфраструктуры.

Сильнейшим «этичным хакерам» страны нужно будет реализовать недопустимые события, которые могут оказать значительное влияние на деятельность организации.

Партнерами Innostage в организации кибериспытаний стали АО «Кибериспытания» — компания, совершенствующая методику кибериспытаний в интересах бизнеса и страны, а также Positive Technologies – компания-лидер в области результативной кибербезопасности, представившая онлайн-платформу Standoff Bug Bounty для проведения программы КИ.

«Одна из визионерских задач Innostage — поменять отношение отрасли к таким инструментам, как кибериспытания. Мы надеемся, что в дальнейшем удастся объединить усилия багхантеров и защитников, чтобы обеспечивать кибербезопасность. Innostage — первый ИТ-интегратор, который выносит инфраструктуру для проверки сильнейшими хакерами в таком формате. Это революционно, смело и затратно. Абсолютно никто не застрахован от недопустимых событий, но реальные пределы киберустойчивости можно определить и дополнительно усилить только так. Мы готовы платить хакерам миллионы рублей, если они покажут нам критичные уязвимости, устранив которые мы станем еще более защищенными и надежными для наших заказчиков», — отметил Айдар Гузаиров, генеральный директор компании Innostage.

Подготовка к багбаунти заняла у Innostage девять месяцев: компания проверяла и трансформировала ИТ-инфраструктуру. Кибериспытания реализуются в логике методологии киберустойчивости CyberYool от Innostage. Этот пятиэтапный комплексный подход к достижению цифровой устойчивости охватывает все уровни и направления ИТ и ИБ, включая объективную проверку такими инструментами, как внешние пентесты, багбаунти и открытые кибериспытания. Во время подготовки компания использовала продукты партнеров-вендоров: Xello Deception, ИТ-Экспертизы, Нетхаб, NETAMS, РЕД ОС, Cyberpeak, IT Expert, UserGate.

Программа стартовала 26 мая в финальный день международного киберфестиваля Positive Hack Days 2, который проходит в Москве. Вознаграждение составит 5 млн рублей.

«На наш взгляд, кибериспытания — это новый и важный тренд на рынке информационной безопасности и альтернатива классической услуге пентеста. Такой концептуально новый подход к проверке защищенности от киберугроз, когда независимые исследователи в режиме 24/7, в условиях постоянно изменяющейся инфраструктуры оценивают защищенность компании от взлома, позволяет увидеть полную картину кибербезопасности, — рассказал Алексей Новиков, управляющий директор Positive Technologies. — При запуске кибериспытаний на Standoff Bug Bounty, специалисты Positive Technologies помогут запустить и сопроводить этот процесс, а лучшие багхантеры продемонстрируют объективную картину защищенности компании».

Исследователям будет предложено разобраться в том, как работают бизнес-процессы Innostage и попробовать перевести до 2000 рублей со счета компании на любой подконтрольный счет. Транзакция должна быть инициирована исследователем и пройти через банк. Во время кибериспытаний запрещено прямое воздействие на системы банков, обеспечивающих проведение платежей. Также запрещено публичное раскрытие информации. Использование исследователями методов OSINT для обнаружения принадлежащих компании ресурсов допустимо.

Идея кибериспытания, как объективной и непрерывной оценки защищенности, родилась по инициативе фонда результативной кибербезопасности Сайберус, который объединил экспертов и поддержал коммерческое развитие проекта. Важный компонент открытых кибериспытаний — методика, созданная экспертами по кибербзопасности с разными профилем и навыками. В ней описаны правила, по которым организуется весь процесс проверки защищенности: от определения критического ущерба компании до процесса проведения кибериспытаний на платформах партнеров и взаимодействия с белыми хакерами. Второй компонент кибериспытаний — экспертный совет, куда входят эксперты с практическим опытом в ИБ из крупнейших ИТ-компаний, вендоров, интеграторов и профессиональных сообществ. Экспертный совет помогает сформировать техническое задание программы, контролирует проведение кибериспытания, подводит итоги исследования, а также развивает методику.

О компаниях

Innostage — российская ИТ-компания, разработчик и интегратор сервисов и решений в области цифровой безопасности. Синергия уникальных ИТ-технологий и экспертизы команды Innostage позволяют обеспечивать цифровую устойчивость бизнеса лидеров рынка, имеющих высокие требования к уровню информационной безопасности.

Innostage оказывает услуги по аудиту и формированию дорожных карт комплексного импортозамещения цифровых сервисов и ИТ-инфраструктуры.

На базе Innоstage функционирует Innostage SOC СyberART — центр противодействия киберугрозам, осуществляющий комплексный подход к противодействию цифровым угрозам за счет превентивного анализа рисков и управления уязвимостями, выявления попыток атак на раннем этапе и немедленного реагирования на них с целью полного нивелирования возможных последствий и устранения причин возникновения инцидентов. Является центром ГосСОПКА.

*

Positive Technologies — лидер в области результативной кибербезопасности. Компания является ведущим разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Наши технологии используют около 4000 организаций по всему миру.

Positive Technologies — первая и единственная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI), у нее более 205 тысяч акционеров.

 

Похожие записи