На PHD11 показали bug bounty на базе киберполигона The Standoff

На PHD11 показали bug bounty на базе киберполигона The Standoff

На PHD11 показали bug bounty на базе киберполигона The Standoff

На онлайн-площадке The Standoff 365 запущена платформа bug bounty. Она упрощает сбор отчетов по уязвимостям и устанавливает правила игры для белых хакеров. Проект заработал 18 мая, в базе зарегистрировалось уже 360 белых хакеров.

На киберполигоне компании Positive Technologies помогает ГК Innostage. Тестировать платформу начали еще в ноябре. Создатели поддерживают идею публичных программ bug bounty: она позволяет проверить на прочность любую систему. Участие «этичных хакеров» с разным опытом и знаниями добавит компаниям достоверности и объективности в области ИБ.

«Программы bug bounty представляют собой набор условий — правил, политик, цен и границ поиска, в соответствии с которыми белые хакеры получают от организаций вознаграждение за уязвимости», — объясняет Ярослав Бабин, отвечающий в The Standoff 365 за продукт.

Платформа же bug bounty — это агрегатор, который объединяет на своей площадке сотни программ от организаций и компаний по безопасности. Им не нужно искать белых хакеров, те сами видят, кто именно проводит bug bounty и сколько готов платить.

Клиенты соглашаются, чтобы их «ломали», а хакеры — здесь их называют исследователями — обеспечивают эффективный поиск уязвимых мест, независимость и достоверность. Мотивация — интересные задачи, публичное признание и деньги. Платформа позволяет хакерам внести свой вклад в безопасность и честно заработать.

Ярослав Бабин сформулировал для Anti-Malware.ru два главных преимущества bug-bounty от The Standoff:

  1. Работа с конкретными событиями. Хакеру нужно найти не просто отдельную уязвимость, а выстроить цепочку событий. Клиент должен понять, насколько критично было обнаружить первую угрозу.
  2. Финансовая прозрачность платформы. The Standoff 365 не берет хакеров в штат, но будет платить налоги и следить, чтобы все конкурсные программы были оформлены грамотно юридически, а хакеры получили те деньги, о которых договорились с клиентом «на берегу».

Компании могут устанавливать свои правила bug bounty: сроки, границы исследований, форматы отчетов, суммы вознаграждений и права доступа. Программы могут длиться три месяца, полгода, нескольких лет или пока у клиента не кончатся деньги. Отчеты можно получать напрямую от хакеров или после того, как их проверят специалисты Positive Technologies. В будущем компании смогут выбирать: открыть тендер для всех или дать доступ пулу хакеров, которые уже находили «дыры» в приложениях и системах клиента.

Свои программы первыми на платформе bug bounty разместили «Азбука вкуса» и сами Positive Technologies. Через 20 минут после запуска был получен первый отчет об уязвимости. На момент публикации заявку на участие подали 12 исследователей.

 

«Азбука» просит взламывать сервисы на доменах и субдоменах av.ru и azbukavkusa.ru и поискать уязвимости в приложениях. Заказчик обещает заплатить даже за баг в дизайне, если хакер докажет, что брешь существенно влияет на конфиденциальность или целостность данных. Речь идёт о браузерах Chrome, Firefox,Safari, Opera, Edge и Internet Explorer.

Агрегатор баг-баунти от Positive Technologies планирует заполучить до конца года 1000 белых хакеров и 20 компаний. Создатели надеются, что к 2025-му число клиентов на платформе перевалит за сотню.

Напомним, неделю назад на AM Live прошел прямой эфир на тему bug-bounty. Обсуждали с экспертами, что это, как работает и сколько могут зарабатывать белые хакеры. Подробнее читайте в статье «Bug Bounty: как белым хакерам заработать в России на поиске уязвимостей».

CURATOR добавил сканер уязвимостей прямо в личный кабинет платформы

Провайдер облачной сетевой инфраструктуры и решений для защиты интернет-ресурсов CURATOR представил новый инструмент CURATOR.SCANNER. Решение предназначено для регулярной проверки внешней инфраструктуры компаний на уязвимости, ошибки конфигурации и потенциальные точки входа для атак.

Продукт разработан в рамках технологического сотрудничества с ИБ-компанией Alpha Systems и встроен прямо в личный кабинет платформы CURATOR. Отдельно устанавливать дополнительное ПО не нужно.

Работает всё довольно просто: пользователь указывает объект проверки — домен, IP-адрес, диапазон адресов или веб-приложение — выбирает шаблон сканирования и запускает проверку из интерфейса платформы.

CURATOR.SCANNER умеет выявлять открытые сетевые сервисы, определять версии установленного ПО, сопоставлять их с базами известных уязвимостей, находить ошибки конфигурации и распространенные веб-риски. Среди поддерживаемых проверок — активное сканирование, обнаружение веб-компонентов, анализ веб-приложений и поиск уязвимостей вроде SQL Injection.

Также инструмент может определять наличие WAF и учитывать особенности его работы при проверке веб-приложений. Это важно, потому что сканирование защищенного ресурса без понимания работы фильтров часто дает неполную или искаженную картину.

В CURATOR отмечают, что многие успешные атаки начинаются с эксплуатации конкретной уязвимости на внешнем периметре. При этом компании либо проверяют его нерегулярно, либо используют отдельные инструменты, которые требуют внедрения, настройки и сопровождения.

С запуском CURATOR.SCANNER клиенты платформы получают возможность проверять внешний периметр в том же контуре, где уже управляют защитой доступности, DDoS-фильтрацией и безопасностью веб-ресурсов.

По сути, CURATOR пытается собрать в одном интерфейсе не только защиту от атак, но и регулярный поиск слабых мест до того, как ими заинтересуются злоумышленники.

RSS: Новости на портале Anti-Malware.ru