Ежегодная премия для этичных хакеров

Ежегодная премия для этичных хакеров — Pentest award возвращается!

Екатерина Быстрова 13 Мая 2024 - 19:18

...

Ежегодная премия для этичных хакеров — Pentest award возвращается!

Раз в году у пентестеров появляется шанс громко заявить о своих достижениях и показать свой вклад в развитие российского ИБ-рынка. Pentest award объявили сбор заявок.

Премия для пентестеров проводится с целью отметить заслуги специалистов в области тестирования на проникновение, помочь им продемонстрировать свой опыт, насмотренность и талант, а также повысить уровень компетенций всех участников за счет обмена уникальным опытом.

Номинации и награды

В прошлом году участники показали высокий уровень профессионализма и забрали 12 наград. В этом — количество номинаций увеличилось до шести и награды получат 18 человек.

Пробив WEB: за мастерство идентификации и эксплуатации уязвимостей в веб-сервисах, API и других компонентах веб-приложений.
Пробив инфраструктуры: за проникновение и эксплуатацию уязвимостей сетевой инфраструктуры, включая, но не ограничиваясь, сетевыми устройствами, сетевыми сервисами и IoT-устройствами.
Девайс: за исследования технических недостатков, обнаруженных в разнообразных устройствах, прошивках и окружении.
Hack the logic: за находку самых топовых логических баг.
Раз bypass, два bypass: за самый красивый обход средств защиты информации.
Ловись рыбка: за самый оригинальный фишинг или попытку засоциалить сотрудников.

Главный приз — стеклянная именная статуэтка за первое место, макбук, билеты на конференцию OFFZONE и максимальный почет сообщества этичных хакеров. За вторые и третьи места призеры получат айфоны, смарт-часы, а также подарки от партнеров проекта: комплект мерча от BI.ZONE Bug Bounty, умная колонка, мерч и экскурсия от VK Bug Bounty. Церемония награждения будет проходить 2 августа в Москве.

Участие и оценки жюри

Участие бесплатное, необходимо только отправить заявку — это рассказ о лучшем проекте в свободной форме. Не нужно раскрывать эксплоиты, любые шаги в цепочке эксплуатации могут быть полностью анонимны, а детали могут быть скрыты, важно отразить сам подход и идею. Жюри премии обращают внимание на развернутое повествование, описание контекста и вводных, скрины и пруфы наличия уязвимостей, нестандартный подход и креативность, сложность эксплуатации, например, применение эксплойтов собственной разработки, длительный ресёрч и другие особенности.

Независимый совет жюри состоит из лучших практикующих оффенсив-безопасников топовых российских компаний. Проголосовав и посовещавшись, они представят шорт-лист номинантов в конце июля.

Состав жюри:

Илья Карпов — руководитель отдела исследований кибербезопасности и разработки сценариев киберучений в национальном киберполигоне. Зарегистрировал более 300 CVE, ТОП-5 BDU ФСТЭК. Сооснователь сообщества RUSCADASEC и группы исследователей SCADAXSECURITY.

Павел Топорков — независимы исследователь, багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в продуктах SIEMENS, REDIS, OPENSTACK и других.

Вячеслав Касимов — CISO в МОСКОВСКОМ КРЕДИТНОМ БАНКЕ, одного из топ-10 входящих в системно-значимые. Уже 15 лет работает на позициях CISO в крупнейших банках России и НСПК. Имеет большой опыт построения практической информационной безопасности с нуля, проектирования комплексных систем информационной безопасности и антифрода. Является адептом риск-ориентированного подхода к построению информационной безопасности и использования в работе лучших мировых практик.

Михаил Сидорук — руководитель управления анализа защищенности BI.ZONE.

Дмитрий Морев — директор по информационной безопасности RuStore. Более 15 лет в ИБ. Основное направление AppSec и безопасность инфраструктуры.

Антон Лопаницын (bo0om) — исследователь информационной безопасности и отраслевой блогер. Победитель прошлогоднего Pentest award в номинации Hack the logic.

Роман Шемякин — Lead Application Security Engineer at Yandex.

Сергей Кузминов — руководитель отдела тестирования на проникновение и RedTeam в BI.ZONE

Вадим Шелест — руководитель группы анализа защищенности в Wildberries. Более 12 лет занимается проведением пентестов и Red/Purple Teaming проектов. Автор многочисленных статей тему практической ИБ, спикер международных конференций. Автор канала PurpleBear.

Павел Никитин — руководитель Red & Purple Team VK. Улучшает защищенность инфраструктуры VK. Более 10 лет в индустрии информационной безопасности, проверял на прочность системы ОПК, банков и различных коммерческих организаций.

Роман Панин — руководитель направления архитектуры ИБ в МТС и автор телеграм-канала «Пакет Безопасности»

Александр Герасимов — CISO и сооснователь Awillix, компании-организатора Pentest award.

Сбор заявок открыт до 23 июня 2024 года, больше информации на сайте проекта — https://award.awillix.ru/

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 20 Ноября 2025 - 16:12

Соответствие законодательству РФ Корпорации Государство Защита критически важных объектов Соответствие требованиям регуляторов

ФСБ обновила шесть приказов по защите КИИ

ФСБ России обновила шесть приказов, регламентирующих работу Национального координационного центра по компьютерным инцидентам (НКЦКИ), системы ГосСОПКА и порядок взаимодействия субъектов критической информационной инфраструктуры (КИИ) с инфраструктурой регулятора. Все проекты документов опубликованы на Портале проектов нормативных актов.

После прохождения общественного обсуждения новые редакции заменят версии 2017–2018 годов.

Обновлено Положение о НКЦКИ, утверждённое приказом №366 от июля 2018 года. Теперь центр получает право устанавливать регламенты взаимодействия с субъектами КИИ, запрашивать у них результаты мероприятий по защите от компьютерных атак, а также контролировать устранение выявленных уязвимостей.

Следующий документ регулирует порядок информирования ФСБ об инцидентах, атаках и мерах реагирования, заменяя приказ №282 от июня 2019 года. В проекте сокращены сроки уведомления: до 3 часов — для значимых объектов КИИ, до 24 часов — для информационных ресурсов органов власти и банков. Банки также вправе направлять уведомления в Банк России в аналогичные сроки.

Документ также обязывает организации подготовить план реагирования на инциденты не позднее 90 дней с момента внесения объекта в реестр значимых. В приказе описаны требования к содержанию такого плана. После подготовки он подлежит утверждению в НКЦКИ.

Новый порядок обмена информацией об атаках и инцидентах между субъектами КИИ пришёл на смену приказу №368 от июля 2018 года. Организации смогут самостоятельно определять перечень участников и сроки обмена данными — при условии, что они обеспечивают своевременное обнаружение, предупреждение и ликвидацию последствий инцидентов. Для обмена может использоваться инфраструктура НКЦКИ. Также отдельно описан порядок взаимодействия с иностранными структурами.

Обновлён порядок аккредитации Центров ГосСОПКА. Документ устанавливает правила проведения аккредитации, которая будет действовать в течение пяти лет.

Ещё один приказ определяет порядок получения субъектами КИИ информации о способах проведения атак и методах их предупреждения и обнаружения. Информация может предоставляться через инфраструктуру НКЦКИ, а при отсутствии подключения — по почте или электронной почте.

Также утверждён регламент непрерывного взаимодействия субъектов КИИ с НКЦКИ и системой ГосСОПКА. В соответствии с ним субъекты КИИ обязаны предоставлять ответы на запросы ФСБ в течение 24 часов.

Все обновлённые документы планируется ввести в действие 30 января 2026 года.