- 23,142
- 46
- 8 Ноя 2022
Positive Technologies открыла «охоту» на 15 своих продуктов.
Positive Technologies открыла на платформе Standoff Bug Bounty отдельные программы поиска уязвимостей сразу для 15 своих продуктов. Компания предлагает независимым исследователям по всему миру постоянно проверять защищенность решений, а вознаграждение за выявление наиболее опасных проблем в новых программах может доходить до 500 тысяч рублей.
В каждой программе составлен перечень из 10-15 типовых сценариев уязвимостей, распределенных по уровню критичности для конкретного продукта. Среди примеров компания называет потенциальное получение прав администратора в PT NGFW, попытку обхода аутентификации в интерфейсе управления PT Application Inspector и возможность удаления следов атак в PT Network Attack Discovery. За подтверждение критических рисков предусмотрены выплаты в диапазоне 300-500 тысяч рублей, за уязвимости высокого уровня опасности - 150-300 тысяч.
Одновременно Positive Technologies пересмотрела условия по уже действующим инициативам. В программе Positive dream hunting, которая работает более трех лет и посвящена поиску недопустимых для бизнеса событий, добавили третий критический сценарий - кражу персональных данных. Ранее в нее уже входили хищение денег со счетов компании и внедрение условно вредоносного кода; максимальная награда за исследование таких сценариев может достигать 60 млн рублей. Также расширили периметр программы Positive bug hunting для поиска уязвимостей в веб-сервисах Positive Technologies: теперь она охватывает основные домены и поддомены, доступные исследователям, включая зоны *.ptsecurity, *.phdays и *.maxpatrol. По данным компании, суммарные выплаты в рамках этого проекта уже превысили 1,2 млн рублей.
В Positive Technologies поясняют, что запуск отдельных продуктовых программ и расширение доступного периметра должны упростить вовлечение тысяч багхантеров в проверку всего портфеля и сфокусировать их на наиболее актуальных уязвимостях. Компания также напоминает, что первую продуктовую программу багбаунти запустила в декабре 2023 года - для облачного WAF PT Cloud Application Firewall, после чего последовательно расширяет набор продуктов на Standoff Bug Bounty и дорабатывает формат взаимодействия с исследователями.
Positive Technologies открыла на платформе Standoff Bug Bounty отдельные программы поиска уязвимостей сразу для 15 своих продуктов. Компания предлагает независимым исследователям по всему миру постоянно проверять защищенность решений, а вознаграждение за выявление наиболее опасных проблем в новых программах может доходить до 500 тысяч рублей.
В каждой программе составлен перечень из 10-15 типовых сценариев уязвимостей, распределенных по уровню критичности для конкретного продукта. Среди примеров компания называет потенциальное получение прав администратора в PT NGFW, попытку обхода аутентификации в интерфейсе управления PT Application Inspector и возможность удаления следов атак в PT Network Attack Discovery. За подтверждение критических рисков предусмотрены выплаты в диапазоне 300-500 тысяч рублей, за уязвимости высокого уровня опасности - 150-300 тысяч.
Одновременно Positive Technologies пересмотрела условия по уже действующим инициативам. В программе Positive dream hunting, которая работает более трех лет и посвящена поиску недопустимых для бизнеса событий, добавили третий критический сценарий - кражу персональных данных. Ранее в нее уже входили хищение денег со счетов компании и внедрение условно вредоносного кода; максимальная награда за исследование таких сценариев может достигать 60 млн рублей. Также расширили периметр программы Positive bug hunting для поиска уязвимостей в веб-сервисах Positive Technologies: теперь она охватывает основные домены и поддомены, доступные исследователям, включая зоны *.ptsecurity, *.phdays и *.maxpatrol. По данным компании, суммарные выплаты в рамках этого проекта уже превысили 1,2 млн рублей.
В Positive Technologies поясняют, что запуск отдельных продуктовых программ и расширение доступного периметра должны упростить вовлечение тысяч багхантеров в проверку всего портфеля и сфокусировать их на наиболее актуальных уязвимостях. Компания также напоминает, что первую продуктовую программу багбаунти запустила в декабре 2023 года - для облачного WAF PT Cloud Application Firewall, после чего последовательно расширяет набор продуктов на Standoff Bug Bounty и дорабатывает формат взаимодействия с исследователями.
- Источник новости
- www.securitylab.ru
