Компания «1С-Битрикс» запустила публичную программу поиска уязвимостей (bug bounty) на платформе Standoff Bug Bounty. Специалисты по кибербезопасности получат возможность проверить уровень защиты облачного портала «Битрикс24», включая его персональный домен. Об этом CNews проинформировали в Positive Technologies.
«1С-Битрикс» — отечественный IT-разработчик, создавший систему управления сайтами «1С-Битрикс: Управление сайтом» и бизнес-платформу «Битрикс24». Решения компании применяют федеральные ритейлеры, финансовые организации, страховщики, промышленные предприятия, а также представители малого и среднего предпринимательства.
До этого момента сотрудничество в рамках багбаунти носило закрытый характер. В новой публичной программе экспертам предлагается оценить безопасность облачного сервиса «Битрикс24», в том числе с использованием специально зарегистрированного для тестирования уникального домена.
«Гарантия высочайшего уровня защиты для наших заказчиков — важнейшая задача для "1С-Битрикс“. Мы применяем многоуровневую стратегию, сочетающую внутренние средства безопасности с постоянными внешними проверками. Увидев отличные результаты bug bounty в ходе приватного этапа, мы решили сделать программу открытой. Это поможет вовлечь в оценку защищенности больше квалифицированных специалистов. Так мы заранее выявляем и нейтрализуем возможные угрозы, чтобы обеспечить клиентам надежные продукты», — отметил Роман Стрельников, руководитель направления информационной безопасности «1С-Битрикс».
Согласно данным Positive Technologies, IT-компании находятся в топ-3 наиболее атакуемых сфер в России, на них приходится 9% успешных кибернападений. Основной интерес к этой отрасли демонстрируют кибершпионы (30%) и хактивисты (32%). Сегодня IT-сектор поддерживает работу множества важнейших сервисов: от облачных платформ и хостинга до систем удаленного управления и корпоративного ПО. Именно по этой причине IT-компании часто становятся «плацдармом» для атак на другие бизнесы: злоумышленники могут внедрить вредоносный код в программы и похитить данные для доступа к инфраструктуре сотен или тысяч клиентов.
В этой ситуации аналитики настаивают на важности упреждающих мер защиты: бизнесу стоит ориентироваться не на затраченное на поиск дефектов время, а на конкретный итог — обнаруженные и верифицированные уязвимости. Программы bug bounty — один из самых действенных инструментов для достижения этой цели.
