在 11 月 21 日至 24 日于莫斯科举行的 "Standoff 12 "网络演习中,Positive Technologies 公司再现了其真实基础设施的一部分,包括软件开发、组装和交付的所有流程。安全研究人员能够在安全的环境中测试系统的安全性,并尝试将第三方代码注入公司的一个产品中。该基础设施有三个变体,破解最复杂的一个变体的奖励是 500 万卢布。
2022 年,Positive Technologies 公司对自身进行了有效网络安全概念的测试,进入了对这一概念的质量进行全球评估的阶段,并启动了一项新型计划,以查找信息系统中的漏洞:该公司首次呼吁独立研究人员实施自己定义为不可接受的事件之一--从公司账户中转移资金。2022 年 11 月,在 Standoff 365 平台上,Positive Technologies 启动了一项面向所有研究人员的漏洞悬赏计划,以实施这一不可接受的事件。六个月后,即 2023 年 4 月,实现这一负面情景的奖励金额增加了两倍。公司计划继续实施该计划,直到完成任务的第一个事实。
Positive Technologies 公司专家安全中心主任 Alexey Novikov 强调说: "早些时候,我们已经开始让独立研究人员团队以新的形式参与测试我们基础设施的耐久性,不仅让他们发现一些漏洞,还让他们尝试实现最危险、企业最无法接受的事件,最终保证这些事件不可能发生。在第一阶段,我们让攻击者有机会探索如何实现从公司账户中窃取资金这种不可接受的情况。在 Standoff 12中,攻击者实现了另一个对公司极其危险的事件--他们向我们的产品中注入了恶意代码。这是真正评估我们基础设施网络安全水平的唯一方法。"
这次实现无效事件的标准是在组装的软件产品代码中出现一个任意字符串常数,而在正常组装过程中是不存在这个常数的。
Standoff 12 任务的另一个特点是,模拟基础设施将分为三个变体。在第一个变体中,目标信息系统是在真实软件开发过程的基础上配置的,不使用任何组织或技术保护措施。在第二个版本中,将在基础设施中添加旨在提高开发过程安全性的措施。第三个版本复制了第二个版本,但也包含了 Positive Technologies 在现实生活中用于保护自己的基础架构的信息保护措施。通过使用不同版本的基础设施,可以展示业务流程的重新设计和保护工具的实施对网络安全性能的影响。