Сочи. Август. Багбаунти 🌴

Готов затусить с нами на Standoff Hacks? Разминай пальцы и активируй трехнедельный режим поиска уязвимостей 👨‍💻

Кто еще в деле? Все семь компаний с открытыми программами на Standoff 365.
А это, на минуточку:
▪️ Positive Technologies
▪️ VK
▪️ Tinkoff
▪️ Азбука вкуса
▪️ Standoff 365
▪️ Rambler
▪️ Консоль

Выбирай любую (или несколько) и начинай охоту за багами прямо сегодня. На все про все — 20 дней (конкурс заканчивается в 23:59 24 июля). Тем, кто сможет найти самые дорогие для каждой программы уязвимости, и достанутся семь инвайтов (по одному на программу) на Standoff Hacks.

Что дальше? Тусовка на Красной Поляне в теплой компании, ощущение собственной крутости и, конечно, получение заслуженных ништяков💰

Вечеринка будет камерной: всего на 30 человек. Помимо 7 победителей, 11 приглашений получат самые скиллованые, приносящие максимальный импакт и участвующие в развитии площадки хакеры Standoff 365. Топ-3 из них смогут взять с собой +1. Еще 9 инвайтов вручат три компании, которые привезут на Standoff Hacks эксклюзивный скоуп.

❓ Что предполагает инвайт?
Всем хакерам мы оплатим перелет и проживание.

❓ Если два человека сдадут на одну программу самую дорогую уязвимость?
Приглашение получит тот, кто сделает это первым.

❓ Меня уже пригласили, но еще я нашел самую дорогую уязвимость, могу ли я съездить в Сочи дважды?
Нет, второе приглашение получит хакер, сдавший второй самый дорогой баг по той же программе.

❓ Будут ли промежуточные результаты?
Каждую неделю мы будем рассказывать о результатах в этом канале.

❓ А что, если по одной из программ не будет сдано ни одной уязвимости?
Приглашение получит участник, сдавший самый дорогой баг, но еще не получивший приглашения.

❓ Когда разошлют прямые приглашения и приглашения на +1?
Часть мы уже разослали, часть придет до сегодняшнего вечера.

Если у тебя остались вопросы, задавай, ответим на них в комментариях.

Участвуешь? Тогда увидимся в Сочи в августе.

👀 Финансовая сфера входит в топ-5 по популярности у киберпреступников. Наши аналитики подсчитали, что 8% атак приходятся на кредитные организации.

Таким компаниям не обойтись без киберучений — самого эффективного способа подготовиться к атаке и быть на шаг впереди злоумышленников. Можно проводить их в формате настольных игр или штабных учений, распределяя роли и прописывая реакции. А можно — на киберполигоне, воссоздав реальную инфраструктуру организации, которую протестируют этичные хакеры. Это позволяет зафиксировать реальную атаку, увидеть, как она развивается, и подготовиться к реагированию.

Positive Technologies дает возможность проводить киберучения на онлайн-полигоне Standoff 365, причем красные команды или отдельные исследователи безопасности могут тренироваться там в любое время.

Например, на Standoff 365 есть собственный STF Bank с IT-инфраструктурой, построенной по примеру реально существующих организаций. Для расчета с ЦБ используется система АРМ КБР, а клиенты могут совершать безналичные платежи с помощью интернет-банкинга.

Здесь в режиме 24/7 можно пытаться реализовать семь вариантов атак, которые в реальности случались с разными банками. Три из них — высокого уровня сложности:

💲 вывод денег со счетов банка через АРМ КБР;
💲 вывод денег с клиентских счетов через систему ДБО;
💲 вывод денег с клиентских счетов через терминал кассира-операциониста.

Еще четыре — среднего и низкого:

🔺 утечка конфиденциальной информации;
🔺 распространение вируса-шифровальщика;
🔺 хищение данных контрагентов;
🔺 утечка персональных данных сотрудников.

Способы реализации — на ваше усмотрение. Пробуйте свои силы, готовьтесь к киберучениям и шлите репорты 👨‍💻

#Standoff365

👊 А ваша команда по кибербезопасности готова к реальной битве с хакерами?

Проверить это можно с помощью киберучений. Хороший пример — кибербитва Standoff. Здесь красные команды этичных хакеров оттачивают свои навыки, ломая инфраструктуру различных компаний. А синие учатся реагировать на различные угрозы и устранять их с гарантированным результатом.

Проигравших и победителей здесь нет — противоборствующие стороны помогают друг другу набраться опыта 🤝

А если вы играете за красных, то необязательно ждать офлайн-мероприятия — тренируйтесь в любое время на онлайн-полигоне Standoff 365. Например, здесь можно атаковать компанию Big Bro Group, которая отвечает за снабжение Кибергорода электроэнергией.

Вы можете любыми доступными способами попытаться реализовать атаки в отношении виртуальной компании (фишка в том, что все они случались в реальности).

Представители команд защиты здесь же могут изучить реальный опыт реализованных атак, а совсем скоро мы… Впрочем, пока никаких спойлеров 🤫

Ждите новостей и залетайте к нам на киберполигон 🤖

#Standoff365

1️⃣3️⃣0️⃣ Маяковскому — сто тридцать! Вернее, день рождения у поэта через неделю, но мы готовимся к празднику уже сейчас.

На PHDays 12 Владимир Маяковский, пусть и виртуальный, стал соведущим научно-популярной программы и «МаякФеста» — концерта в его честь. А в этот раз мы пошли дальше и, благодаря нейросетям, не только воспроизвели голос знаменитого футуриста, но и сняли с ним видеоролик.

💬 Побывав на нашем фестивале, Маяковский заинтересовался и вдохновился идеями результативной кибербезопасности. Задавайте в комментариях к посту в канале @Positive_Technologies любые вопросы на эту тему до 23:59 16 июля.

Мы выберем пять самых интересных, на которые поэт лично ответит в свой день рождения, 19 июля. А их авторов ждут приятные подарки от Positive Technologies (ведь на день рождения принято дарить что-нибудь классное!) 🎁

Количество вопросов не ограничено, так что не ограничивайте свое вдохновение и любопытство.

@Positive_Technologies

😠 Можно ли определить все вероятные векторы кибератак? Нет. Но можно сделать так, чтобы злоумышленники получили отпор, с какой бы стороны ни попытались зайти.

Киберучения помогут подготовить вашу команду специалистов по ИБ к любым, даже самым неожиданным событиям, оценить степень защищенности инфраструктуры и понять, как максимально осложнить жизнь преступникам.

Во время учений, таких как кибербитва Standoff, защитники расследуют инциденты, типичные для отрасли, к которой относится их компания.

Анализируя тактики и техники нападающих, профи могут:
1️⃣ Перестроить защиту своей организации.
2️⃣ Подобрать все необходимые для этого продукты.
3️⃣ Отработать взаимодействие внутри команды, понять, как действуют в связке подразделения ИБ и IT.

Все это существенно усложнит задачу злоумышленников, для которых атака на хорошо защищенную инфраструктуру станет просто невыгодной: вложенные в нее силы и средства перевесят возможный куш.

Красные команды тренируются на нашем онлайн-киберполигоне Standoff 365 в любое время — даже вне учений. А синим... советуем ждать ближайших апдейтов или пока что переодеться в красное и попробовать сыграть на другой стороне.

Спешите, ведь уже 26 июля (в среду) на полигоне начнутся технические работы, и следите за обновлениями: https://range.standoff365.com/

#Standoff365

💃 «Вы нашли самую дорогую уязвимость, ловите свой инвайт на Standoff Hacks!» Примерно такие сообщения сегодня получили (или получат) победители трехнедельного конкурса, которые отправятся с нами в Сочи.

Рассказываем, сколько они на этом заработали и когда нашли те самые уязвимости (ну что, узнаете себя в списке?). Часовой пояс UTC+0.

VK — 600 000 ₽ (13.07, 16:20)
Tinkoff — 318 000 ₽ (05.07, 06:03)
Standoff 365 — 100 000 ₽ (11.07, 14:21)
Консоль — 70 000 ₽ (10.07, 00:50)
Rambler&Co — 50 000 ₽ (19.07, 21:23)
Азбука вкуса — 3000 ₽ (11.07, 08:13)
Positive Technologies — 1000 ₽ (24.07, 23:05)

Поздравляем, приглашения у вас в кармане! На Standoff Hacks можно не только затусить с лучшими из лучших, но и заработать больше, ломая новый эксклюзивный скоуп. Что именно? Про замок Wildberries мы уже рассказывали. Какой скоуп предоставят еще три вендора, сообщим участникам 28 июля.

Готовьтесь заработать много денег и потратить их в казино.

До встречи в Сочи 11–14 августа!

Псс... Не получилось в этот раз? Со всеми бывает. Осенью пройдет еще один Standoff Hacks, но о нем позже 🤫

Сегодня на онлайн-киберполигоне Standoff 365 стартуют киберучения в обновленном формате. Если раньше он был доступен в режиме 24/7 только для атакующих команд, то теперь такая же опция есть и для защитников.

На что это будет похоже? 👀

На нашу знаменитую кибербитву Standoff, но без ограничений по времени, количеству участников и их возможностям.

Команды синих займутся мониторингом и расследованием любых инцидентов. Тренироваться, если понадобится, можно будет даже на чужой инфраструктуре.

В чем польза? 🧐

Теперь можно не ждать объявления киберучений, а начинать их самостоятельно!

+ Реальный трафик атакующих поможет подготовиться к любым угрозам, вплоть до эксплуатирующих уязвимости нулевого дня, а также позволит на практике изучить актуальные и нетривиальные техники хакеров.

+ Осваивать возможности киберполигона в комфортном режиме можно будет в любое время по годовой подписке.

+ Возможность добавить на киберполигон фрагменты собственной инфраструктуры, даст протестировать ее в безопасной и контролируемой среде.

+‎ Во время киберучений защитники смогут изучить продукты и решения ИБ и понять, какие из них необходимо использовать, чтобы максимально эффективно противостоять реальным атакам.

Писать обо всем этом мы можем долго, но лучше приходите на киберполигон Standoff 365 и пробуйте сами ⚡️

#Standoff365

А вот и итоги первого дня киберучений на обновленном полигоне Standoff 365

Начался он горячо: уже ночью этичный хакер с ником fgh реализовал два недопустимых события, а к обеду вернулся и реализовал еще одно, а также нашел две уязвимости. Он явный лидер первого дня.

Начал fgh с «корпоративных» недопустимых событий:

— распространение вируса-шифровальщика
— утечка информации о государственных оборонных заказах
— утечка конфиденциальной информации

Всего за первый день красные обнаружили 15 уязвимостей. Начало вторых суток, конечно, принесло и новые уязвимости, но пока здесь представлены цифры на 18:00 1 августа.

А что там у синих команд

Они активно расследуют атаки: по результатам дня одна из команд — OC&MCG — уже сдала отчет. Но все впереди!

❕ И вот что важно, друзья. Всего за первые сутки в учениях приняли участие почти 100 красных. А реализовали недопустимые события и сдали отчеты об уязвимостях — пятеро. Надеемся, что все остальные еще в процессе и дальше будет только жарче.

Не забывайте, что за успешное участие в онлайн-кибербитве начисляются очки, а рейтинг теперь единый для полигона и багбаунти. Лидеры получают массу плюшек — от эксклюзивного мерча до приглашения на закрытые ивенты. Вы же не забыли, что лучшие из лучших на следующей неделе едут с нами в Сочи? 😏

⚡️ Итоги второго дня мы подведем завтра утром, а повлиять на них вы можете на киберполигоне.

Закончился второй день онлайн-кибербитвы на нашем полигоне. Напряжение нарастает, у защитников все больше забот.

🏅 Во-первых, атакующий fgh продолжает лидировать: он вновь первым реализовал еще один инцидент — четвертый на своем счету за эти два дня.

Однако на пятки ему наступают двое участников: QuietMoth1 повторил вчерашние подвиги fgh (три реализованных инцидента), а CSV, со своей стороны, реализовал два, но на его счету еще и целых шесть обнаруженных уязвимостей.

Таким образом, реализовано четыре уникальных инцидента:

— Распространение вируса-шифровальщика (3 раза)
— Утечка конфиденциальной информации (3 раза)
— Утечка информации о государственных оборонных заказах (2 раза)
— Хищение данных о контрагентах (1 раз)

Это значит, что у синих команд большой фронт работ: есть в общей сложности девять атак, которые можно расследовать. Этим они и занимаются: по состоянию на 18:00 среды принято четыре отчета о расследовании, еще больше отчетов уже подготовлено и сейчас на рассмотрении у глобального SOC (жюри).

В общей сложности атакующие реализовали 9 инцидентов и нашли 32 уязвимости.

👀 Видим, что этичные хакеры активно исследуют инфраструктуру и подбираются к самому интересному — к технологической сети. Надеемся, что в финальный день кибербитвы будут пробиты самые серьезные риски нашего виртуального металлургического комбината.

Напоминаем, что чем сложнее риск, тем больше баллов можно заработать — они пойдут в общий рейтинг: например, если остановите доменную печь, то получите 10 000 баллов и сразу догоните нынешнего лидера fgh.

А трое участников, которые наберут больше всего баллов по итогу трех дней кибербитвы, получат от нас мерч 🎁

Желаем удачи, а нашим синим Шерлокам Холмсам — в двойном размере: у них остались всего сутки на то, чтобы расследовать атаки.

Сможете ли вы добавить им хлопот и возглавить список лидеров? Попробуйте на киберполигоне.

Во вторник, 1 августа, мы запустили обновленный киберполигон Standoff 365

Олег Иванов, руководитель продукта Standoff 365, в небольшом видео рассказал, что изменилось и каких нововведений ждать в ближайшем будущем.

Коротко в трех пунктах:

1️⃣ Теперь на полигоне проходит настоящая кибербитва — как Standoff, только онлайн и 24/7. Команды атакующих ищут уязвимости и пытаются реализовать инциденты, а команды защитников мониторят и расследуют атаки.

2️⃣ Инфраструктуру Софтвилла мы забэкапили. Теперь специалистам доступен виртуальный город Хакербург, в котором будут появляться новые отраслевые сегменты. Сейчас здесь представлен металлургический комбинат Metal&Tech.

3️⃣ В ближайшие месяцы в Хакербурге появятся IT-компания и банк, который вы уже могли видеть на киберфестивале Positive Hack Days (но немного обновленный).

А как командам защиты принять участие? Киберполигон Standoff 365 — один из продуктов Positive Technologies, поэтому можно обсудить приобретение доступа или проведение пилотного проекта с вашим менеджером.

Будем делиться подробностями в нашем канале. А пока вы можете попробовать нарушить процесс выплавки стали (один из 13 инцидентов) на киберполигоне.

#Standoff365

Только подвели итоги нашей первой битвы на киберполигоне Standoff 365 — и вот еще одна! 😱

В сентябре Innostage проведет в Казани «Всероссийскую студенческую кибербитву». Positive Technologies — соорганизатор мероприятия.

Мы привезем в Казань физический макет виртуального Государства F, который вы уже не раз могли видеть на кибербитве Standoff. Он позволит наблюдать за тем, как команды атакующих реализуют сценарии атак, приводящих к опасным событиям.

🛡 Команды защиты уже определены: они будут состоять из студентов — участников «Межвузовского студенческого провайдера услуг кибербезопасности» (MSSP SOC), который работает на базе четырех вузов Республики Татарстан.

🥊 А набор команд атакующих открыт прямо сейчас. Если вы студент и хотите продемонстрировать свои навыки взлома, успейте подать заявку до 19 августа.

Команда атакующих, которая займет первое место по итогам кибербитвы, получит денежный приз — 100 000 рублей.

#Standoff

🤔 Как сложилась бы судьба Владимира Маяковского в наши дни? Волнуют ли современных поэтов те же вопросы, что и сто лет назад? Можно ли поступиться свободой ради известности и денег? А ради любимой женщины?

🎬 17 августа в прокат выходит фильм «Мотыль. Свет. Пламя. Пыль», созданный Викторией Алексеевой, продюсером киберфестиваля PHDays 12 (маскотом которого был Маяковский), при поддержке Positive Technologies.

Он посвящен 130-летию со дня рождения футуриста и создан по мотивам его биографии и поэмы «Облако в штанах», отражающей личность поэта.

Главный герой, как настоящий бунтарь, бросает вызов творческой элите и устройству общества, оспаривает искренность чувств и актуальность поэзии. Весь фильм о том, как рождается одно единственное стихотворение и какие испытания преодолевает при этом художник.

Смотрите ленту в кинотеатрах «КАРО» в Москве («КАРО 11 Октябрь»), Санкт-Петербурге («КАРО 9 Варшавский экспресс»), Новосибирске («КАРО 10 Галерея»), Екатеринбурге («КАРО 10 Радуга Парк») и Калининграде («КАРО 7 Калининград Плаза»).

P. S. Редактор канала любит Маяковского, посмотрел и в восторге.

#PositiveTechnologies #PHD12