Заявка на бесплатную консультацию
Ответим на вопросы и предложим продукт для решения ваших задач.
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.
Заявка на бесплатный пилот
Запустим пилотный проект за 5 рабочих дней.
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.
Как мы провели CTF для команд разработки VK
Заказчик
VK — технологическая компания, сервисы которой помогают 100 миллионам человек решать повседневные задачи онлайн.
В компании работает больше 10 000 сотрудников, среди которых — порядка 6 000 разработчиков и членов продуктовых команд. Они ведут 200 технологичных проектов и делают продукты, с помощью которых люди общаются и обмениваются контентом, продают и покупают товары, обучаются и ведут бизнес.
В компании работает больше 10 000 сотрудников, среди которых — порядка 6 000 разработчиков и членов продуктовых команд. Они ведут 200 технологичных проектов и делают продукты, с помощью которых люди общаются и обмениваются контентом, продают и покупают товары, обучаются и ведут бизнес.
Проблема
❌ На 6000 разработчиков приходится всего 14 AppSec-специалистов. Им не хватает времени, чтобы помочь всем командам.
❌ Архитекторы, разработчики и другие члены продуктовых команд не считали своей задачей делать разрабатываемые продукты безопасными и не хотели разбираться в этом.
❌ Заказчику было важно мотивировать команды заниматься безопасностью своих продуктов и показать, что именно от их квалификации зависит, будут ли защищены данные
❌ Архитекторы, разработчики и другие члены продуктовых команд не считали своей задачей делать разрабатываемые продукты безопасными и не хотели разбираться в этом.
❌ Заказчику было важно мотивировать команды заниматься безопасностью своих продуктов и показать, что именно от их квалификации зависит, будут ли защищены данные
Задача
⮕ Вовлечь сотрудников в процессы безопасной разработки.
⮕ Связать у команд понятия «качество» и «безопасность» кода.
⮕ Объяснить командам разработки, для чего тратится столько ресурсов на выплаты по программе Bug Bounty, пентесты, оценку защищенности, и т.д.
⮕ Показать разработчикам принцип действия самых актуальных уязвимостей, угрозы и практики безопасной разработки.
⮕ Связать у команд понятия «качество» и «безопасность» кода.
⮕ Объяснить командам разработки, для чего тратится столько ресурсов на выплаты по программе Bug Bounty, пентесты, оценку защищенности, и т.д.
⮕ Показать разработчикам принцип действия самых актуальных уязвимостей, угрозы и практики безопасной разработки.
Решение
Вовлечь продуктовые команды в вопросы практической безопасности получилось с помощью интерактивного SaaS-тренажера в формате интернет-банка — Start CTF.
Результат
✔ Члены продуктовых команд на практике узнали, как современные уязвимости используются для взлома реальных систем.
✔ Улучшилась вовлеченность и коммуникация между членами продуктовых команд и экспертами по ИБ.
✔ Команда мотивирована уделять внимание вопросам безопасности. Каждый участник осознанно применяет правила безопасной разработки к своим системам и продуктам.
✔ Успешно пройден аудит PCI DSS в одном из подразделений, которое отвечает за обработку платежных данных.
✔ Улучшилась вовлеченность и коммуникация между членами продуктовых команд и экспертами по ИБ.
✔ Команда мотивирована уделять внимание вопросам безопасности. Каждый участник осознанно применяет правила безопасной разработки к своим системам и продуктам.
✔ Успешно пройден аудит PCI DSS в одном из подразделений, которое отвечает за обработку платежных данных.
Заявка на демонстрацию Start CTF
Ответим на вопросы и проведем демонстрацию основных сценариев работы тренажера
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.
Заказать демонстрацию Start CTF
Наш специалист проведет для вас демонстрацию основных сценариев работы тренажера
