K2 Cloud запустил багбаунти для повышения уровня безопасности облачной платформы
K2 Cloud (подразделение К2Тех) запустила программу багбаунти, направленную на повышение прозрачности и дополнительную защиту облачных сервисов компании. Первый этап будет проводиться в закрытом формате: участвовать в нем смогут исследователи, верифицированные на Standoff Bug Bounty (от компании Positive Technologies) - крупнейшей российской площадки для поиска уязвимостей в системах компаний. К участию приглашены более 100 лучших багхантеров платформы.
На данный момент на площадке Standoff Bug Bounty уже запустили программы по поиску уязвимостей ряд крупнейших российских сервисов: Госуслуги, Единая биометрическая система (ЕБС), Ozon, Купер, Самокат, ЮMoney и другие.
"K2 Cloud стремится соответствовать высоким стандартам безопасности заказчиков и открыт для сотрудничества. Уровень защищенности нашей платформы подтвержден ведущими отраслевыми стандартами, включая 152-ФЗ, PCI DSS 4.0 и ГОСТ Р 57580.1-2017. Ключевой фокус для нас — эффективная защита облака. Поэтому мы приняли решение пригласить внешних исследователей, которые помогут сделать платформу еще надежнее. В программе багбаунти вознаграждение зависит от реальных находок, что повышает мотивацию к глубинному поиску уязвимостей. В совокупности с регулярными пентестами это делает систему защиты нашей облачной инфраструктуры более живой и эффективной", — отметил Александр Лугов, руководитель группы по обеспечению информационной безопасности облачной платформы K2 Cloud.
На старте программы K2 Cloud будет выплачивать вознаграждения до 300 тыс. руб. за найденную уязвимость. Размер выплаты зависит от типа и уровня влияния проблемы на безопасность сервисов и данных клиентов. По мере развития инициативы сумма выплат будет расти.
Особое внимание уделяется уязвимостям, способным повлиять на работу инфраструктуры: удаленному исполнению кода, SQL-инъекциям, обходу аутентификации и авторизации, SSRF, ошибкам бизнес-логики и др. Для проверки доступны ключевые сервисы платформы: веб-консоль управления облачными ресурсами и домены основных компонентов.
По результатам опроса рынка от К2 Кибербезопасность, подавляющее большинство (64%) ИТ и ИБ-специалистов разных отраслей назвали самой актуальной угрозой этого года вирусов-шифровальщиков, 28% — АРТ-атаки (продолжительные целевые атаки), 8% — DDoS-атаки. K2 Cloud нацелен минимизировать риски, предоставляя исследователям возможность находить слабые места облачной платформы до того, как ими воспользуются злоумышленники.
