EN

Positive Technologies (продукты)

Company: Positive Technologies
Общая программа для всех продуктов компании Positive Technologies
Rewards are paid to individual entrepreneurs and self-employed persons
Program description
Positive Technologies непрерывно работает над созданием продуктов, которым доверяют компании со всего мира. Наш опыт показывает, что абсолютно безопасных систем не существует. Именно поэтому мы разместили программу вознаграждения за найденные в наших продуктах уязвимости.
В область действия программы входят следующие продукты:
  • MaxPatrol SIEM
  • MaxPatrol VM
  • MaxPatrol EDR
  • PT Sandbox
  • PT MultiScanner
  • PT Network Attack Discovery
  • PT Application Firewall
  • PT Application Inspector
  • PT BlackBox
Вознаграждение может быть выплачено только за сценарии атак, воспроизводимые на инсталляциях официально поддерживаемой версии продукта со всеми доступными обновлениями. Отчеты о недостатках в снятых с поддержки версиях также принимаются, но выплата вознаграждения за такие уязвимости не гарантируется.
К рассмотрению также принимаются сценарии атак на продукты Positive Technologies, не указанные в этом списке, но вознаграждение за них не гарантируется.

Общие положения

К рассмотрению в программе принимаются полные или частичные сценарии реализации недопустимых событий в продуктах Positive Technologies.
Каждый сценарий атаки должен включать перечень шагов атакующего, обладающего определенными априорным уровнем доступа (определяемого классом атакующего, КА), приводящий к нанесению ущерба организации-пользователю продукта (реализации недопустимого события, НС). Помимо этих двух основных условий описанный сценарий должен соответствовать дополнительным требованиям, сформулированным для каждого из недопустимых событий.
В рамках рассмотрения отчета описанному в нем сценарию присваивается уровень опасности.
Уровень опасности сценария зависит от:
  • недопустимого события (НС), сценарий реализации которого она делает возможным (или сложность реализации которого снижает)
  • класса атакующего (КА), возможностей которого достаточно для реализации описанной атаки
  • полноты сценария и зависимости реализации от внешних условий, находящихся вне контроля атакующего.
Подробности методики расчета уровня опасности приведены ниже, в разделе Расчет уровня опасности.
Общие для всех продуктов описания недопустимых событий и классов атакующих приводятся в разделе Недопустимые события и классы атакующих.
В последующих разделах, посвященных конкретным продуктам, общие классы атакующих детализируются с учетом архитектуры и модели безопасности продукта.
Общие недопустимые события могут исключаться для отдельных продуктов. И наоброт - для некоторых продуктов могут добавляться уникальные недопустимые события. Такие исключения указаны в разделе, посвященном соответствующему продукту.

Недопустимые события и классы атакующих

Классы атакующих

Класс 0. Атакующий без сетевого доступа к продукту.
Класс 1. Атакующий с сетевым доступом к интерфейсам сбора данных, без привилегий.
Класс 2. Атакующий с сетевым доступом к интерфейсам сбора данных, с привилегиями агента.
Класс 3. Атакующий с сетевым доступом к интерфейсу управления, без привилегий.
Класс 4. Атакующий с сетевым доступом к интерфейсу управления, c учетной записью непривилегированного пользователя.
Общие классы атакующих детализируются для каждого продукта с учетом его архитектуры и модели безопасности. Для некоторых продуктов тот или иной класс может быть неприменим вследствие его архитектурных особенностей. В таком случае об этом будет явно сказано в разделе, посвященном этому продукту.

Недопустимые события

Для реализации любого из недопустимых событий использование продукта Positive Technologies должно являться существенным условием успешности атаки. Условие не выполняется, если того же результата атакующий может достичь без использования продукта или с применением других доступных атакующему инструментов.
Каждый описанный сценарий должен соответствовать всем дополнительным требованиям, сформулированным для каждого из недопустимых событий. Несоответствие любому из этих требований является основанием для отклонения отчета.

«Диверсия»

Полная недоступность или существенная деградация ключевых функций продукта.
Дополнительные требования к сценарию реализации:
  • легкость и незаметность приведения в состояние сбоя
  • легкость и незаметность поддержания в состоянии сбоя
  • необходимость ручного вмешательства для восстановления нормальной работы
  • область действия сбоя шире, чем текущая область влияния атакующего

«Взлом»

Вмешательство в работу механизмов защиты, предоставляемых продуктом.
Дополнительные требования к сценарию реализации:
  • существенно снижает эффективность или полностью отключает механизм защиты
  • область действия сбоя шире, чем текущая область влияния атакующего
  • необходимость ручного вмешательства для восстановления нормальной работы атакованного механизма защиты
  • другие пользователи и администраторы продукта, а также служба технического сопровождения не имеют возможности обнаружить факт вмешательства

«Утечка»

Доступ к чувствительным данным организации, обрабатываемым или хранящимся в продукте.
Дополнительные требования к сценарию реализации:
  • характер или объем чувствительных данных таков, что доступ атакующего к ним дает ему возможность нанесения прямого ущерба организации
  • нет возможности исключить попадание таких чувствительных данных в продукт без существенного влияния на уровень защиты, предоставляемый продуктом
  • в продукте нет штатной возможности защитить такие данные от утечки (например, с помощью маскирования)
  • не используются недостатки конфигурации, реализации или архитектуры внешней по отношению к продукту Positive Technologies инфраструктуры

«Злоупотребление»

Использование опасных сервисных возможностей продукта или чувствительных служебных данных для нанесения урона организации.
Дополнительные требования к сценарию реализации:
  • доступ к сервисным возможностям или служебным данным позволяет атакующему оказать прямое негативное влияние на инфраструктуру организации
  • область нанесения урона шире, чем текущая область влияния атакующего
  • опасные сервисные возможности включены по умолчанию

Расчет уровня опасности

Если атака, описанная в отчете, полностью покрывает сценарий реализации НС от выбранного класса атакующего, то уровень опасности рассчитывается по таблице ниже.
ДиверсияВзломУтечкаЗлоупотребление
Класс 0КритическийКритическийКритическийКритический
Класс 1СреднийВысокийВысокийВысокий
Класс 2-Низкий-Низкий
Класс 3СреднийВысокийСреднийВысокий
Класс 4-Низкий-Низкий
 
Если описанная атака не полностью реализует сценарий НС, но существенно упрощает его реализацию для выбранного класса атакующего, то уровень опасности снижается на 1 уровень.
Если описанная атака несущественно упрощает реализацию НС, то уровень опасности снижается на 3 уровня.
Если успех реализации описанного сценария зависит от внешних условий, не контролируемых атакующим, то уровень опасности снижается на 1-3 уровня в зависимости от вероятности возникновения подходящих атакующему внешних условий.
 

Особенности продуктов

MaxPatrol SIEM и MaxPatrol VM

Классы атакующих

Класс 0. Права администратора на узле, с которого собираются события (SIEM) или который сканируется (VM).
Класс 1. Сетевой доступ к компоненту MP SIEM Server по портам 5671 и 8013 (только SIEM).
Класс 2. Класс 1 + полный доступ к узлу, на котором запущен компонент MP 10 Collector, и права администратора ОС на этом узле. Предполагается, что в инсталляции работает несколько таких компонентов.
Класс 3. Сетевой доступ к компоненту MP10 Core по портам 443 (UI), 3334 (PT MC). Для SIEM дополнительно доступ к компоненту PT KB по портам 8091 и 8190.
Класс 4. Класс 3 + учетная запись с правами в MP10, соответствующими роли сотрудника SOC 1-ой линии. Список прав приведен ниже.
Права роли сотрудника SOC 1-ой линии 
 Активы → Уязвимости
 Активы → Активы
 Активы → Стандарты
 
 Сбор данных → Справочники
 Сбор данных → Инфраструктура
 
 Правила и табличные списки → Правила корреляции
 Правила и табличные списки → Правила обогащения
 Правила и табличные списки → Табличные списки
 
 Система → Мониторинг обработки событий
 Система → Отчеты
 Система → Уведомления
 Система → Управление системой
 
 События → События
 События → Распределенный поиск событий
 
 Инциденты → Инциденты
 Инциденты → Доступ к непривязанным инцидентам
 
 Топология → Топология

MaxPatrol EDR

Классы атакующих

Класс 0. Права администратора на узле с агентом EDR.
Класс 1. Сетевой доступ к серверу RabbitMQ по порту 5671, сетевой доступ к компоненту Observability по порту 8148.
Класс 2. Класс 1 + полный доступ к узлу, на котором запущен сервер агентов, и права администратора ОС на этом узле. Предполагается, что в инсталляции работает несколько таких компонентов.
Класс 3. Сетевой доступ к компоненту MP10 Core по портам 443 (UI), 3334 (PT MC). Доступ к компоненту PT KB по портам 8091 и 8190. Доступ к компоненту Observability по порту 3000.
Класс 4. не используется.

PT Sandbox и PT MultiScanner

Классы атакующих

Класс 0. Возможность отправки электронного письма с любым содержимым любому абоненту почтового сервера, контролируемого в режиме зеркалирования или фильтрации. Возможность создания, чтения, редактирования и удаления файлов в контролируемой общей папке.
Класс 1. не используется.
Класс 2. не используется.
Класс 3. Сетевой доступ к основному узлу по портам 80, 443, 3334, 8703 и 8704.
Класс 4. Класс 3 + учетная запись с ролью Пользователь.

PT NAD

Классы атакующих

Класс 0. Права администратора на двух узлах в сегменте сети, контролируемом сенсором NAD.
Класс 1. Сетевой доступ к основному серверу по портам 5555 и 4000.
Класс 2. Класс 1 + полный доступ к узлу, на котором запущен сенсор, и права администратора ОС на этом узле. Предполагается, что в инсталляции работает несколько таких компонентов.
Класс 3. Сетевой доступ к основному серверу по портам 80, 443 и 3000. Доступ к опциональному компоненту PT MC по порту 3334.
Класс 4. не используется.

PT AF PRO

Классы атакующих

Класс 0. Сетевой доступ к приложению под защитой WAF. Трафик проходит через агента WAF..
Класс 1. Сетевой доступ к серверу управления PT AF по порту 8443.
Класс 2. Класс 1 + полный доступ к узлу, на котором запущен агент PT AF, и права администратора ОС на этом узле. Предполагается, что в инсталляции работает несколько агентов.
Класс 3. Сетевой доступ к основному серверу по портам 80, 443 и 3000.
Класс 4. Класс 3 + учетная запись с ролью Operator во второстепенном тенанта. Предполагается, что в инсталляции создано несколько второстепенных тенантов.

PT AI Enterprise Edition

Классы атакующих

Класс 0. Атакующему известен исходный код приложении, которое анализируется с помощью PT AI.
Класс 1. не используется.
Класс 2. не используется.
Класс 3. Сетевой доступ к компоненту PT AI Enterprise Server по портам 80, 443, 5432 и 5672.
Класс 4. Класс 3 + учетная запись с ролью Разработчик. Также атакующему известен исходный код приложении, которое анализируется с помощью PT AI.
Для продукта PT AI Enterprise Edition не принимаются сценарии реализации НС, которые предполагают внесение атакующим изменений в файлы приложения, анализируемого с помощью PT AI. Так же не принимаются сценарии, предполагающие внесение изменений в сторонние библиотеки, используемые в анализируемом с помощью PT AI приложении.

PT BlackBox

Классы атакующих

Класс 0. Атакующий обладает полным контролем над веб-приложением, которое сканируется с помощью PT BlackBox.
Класс 1. не используется.
Класс 2. не используется.
Класс 3. Сетевой доступ к серверу PT BlackBox по портам 80 и 443.
Класс 4. Класс 3 + учетная запись с системной ролью Пользователь и групповой ролью Аудитор в одной из групп. Предполагается, что в инсталляции зарегистрировано несколько групп.

Прочее

Требования к участникам

Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
Действующие сотрудники Positive Technologies и бывшие сотрудники, с момента увольнения которых прошло менее 3 лет, могут участвовать в программе, но не могут претендовать на вознаграждение.
Исследователям необходимо:
  • Соблюдать правила, которые устанавливает Positive Technologies в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
  • Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
  • Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут
    вопросы об отчете.
  • Не разглашать информацию об уязвимости. Право на публикацию информации о найденной уязвимости остается за Positive Technologies.

Недопустимые действия

Исследователям запрещено:
  • Воздействовать на учетные записи других пользователей без их разрешения.
  • Использовать обнаруженные недостатки в личных целях.
  • Использовать инструменты тестирования уязвимостей, автоматически генерирующие значительные объемы трафика и приводящие к атакам с исчерпанием ресурсов.
  • Проводить атаки, наносящие вред целостности и доступности сервисов (например, DoS-атаки, брутфорс-атаки и т. д.), пытаться эксплуатировать уязвимость, нацеленную на исчерпание ресурсов. Следует сообщить о проблеме команде по безопасности Positive Technologies, которая проведет атаку в тестовой среде.
  • Проводить физические атаки на персонал, дата-центры и офисы компании.
  • Проводить атаки на системы Positive Technologies с использованием техник социальной инженерии (фишинг, вишинг и т. д.) и спам-рассылок клиентам, партнерам и сотрудникам.
  • Исследовать серверную инфраструктуру, где размещены веб-приложения.
  • Мешать работе других исследователей.

Вознаграждения за уязвимости

Positive Technologies не выплачивает вознаграждение:
  • за отчеты сканеров безопасности и других автоматизированных инструментов;
  • раскрытие несекретной информации (наименования ПО или его версии, технические параметры и метрики системы и пр.);
  • информацию об IP-адресах, DNS-записях и открытых портах;
  • проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
  • уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
  • отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
  • отчеты об отсутствии SSL и других лучших практик (best current practices);
  • уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
  • уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников
  • уязвимости к атаке перебором, если в отчете не описан метод, имеющий существенно более высокую эффективность, чем прямой перебор

Требования к оформлению отчета

Отчет о реализации недопустимого события должен содержать:
  • Название недопустимого события, полная или частичная реализация которого описана в отчете.
  • Название класса атакующего, возможностей которого достаточно для реализации недопустимого события.
  • Название продукта и версию затрагиваемого ПО (компонента).
  • Демонстрацию реализации недопустимого события (proof of concept) или подробное описание сценария и шагов по его воспроизведению.
Видео и скриншоты могут быть приложены к отчету об ошибке, но не могут его заменить.
Если вы обнаружили несколько путей реализации недопустимого события, подготовьте отчеты о каждом из сценариев реализации отдельно.
Launched 07:16
Edited 07:16
Program format
Non-tolerable events
Top hackers
Overall ranking
The ranking is still empty
Program statistics
₽0
Paid in total
₽0
Average payment
₽0
Paid in the last 90 days
0
Valid reports
1
Submitted reports
Description
Non-tolerable events
Ranking
Versions