Показать сообщение отдельно

Re: Обсуждения продуктов Касперского
Старый 04.08.2016, 07:56   #482
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 233

kroxus на форуме

Обсуждения продуктов Касперского


Лаборатория Касперского запустила программу bug bounty

ЛАС-ВЕГАС — Вчера на конференции Black Hat USA 2016 представители Лаборатории Касперского объявили о решении компании учредить собственную программу bug bounty. В качестве платформы была избрана HackerOne и первая фаза стартовавшей сегодня программы продлится в течение полугода.

Представители компании заявили, что наградной фонд программы, первая фаза которой будет посвящена поиску уязвимостей в Kaspersky Internet Security и Kaspersky Endpoint Security, составит 50 тыс. $. В охват программы входит поиск уязвимостей повышения привилегий, багов, чреватых удаленным исполнением кода и детектирование случаев неавторизованного доступа к пользовательским данным.

«Поскольку мы являемся ИБ-компанией, я считаю, что на нас лежит ответственность по обеспечению того, чтобы наша собственная продукция не становилась стартовыми точками для атак, — заявил Райан Нарейн (Ryan Naraine), руководитель американского подразделения Глобального центра исследований и анализа угроз Лаборатории Касперского. — Мы готовы принять на себя подобную ответственность и программа bug bounty в купе с усилиями, предпринимаемыми внутри компании, позволит нам этого добиться. Это отличная возможность заручиться помощью сторонних специалистов, которые смогут не только помочь нам сделать нашу продукцию безопаснее, но и заработать на этом». По словам Нарейна, программа bug bounty послужит дополнением к внутренним процессам, являющимся частью цикла безопасной разработки ПО, таким как анализ кода и аудит. Он также отметил, что компания вложила немалые ресурсы, для того чтобы в ходе процесса тестирования программы, продлившегося несколько месяцев, отладить процесс приема отчетов. «Мы готовы принимать все отчеты о найденных уязвимостях, в противном случае не было бы смысла запускать программу, — заявил Нарейн, ожидая увидеть существенный объем поступающих отчетов. — Чем больше отчетов мы получим, тем безопаснее и надежнее станет наша продукция. Если вы нашли баг, то нам бы хотелось, чтобы вы о нем сообщили «. Соучредитель и главный технический директор HackerOne, Алекс Райс (Alex Rice) заявил, что по его мнению программы bug bounty становятся наиболее эффективным способом по обеспечению безопасности, однако среди компаний, имеющих свои программы, крайне мало ИБ-вендоров. «Запуск подобной программы — это показатель того, что в компании отлажены внутренние процессы по обеспечению безопасности, — заявил эксперт. — Лаборатория Касперского одна из первых ИБ-компаний, которая решилась на этот шаг, что лишь показывает всю серьезность их намерений». Представители платформы HackerOne, на которой зарегистрировано около 60 тыс. хакеров, помогших обнаружить свыше 26 тыс. уязвимостей, отметили, что Лаборатория Касперского является одной из немногих ИБ-компаний, таких как Cylance и Glasswire, которые выбрали эту платформу. В сентябре прошлого года Тэвис Орманди (Tavis Ormandy), ИБ-исследователь из Google Project Zero, обнаружил и в частном порядке сообщил в Лабораторию Касперского о критической уязвимости, чреватой удаленным исполнением кода. Брешь была ликвидирована в течении суток. Как отметил Нарейн, решение Орманди сообщить об уязвимости напрямую, а не через находившуюся на стадии тестирования программу bug bounty, стало достойной проверкой внутренних процессов компании. «Самое неприятное и нежеланное — это узнать об уязвимости из публичных источников или решать проблему в авральном режиме, — заявил эксперт. Мы смогли устранить уязвимости, обнаруженные специалистами Project Zero, при помощи наших штатных средств, причем по словам Тэвиса, нам удалось это сделать в рекордно короткие сроки». Компании, решившие впервые запустить свою программу bug bounty, зачастую оказываются совершенно неготовы к колоссальному объему необходимых перед запуском приготовлений. «Запуск программы bug bounty — это показатель того, что компания уже приложила значительные усилия по обеспечению безопасности, — отметил Райс. — Если у вас не отлажен жизненный цикл разработки ПО и прочие критические процессы, то запуск подобной программы просто невозможен. Во многих организациях считают, что они уже готовы к этому, но о том, что это не так они узнают уже слишком поздно. Некоторые организации все же запустили свои программы, будучи к этому неготовы, и вот тому результат — первые 10 хакеров загрузили их объемом работы аж на полгода вперед».

[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика