Сильнейшим «этичным хакерам» страны нужно будет реализовать недопустимые события, которые могут оказать значительное влияние на деятельность организации.
Партнерами Innostage в организации кибериспытаний стали АО «Кибериспытания» — компания, совершенствующая методику кибериспытаний в интересах бизнеса и страны, а также Positive Technologies – компания-лидер в области результативной кибербезопасности, представившая онлайн-платформу Standoff Bug Bounty для проведения программы КИ.
«Одна из визионерских задач Innostage — поменять отношение отрасли к таким инструментам, как кибериспытания. Мы надеемся, что в дальнейшем удастся объединить усилия багхантеров и защитников, чтобы обеспечивать кибербезопасность. Innostage — первый ИТ-интегратор, который выносит инфраструктуру для проверки сильнейшими хакерами в таком формате. Это революционно, смело и затратно. Абсолютно никто не застрахован от недопустимых событий, но реальные пределы киберустойчивости можно определить и дополнительно усилить только так. Мы готовы платить хакерам миллионы рублей, если они покажут нам критичные уязвимости, устранив которые мы станем еще более защищенными и надежными для наших заказчиков», — отметил Айдар Гузаиров, генеральный директор компании Innostage.
Подготовка к багбаунти заняла у Innostage девять месяцев: компания проверяла и трансформировала ИТ-инфраструктуру. Кибериспытания реализуются в логике методологии киберустойчивости CyberYool от Innostage. Этот пятиэтапный комплексный подход к достижению цифровой устойчивости охватывает все уровни и направления ИТ и ИБ, включая объективную проверку такими инструментами, как внешние пентесты, багбаунти и открытые кибериспытания. Во время подготовки компания использовала продукты партнеров-вендоров: Xello Deception, ИТ-Экспертизы, Нетхаб, NETAMS, РЕД ОС, Cyberpeak, IT Expert, UserGate.
Программа стартует 26 мая в финальный день международного киберфестиваля Positive Hack Days 2, который проходит в Москве. Вознаграждение составит 5 млн рублей.
«На наш взгляд, кибериспытания — это новый и важный тренд на рынке информационной безопасности и альтернатива классической услуге пентеста. Такой концептуально новый подход к проверке защищенности от киберугроз, когда независимые исследователи в режиме 24/7, в условиях постоянно изменяющейся инфраструктуры оценивают защищенность компании от взлома, позволяет увидеть полную картину кибербезопасности, — рассказал Алексей Новиков, управляющий директор Positive Technologies. — При запуске кибериспытаний на Standoff Bug Bounty, специалисты Positive Technologies помогут запустить и сопроводить этот процесс, а лучшие багхантеры продемонстрируют объективную картину защищенности компании».
Исследователям будет предложено разобраться в том, как работают бизнес-процессы Innostage и попробовать перевести до 2000 рублей со счета компании на любой подконтрольный счет. Транзакция должна быть инициирована исследователем и пройти через банк. Во время кибериспытаний запрещено прямое воздействие на системы банков, обеспечивающих проведение платежей. Также запрещено публичное раскрытие информации. Использование исследователями методов OSINT для обнаружения принадлежащих компании ресурсов допустимо.
Идея кибериспытания, как объективной и непрерывной оценки защищенности, родилась в рамках инициатив фонда результативной кибербезопасности Сайберус, который объединил экспертов и поддержал коммерческое развитие проекта. Важный компонент открытых кибериспытаний — методика, созданная экспертами по кибербзопасности с разными профилем и навыками. В ней описаны правила, по которым организуется весь процесс проверки защищенности: от определения критического ущерба компании до процесса проведения кибериспытаний на платформах партнеров и взаимодействия с белыми хакерами. Второй компонент кибериспытаний — экспертный совет, куда входят эксперты с практическим опытом в ИБ из крупнейших ИТ-компаний, вендоров, интеграторов и профессиональных сообществ. Экспертный совет помогает сформировать техническое задание программы, контролирует проведение кибериспытания, подводит итоги исследования, а также развивает методику.