Программа Bug Bounty продукта PT Network Attack Discovery
Rewards are paid to individual entrepreneurs and self-employed persons
Program description
Программа Bug Bounty продукта PT Network Attack Discovery
Программа Bug Bounty продукта PT Network Attack Discovery направлена на выявление и подтверждение уязвимостей, которые могут привести к нарушению корректности детектирования атак, компрометации данных о сетевой активности, нарушению расследования инцидентов, а также использованию компонентов системы в качестве точки входа в инфраструктуру заказчика.
PT Network Attack Discovery — это система класса Network Detection and Response (NDR/NTA), предназначенная для обнаружения атак на сетевом периметре и внутри корпоративной сети. Продукт обеспечивает выявление скрытых угроз, детектирование подозрительной активности, включая анализ зашифрованного трафика, хранение и корреляцию данных об атаках, а также интеграцию с внешними системами безопасности. Уязвимости в продукте могут оказывать прямое влияние как на уровень защищённости инфраструктуры, так и на достоверность принимаемых решений при реагировании на инциденты.
Ограничения
На момент запуска программы доступ к тестовым стендам продукта предоставляется ограниченно.
Расширенный доступ будет предоставлен позднее, по мере готовности инфраструктуры и процедур сопровождения.
Расширенный доступ будет предоставлен позднее, по мере готовности инфраструктуры и процедур сопровождения.
Общие положения:
Типы уязвимостей, принимаемые к рассмотрению. Мы принимаем отчёты об уязвимостях следующих категорий (но не ограничиваемся ими):
1. Веб-интерфейс и API управления
XSS или CSRF в интерфейсе управления, позволяющие изменить параметры детектирования, правила корреляции событий или получить доступ к чувствительным данным системы.
Обход аутентификации или недостатки контроля доступа (IDOR) в консоли управления, ведущие к доступу к данным другой дочерней площадки, инсталляции или получению прав администратора.
SQL-инъекции (SQLi) или командные инъекции, позволяющие выполнять произвольные запросы к базе данных или команды в контексте серверных компонентов продукта.
Обход аутентификации или недостатки контроля доступа (IDOR) в консоли управления, ведущие к доступу к данным другой дочерней площадки, инсталляции или получению прав администратора.
SQL-инъекции (SQLi) или командные инъекции, позволяющие выполнять произвольные запросы к базе данных или команды в контексте серверных компонентов продукта.
2. Анализ трафика и детектирование
Подделка или повреждение сетевого трафика, приводящие к отказу в обслуживании (DoS) компонентов анализа или получению удалённого выполнения кода (RCE) на сенсоре.
Уязвимости в парсерах сетевых протоколов (поддерживается более 85 протоколов), приводящие к утечке памяти, нарушению корректности анализа сетевых данных или выполнению произвольного кода.
Уязвимости в парсерах сетевых протоколов (поддерживается более 85 протоколов), приводящие к утечке памяти, нарушению корректности анализа сетевых данных или выполнению произвольного кода.
3. Хранение и обработка данных
Path Traversal при доступе к хранимым PCAP-файлам или извлечённым объектам, ведущий к чтению, удалению или перезаписи произвольных файлов на сервере.
Уязвимости, позволяющие атакующему удалить или изменить доказательную базу уже зафиксированных атак, что может привести к сокрытию следов компрометации и искажению результатов расследования инцидентов.
Уязвимости, позволяющие атакующему удалить или изменить доказательную базу уже зафиксированных атак, что может привести к сокрытию следов компрометации и искажению результатов расследования инцидентов.
4. Интеграции и внешние системы
SSRF в функционале интеграции с внешними системами (например, при проверке файлов в PT Sandbox или отправке оповещений в SIEM), позволяющий атаковать внутренние сервисы и компоненты инфраструктуры.
Небезопасная десериализация данных при получении информации от PT MultiScanner или других систем экосистемы Positive Technologies, способная привести к выполнению произвольного кода или компрометации компонентов системы.
Небезопасная десериализация данных при получении информации от PT MultiScanner или других систем экосистемы Positive Technologies, способная привести к выполнению произвольного кода или компрометации компонентов системы.
Примечание: Уязвимости, не ведущие к реальному риску (например, теоретические или без подтверждения эксплуатации), могут быть отклонены или оценены как «информационные» без денежного вознаграждения.
Вознаграждения
Размеры вознаграждений описаны в таблице ниже:
| Уровень критичности | Размер выплаты |
|---|---|
| Критический | 300 000 - 500 000 р. |
| Высокий | 150 000 - 300 000 р. |
| Средний | 50 000 - 150 000 р. |
| Низкий | 0 - 50 000 р. |
Вознаграждение может быть выплачено только за сценарии атак, воспроизводимые на инсталляциях официально поддерживаемой версии продукта со всеми доступными обновлениями. Отчеты о недостатках в снятых с поддержки версиях также принимаются, но выплата вознаграждения за такие уязвимости не гарантируется.
Уровень критичности уязвимости определяется в ходе триажа и подтверждения отчёта с учётом влияния на безопасность продукта.
Окончательное решение по уровню критичности уязвимости принимается командой безопасности продукта.
Окончательное решение по уровню критичности уязвимости принимается командой безопасности продукта.
Требования к участникам
Участвовать в программе могут все заинтересованные исследователи в возрасте от 18 лет.
Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
Действующие сотрудники Positive Technologies и бывшие сотрудники, с момента увольнения которых прошло менее 3 лет, могут участвовать в программе, но не могут претендовать на вознаграждение.
Исследователи в возрасте от 14 до 18 лет имеют право участвовать в программе только при наличии письменного согласия родителей или законного представителя.
Действующие сотрудники Positive Technologies и бывшие сотрудники, с момента увольнения которых прошло менее 3 лет, могут участвовать в программе, но не могут претендовать на вознаграждение.
Исследователям необходимо:
- Соблюдать правила, которые устанавливает Positive Technologies в своей программе по раскрытию уязвимостей, а также правила платформы The Standoff 365 Bug Bounty.
- Соблюдать правила конфиденциальности информации. Запрещено получать доступ к данным другого пользователя без его согласия, изменять и уничтожать их, а также раскрывать любую конфиденциальную информацию, случайным образом полученную в ходе поиска уязвимостей или их демонстрации. Преднамеренный доступ к этой информации запрещен и может быть признан незаконным.
- Поддерживать общение с командой по безопасности, направлять ей отчеты о выявленных уязвимостях, оформленные согласно требованиям, и давать обратную связь, если у специалистов возникнут вопросы об отчете.
- Не разглашать информацию об уязвимости. Право на публикацию информации о найденной уязвимости остается за Positive Technologies.
- Раскрытие уязвимости допустимо только при наличии исправления и публично зарегистрированного идентификатора CVE/BDU.
- Багхантер может изъявить желание о раскрытии отчета - PT обязуется запустить процесс согласования регистрации идентификатора уязвимости.
Вознаграждения за уязвимости
Positive Technologies не выплачивает вознаграждение:
- за отчеты сканеров безопасности и других автоматизированных инструментов;
- раскрытие несекретной информации (наименования ПО или его версии, технические параметры и метрики системы и пр.);
- информацию об IP-адресах, DNS-записях и открытых портах;
- проблемы и уязвимости, которые основаны на версии используемого продукта, без демонстрации их эксплуатации;
- уязвимости, эксплуатацию которых блокируют СЗИ, без демонстрации обхода СЗИ;
- отчеты о небезопасных шифрах SSL и TLS без демонстрации их эксплуатации;
- отчеты об отсутствии SSL и других лучших практик (best current practices);
- уязвимости, информацию о которых ранее передали другие участники конкурса (дубликаты отчетов);
- уязвимости 0-day или 1-day, информация о которых получена командой по безопасности из открытых источников;
- уязвимости к атаке перебором, если в отчете не описан метод, имеющий существенно более высокую эффективность, чем прямой перебор.