Позитивный взлом: на Standoff 12 попробуют внедрить вредоносный код в продукт Positive Technologies
На киберучениях Standoff 12, которые пройдут 21–24 ноября в Москве, компания Positive Technologies воссоздаст на полигоне часть своей реальной инфраструктуры со всеми процессами разработки, сборки и доставки ПО. Исследователи безопасности смогут в безопасной среде проверить защищенность систем и попытаться внедрить сторонний код в один из продуктов компании. Инфраструктура будет представлена в трех вариантах, а вознаграждение за взлом самого сложного из них составит пять миллионов рублей.
Проверяя концепцию результативной кибербезопасности на себе[1], в 2022 году Positive Technologies перешла на стадию глобальной оценки качества этой концепции и дала старт новому типу программ по поиску уязвимостей в информационных системах: компания впервые призвала независимых исследователей реализовать одно из событий, которое она определила для себя как недопустимое[2], — перевод денег со счетов компании. Первая открытая для всех исследователей программа багбаунти по реализации недопустимого события была запущена в ноябре 2022 года на платформе . Через полгода, в апреле 2023 года, сумма вознаграждения за реализацию этого негативного сценария увеличилась с 10 до 30 млн рублей. Компания планиурет продолжать программу до первого факта выполнения задания.
"Ранее мы уже начали привлекать команды независимых исследователей к испытанию нашей инфраструктуры на прочность в новом формате, предложив им не просто найти какие-то уязвимости, а попытаться реализовать наиболее опасные, недопустимые для бизнеса события, чтобы в итоге сделать их гарантированно невозможными, — подчеркивает Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — На первом этапе мы дали атакующим возможность исследовать способы реализации такого неприемлемого сценария, как кража денег со счетов компании. На Standoff 12 атакующие попробуют реализовать еще одно критически опасное для компании событие — внедрить в наш продукт вредоносный код. Только таким образом можно по-настоящему оценить уровень киберзащищенности нашей инфраструктуры, а исследователей ждет солидное вознаграждение".
Критерием реализации недопустимого события в этот раз будет наличие в коде собранного программного продукта произвольной строковой константы, которая отсутствует при штатной сборке.
Еще одна особенность задания на Standoff 12 состоит в том, что моделируемая инфраструктура будет представлена в трех вариантах. В первом из них целевая информационная система сконфигурирована на основе реального процесса разработки ПО, при этом никакие организационные или технические меры защиты использоваться не будут. Во вторую версию инфраструктуры добавлены меры, направленные на повышение защищенности процесса разработки. А третья версия копирует вторую, но включает также средства защиты информации, которые Positive Technologies применяет для защиты собственной инфраструктуры в реальной жизни. Использование разных вариантов инфраструктуры позволит наглядно продемонстрировать, как реинжиниринг бизнес-процессов и внедрение средств защиты влияют на результативность кибербезопасности.
В этом году кибербитва Standoff 12 пройдет в рамках хакерской недели Moscow Hacking Week, которая состоится с 18 по 26 ноября на новой площадке, в уникальном пространстве "Кибердом". В течение недели на площадке пройдут еще три мероприятия для исследователей и энтузиастов кибербезопасности: конференция и воркшопы для начинающих Standoff 101, раунд митапа Standoff Talks, а также закрытое мероприятие Standoff Hacks, где лучшие исследователи проверят защищенность разных компаний.
Соорганизатором Moscow Hacking Week выступает IT-компания , разработчик и интегратор сервисов и решений в области цифровой безопасности. Генеральным партнером хакерской недели стал интегратор и вендор в области безопасности, компания . Технологические партнеры Standoff — и .
Positive Technologies — лидер рынка результативной кибербезопасности. Компания является ведущим разработчиком продуктов, решений и сервисов, позволяющих выявлять и предотвращать кибератаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям экономики. Наши технологии используют более 3300 организаций по всему миру, в том числе 80% компаний из рейтинга "Эксперт-400".
Positive Technologies — первая и единственная компания из сферы кибербезопасности на Московской бирже (MOEX: POSI), у нее более 185 тысяч акционеров.
Следите за нами в соцсетях (, , , ) и в разделе "" на сайте ptsecurity.com, а также подписывайтесь на телеграм-канал .
1Результативная кибербезопасность — состояние защищенности организации, которое обеспечивает ее устойчивость к кибератакам и позволяет в любой момент на практике подтвердить, что злоумышленник не сможет реализовать недопустимые для этой организации события.
2 Недопустимое событие — событие, возникающее в результате действий злоумышленников и делающее невозможным достижение операционных и стратегических целей организации или приводящее к длительному нарушению ее основной деятельности.
