K2 Cloud запускает программу багбаунти для повышения уровня безопасности своей облачной платформы
K2 Cloud (подразделение К2Тех) объявляет о запуске программы багбаунти, направленной на повышение прозрачности и дополнительную защиту облачных сервисов компании. Первый этап будет проводиться в закрытом формате: участвовать в нем смогут исследователи, верифицированные на Standoff Bug Bounty (от компании Positive Technologies) — крупнейшей российской площадки для поиска уязвимостей в системах компаний. К участию приглашены более 100 лучших багхантеров платформы.
На данный момент на площадке Standoff Bug Bounty уже запустили собственные программы по поиску уязвимостей ряд крупнейших российских сервисов: Госуслуги, Единая биометрическая система (ЕБС), Ozon, Купер, Самокат, ЮMoney и другие. Инициируя собственную программу, K2 Cloud подтверждает высокий уровень зрелости и ответственности перед клиентами.
Руководитель группы по обеспечению информационной безопасности облачной платформы K2 Cloud
K2 Cloud стремится соответствовать высоким стандартам безопасности заказчиков и открыт для сотрудничества. Уровень защищенности нашей платформы подтвержден ведущими отраслевыми стандартами, включая 152-ФЗ, PCI DSS 4.0 и ГОСТ Р 57580.1-2017. Ключевой фокус для нас — эффективная защита облака. Поэтому мы приняли решение пригласить внешних исследователей, которые помогут сделать платформу ещё надёжнее. В программе багбаунти вознаграждение зависит от реальных находок, что повышает мотивацию к глубинному поиску уязвимостей. В совокупности с регулярными пентестами это делает систему защиты нашей облачной инфраструктуры более живой и эффективной
На старте программы K2 Cloud будет выплачивать вознаграждения до 300 000 рублей за найденную уязвимость. Размер выплаты зависит от типа и уровня влияния проблемы на безопасность сервисов и данных клиентов. По мере развития инициативы сумма выплат будет расти.
Особое внимание уделяется уязвимостям, способным повлиять на работу инфраструктуры: удалённому исполнению кода, SQL-инъекциям, обходу аутентификации и авторизации, SSRF, ошибкам бизнес-логики и др. Для проверки доступны ключевые сервисы платформы: веб-консоль управления облачными ресурсами и домены основных компонентов.
По результатам опроса рынка от К2 Кибербезопасность, подавляющее большинство (64%) ИТ и ИБ-специалистов разных отраслей назвали самой актуальной угрозой этого года вирусов-шифровальщиков, 28% — АРТ-атаки (продолжительные целевые атаки), 8% — DDoS-атаки. K2 Cloud нацелен минимизировать риски, предоставляя исследователям возможность находить слабые места облачной платформы до того, как ими воспользуются злоумышленники.
