Первые итоги работы The Standoff 365: 1800 белых хакеров и 250 отчетов

25.08.2022

Positive Technologies подвела итоги первых трех месяцев работы платформы The Standoff 365 — проекта, где воссоздаются операционные и бизнес-процессы реальных промышленных, энергетических, транспортных и финансовых компаний и целых отраслей экономики. О результатах работы платформы представители компании рассказали на конференции по кибербезопасности OFFZONE 2022, которая прошла в Москве 25 и 26 августа.

The Standoff 365 объединяет в себе три проекта: платформу Bug Bounty, киберполигон и социальную площадку для хакеров и исследователей безопасности. За три месяца платформа привлекла 1800 белых хакеров.

The Standoff 365 Bug Bounty действует с 19 мая, и на сегодняшний день это ключевая отечественная площадка для привлечения внешних исследователей к поиску и исправлению уязвимостей в инфраструктуре, продуктах и сервисах компаний, а также к обнаружению путей реализации недопустимых событий. После запуска на платформе были размещены 13 программ bug bounty, в том числе «Азбуки вкуса», VK, Skillbox и GeekBrains, а зарегистрированные исследователи сдали 250 отчетов о найденных уязвимостях. Багхантерам уже одобрены первые выплаты.

В июле начал действовать и второй элемент The Standoff 365: в дополнение к регулярным офлайн-кибербитвам появился доступный 365 дней в году онлайн-киберполигон, который позволяет анализировать защищенность инфраструктуры в трех ключевых сегментах: корпоративном, финансовом и электроэнергетическом. Участники уже обнаружили на онлайн-киберполигоне 203 уязвимости, больше всего (82) — в энергетическом сегменте, а также реализовали 40% всех заявленных недопустимых событий, в том числе четыре из семи недопустимых событий в банковском сегменте.

Наконец, 23 августа прошел первый митап The Standoff Talks, на котором с докладами выступили девять экспертов. Встреча собрала в офлайне 70 специалистов и энтузиастов ИБ, а еще 1500 человек присоединились к ней онлайн.

Помимо результатов работы The Standoff 365 в ходе конференции OFFZONE 2022 команда Positive Technologies провела конкурс Standoff Crash Camp для участников платформы. В течение двух дней специалисты соревновались в поиске уязвимостей на онлайн-киберполигоне и в рамках программ bug bounty: ломали инфраструктуру предприятий разных отраслей экономики, реализовывали недопустимые события, сдавали отчеты и копили баллы. В качестве награды победитель этой гонки получил 100 тысяч рублей, а еще двое лидеров — специальные призы. Все участники платформы The Standoff 365 получили свою долю игровых очков Offcoin, за которые могли приобрести на стенде памятные сувениры.

Также в первый день основной программы конференции специалист отдела исследований угроз ИБ экспертного центра безопасности (PT Expert Security Center) Станислав Раковский рассказал об исследовании репозитария PyPI, в котором с февраля обнаружилось более сотни вредоносных пакетов. В своем докладе исследователь раскрыл, какие методы сокрытия используют трояны, написанные на Python, и как работает система их обнаружения.

Специалист отдела анализа мобильных приложений Филипп Никифоров продемонстрировал работу написанной им утилиты reFlutter и рассмотрел патчи в исходный код Dart VM, а замруководителя отдела анализа защищенности приложений Максим Костиков выступил с докладом «Безопасность банкоматов для самых маленьких».

Во второй день мероприятия исследователи Александр Григорян и Даниил Колосков (PT Expert Security Center) представили участникам конференции свой обзор APT‑атак на российские компании в первой половине 2022 года. Они рассмотрели наиболее интересные из обнаруженных атак, тактики и техники злоумышленников, проанализировали инструментарий хакеров, включая образцы ранее неизвестного ВПО, а также провели атрибуцию атак.

Специалист отдела анализа приложений Георгий Кигурадзе поделился результатами своего исследования безопасности 5G‑роутера OPPO. Он объяснил, как один маленький недочет позволил практически полностью нарушить безопасность устройства: получить прошивку и расшифровать ее, найти уязвимость выполнения кода и завладеть полным удаленным доступом к роутеру.

На конференции стенд Positive Technologies стал для участников точкой притяжения в атмосфере киберпанка. В рамках серии мини-докладов, которые на нем прошли, бизнес-лидер The Standoff Дмитрий Ким рассказал о кошмарах топ-менеджера, директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков — о том, как не надо проводить киберучения, директор департамента экспертного пресейла Евгений Добаев — о метапродукте MaxPatrol O2, автопилоте в мире кибербезопасности, а руководитель группы исследований безопасности мобильных приложений Positive Technologies Николай Анисеня — о профессиях хакеров.