(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

"Лаборатория Касперского" запустила программу Bug Bounty

Источник: threatpost.ru

В качестве платформы была избрана HackerOne, и первая фаза стартовавшей сегодня программы продлится в течение полугода. Представители компании заявили, что наградной фонд программы, первая фаза которой будет посвящена поиску уязвимостей в Kaspersky Internet Security и Kaspersky Endpoint Security, составит $50 тыс. В охват программы входит поиск уязвимостей повышения привилегий, багов, чреватых удаленным исполнением кода, и детектирование случаев неавторизованного доступа к пользовательским данным.

"Поскольку мы являемся ИБ-компанией, я считаю, что на нас лежит ответственность по обеспечению того, чтобы наша собственная продукция не становилась стартовыми точками для атак, - заявил Райан Нарейн (Ryan Naraine), руководитель американского подразделения Глобального центра исследований и анализа угроз "Лаборатории Касперского". - Мы готовы принять на себя подобную ответственность, и программа Bug Bounty вкупе с усилиями, прилагаемыми внутри компании, позволит нам этого добиться. Это отличная возможность заручиться помощью сторонних специалистов, которые смогут не только помочь нам сделать нашу продукцию безопаснее, но и заработать на этом".

По словам Нарейна, программа Bug Bounty послужит дополнением к внутренним процессам, являющимся частью цикла безопасной разработки ПО, таким как анализ кода и аудит. Он также отметил, что компания вложила немалые ресурсы, для того чтобы в ходе процесса тестирования программы, продлившегося несколько месяцев, отладить процесс приема отчетов. "Мы готовы принимать все отчеты о найденных уязвимостях, в противном случае не было бы смысла запускать программу, - заявил Нарейн, ожидая увидеть существенный объем поступающих отчетов. - Чем больше отчетов мы получим, тем безопаснее и надежнее станет наша продукция. Если вы нашли баг, то нам бы хотелось, чтобы вы о нем сообщили". Соучредитель и главный технический директор HackerOne Алекс Райс (Alex Rice) заявил, что, по его мнению, программы Bug Bounty становятся наиболее эффективным способом по обеспечению безопасности, однако среди компаний, имеющих свои программы, крайне мало ИБ-вендоров. "Запуск подобной программы - это показатель того, что в компании отлажены внутренние процессы по обеспечению безопасности, - заявил эксперт. - "Лаборатория Касперского" - одна из первых ИБ-компаний, которая решилась на этот шаг, что лишь показывает всю серьезность их намерений".

Представители платформы HackerOne, на которой зарегистрировано около 60 тыс. хакеров, помогших обнаружить свыше 26 тыс. уязвимостей, отметили, что "Лаборатория Касперского" является одной из немногих ИБ-компаний, таких как Cylance и Glasswire, которые выбрали эту платформу. В сентябре прошлого года Тэвис Орманди (Tavis Ormandy), ИБ-исследователь из Google Project Zero, обнаружил и в частном порядке сообщил в "Лабораторию Касперского" о критической уязвимости, чреватой удаленным исполнением кода. Брешь была ликвидирована в течение суток. Как отметил Нарейн, решение Орманди сообщить об уязвимости напрямую, а не через находившуюся на стадии тестирования программу Bug Bounty стало достойной проверкой внутренних процессов компании.

"Самое неприятное и нежеланное - это узнать об уязвимости из публичных источников или решать проблему в авральном режиме, - заявил эксперт. - Мы смогли устранить уязвимости, обнаруженные специалистами Project Zero, при помощи наших штатных средств, причем, по словам Тэвиса, нам удалось это сделать в рекордно короткие сроки". Компании, решившие впервые запустить свою программу Bug Bounty, зачастую оказываются совершенно не готовы к колоссальному объему необходимых перед запуском приготовлений. "Запуск программы Bug Bounty - это показатель того, что компания уже приложила значительные усилия по обеспечению безопасности, - отметил Райс. - Если у вас не отлажен жизненный цикл разработки ПО и прочие критические процессы, то запуск подобной программы просто невозможен. Во многих организациях считают, что они уже готовы к этому, но о том, что это не так, они узнают уже слишком поздно.

Некоторые организации все же запустили свои программы, будучи к этому не готовы, и вот тому результат - первые 10 хакеров загрузили их объемом работы аж на полгода вперед".

Интернет-магазин
Антивирус Касперского
 
 

Базовая защита Windows

Kaspersky Anti-Virus – это решение для базовой защиты компьютера от основных видов интернет-угроз, не снижающее его производительность.


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 05.08.2016 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
Kaspersky Endpoint Security для бизнеса – Стандартный Russian Edition. 10-14 Node 1 year Base License
Advanced Data Export VCL Suite (with sources) + 1 Year Maintenance
Quest Software. Toad for SQL Server Development Suite
NERO 2016 Classic ESD. Электронный ключ
TeeChart Standard VCL/FMX 2 developer license
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Один день системного администратора
Мастерская программиста
Работа в Windows и новости компании Microsoft
 
Статьи по теме
 
Новинки каталога Download
 
Документация
 
 



    
rambler's top100 Rambler's Top100