«Группа Астра» разместила 5 программ на платформе BI.ZONE Bug Bounty. Размер выплат зависит от уровня критичности найденных уязвимостей. Максимальное вознаграждение в большинстве программ — 100 тысяч рублей, а в операционной системе Astra Linux — 250 тысяч рублей.
За время работы «Группа Астра» получила более 120 отчетов от багхантеров и выплатила более 3 миллионов рублей.
Исследователи могут искать уязвимости в следующих сервисах:
- DCImanager — платформа для управления физической мультивендорной IT-инфраструктурой.
- ALD Pro — российская служба каталога корпоративного класса на базе независимых технологий, импортонезависимый аналог Active Directory.
- Clouden (ex. BILLmanager) — решение для централизованного управления гибридной и мультиоблачной инфраструктурой.
- VMmanager — решение для создания отказоустойчивой среды виртуализации.
- Astra Linux — cертифицированная ОС со встроенными средствами защиты информации (СЗИ) для стабильной и безопасной работы IT-инфраструктур любого масштаба и обработки информации различной степени конфиденциальности.
«Для IT-сектора багбаунти становится все более понятной практикой: компании активно привлекают независимых исследователей для усиления безопасности своих решений. «Группа Астра» выстроила системную работу с багбаунти: программы запускались поэтапно и охватывали разные продукты экосистемы. Такой подход позволяет постепенно расширять область тестирования и выстраивать эффективное взаимодействие с исследовательским сообществом», — комментирует Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty.
«К моменту публикации программы в нашей компании уже был выстроен процесс работы с уязвимостями. Однако выход на Bug Bounty позволил привлечь большой пул независимых исследователей с разным уровнем компетенций, которые осуществляют поиск уязвимостей в соответствии с нашими запросами. Проще говоря, мы получили в разы лучший результат, обнаружив для себя критически важные вещи. Так что это очень результативная программа. Более того, я считаю, что Bug Bounty — это наиболее эффективный метод привлечения сторонней ИБ-экспертизы», — добавляет Ольга Рябикина, директор научно-технического центра информационной безопасности «Группы Астра».
«Группа Астра» создает системное и прикладное ПО, а также сервисы для формирования и проектирования IT-инфраструктур.
BI.ZONE Bug Bounty — это платформа для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей. Организации размещают программы на платформе и получают отчеты об обнаруженных уязвимостях. Багхантеры при этом выбирают интересные для себя программы, ищут уязвимости и получают денежное вознаграждение за подтвержденные баги.
Источник: Группа Астра
