ТАСС, 24 мая. Международный форум по практической безопасности Positive Hack Days 11 (18+) завершился. Живая демонстрация происходила одновременно - в ходе открытой кибербитвы The Standoff. Как отмечают организаторы, мероприятия стали самыми посещаемыми в своей истории: за ними наблюдали свыше 127 тыс. зрителей онлайн, а 8700 человек посетили площадку в Москве.
В программу PHDays 11 вошло около 100 докладов, секций и круглых столов, различные конкурсы с денежными призами (например, по взлому банкомата, кассовой системы или POS-терминала), творческие фестивали Positive Wave и HackerToon, финал первого Всероссийского конкурса проектов open source для школьников и студентов, состязание по похищению произведений кибер-арта и многое другое.
Одновременно с форумом прошла и самая масштабная в мире открытая кибербитва The Standoff: главной ее темой стал эффект бабочки - зрители и участники битвы увидели, как реализация недопустимого события в одной отрасли может повлиять на другие и государство в целом, сообщили организаторы. За четыре дня The Standoff атакующие 63 раза реализовали недопустимые события, 30 из них были уникальными. Пострадали практически все компании, за исключением банковской системы. В систему продажи железнодорожных билетов вмешались 14 из 17 красных команд. Произошло также внедрение вредоносного кода в процесс разработки.
Команды защитников за четыре дня предоставили 287 отчетов об инцидентах и 10 отчетов о расследованиях. Больше всего отчетов сдала команда ZoneZone. Минимальное время расследования составило 1 час 13 минут, а среднее - 9 часов 15 минут.
На PHDays 19 мая была представлена платформа The Standoff 365 Bug Bounty (18+), которая объединит компании и исследователей безопасности для поиска уязвимостей и оценки защищенности организаций. Запуск публичных программ bug bounty, которые позволяют на практике испытать надежность любой системы силами большого числа исследователей безопасности с разным опытом и умениями, стало логичным ответом на резкий рост киберугроз. Платформа позволит компаниям со зрелыми процессами информационной безопасности достоверно и объективно оценить защищенность бизнеса. Впервые исследователи безопасности смогут получать награду не только за найденные недопустимые для бизнеса события, но и за их реализацию.
Ярослав Бабин, директор The Standoff 365, рассказал о переосмыслении подхода к bug bounty на новой платформе: "Импакт заказчику не всегда понятен, а хакер может добиться большего, чем вы могли предполагать. Мы предлагаем платить хакеру не просто за какие-то уязвимости, а за сбор уязвимостей в цепочку и последовательность".
Владимир Бенгин, директор департамента обеспечения кибербезопасности Минцифры, уверен, что с помощью экспертов можно устранить проблемы развития платформ bug bounty в России: "В Минцифры слышали мнение о том, что bug bounty можно трактовать как некую серую зону. Мы ждем, что эксперты и те, у кого уже есть опыт в этой сфере, скажут, как они видят решение этой проблемы. Если нужно принять какие-то законы или иные меры - мы открыты".
Технический директор "Азбуки вкуса" Дмитрий Кузеванов считает, что до запуска Bug Bounty от Positive Technologies на российском рынке просто не существовало достойной платформы, потому что необходимо доверие со стороны компаний и хакеров. "Сейчас появилась новая платформа, и мы с радостью к ней присоединились. Нас привлекает репутация, трафик хакеров и уверенность. Позитиву в этом можно доверять", - отметил спикер.