Зачем «Азбуке вкуса» Standoff и bug bounty

Зачем «Азбуке вкуса» Standoff и bug bounty

Фокус внимания к ИТ-инновациям в ритейле по-прежнему в несколько раз ниже, чем в других сферах бизнеса. В то же время ритейл продолжает активно совершенствовать процессы покупок своих клиентов — внедряется все больше диджитал-решений, развиваются новые сервисы и методы оплаты. «Азбука вкуса» одной из первых на российском рынке стала активно развивать направление информационной безопасности. Мы постоянно следим за трендами и внедряем новые ИБ-решения.

image

Один из критичных элементов для бизнеса в современном ритейле — офлайн-магазин. Его бесперебойная работа зависит не только от сотрудников в торговом зале, но и от работы ИТ-инфраструктуры. Кассовый узел должен правильно посчитать сумму покупки и выдать чек, а также должен получать актуальные цены, рассчитывать бонусные баллы программы лояльности и многое другое. Поэтому нам было важно внедрить в кибергород именно кассовый узел с ERP-системой и программой лояльности, чтобы комплексно протестировать систему с точки зрения информационной безопасности.

Это уже второе участие компании в секции Standoff. В прошлом году мы вынесли огромный опыт — исправили уязвимости и подготовили инфраструктуру для нового «испытания». В этот раз мы ожидали, что команда атакующих подвергнет проверке как уже известный им функционал, так и новые возможности, разработанные за последний год. На деле ни один из рисков не был реализован командой атакующих. Конечно, в этом есть и плюсы, и минусы. Однозначным успехом было то, что нам удалось качественно закрыть все векторы возможных атак, выявленные в прошлом году. Но тогда мы задались вопросом: «У нас действительно нет уязвимостей или атакующие их просто не нашли?». Мы получили ответ во время участия во второй активности — Payment Village, эта секция открыла для нас новые векторы использования физических уязвимостей. Участники, которые пытались взломать наш физический кассовый узел показали высокий уровень подготовки и нестандартное мышление.

Очевидно, что современный ритейл не может обойтись без онлайн-ресурсов, как для клиентов (сайт и мобильное приложения), так и для работников (система логистики, интеграции, почта). Свежий взгляд со стороны, большое количество участников и прозрачная система выплаты вознаграждений стали основными причинами запуска в 2020 году собственной публичной программы. Следующим этапом было размещение на платформе HackerOne, однако в начале 2022 года она стала недоступна для России. Желание продолжить развивать это направление сохранялось, и мы ждали появления новых отечественных платформ. Когда мы изучали новые российские продукты, появляющиеся на рынке, мы смотрели на 3 основных критерия:

  1. Авторитетность вендора и его достижения на рынке информационной безопасности;
  2. Способы привлечения багхантеров;
  3. Функционал платформы.

Таким критериям отвечала новая платформа от Positive Technologies, и в мае этого года мы стали одними из первых её участников. Конечно, поначалу новая система имела свои недоработки, возникали небольшие трудности и ошибки. На сегодняшний день совместно с командой Positive Technologies мы существенно повысили скорость и качество обработки отчетов. Хочется отметить, что Positive Technologies провели большую работу, позволяющую тесно взаимодействовать с багханетрами, оперативно получать от них обратную связь по всей области программ, а не только в рамках своей. Отклик сообщества багхантеров и их заинтересованность очень важны для нас, это помогает развивать сообщество и делать безопаснее наши ИТ-продукты.

Standoff и Bug Bounty относительно новые активности на рынке информационной безопасности в России, но наряду с классическими подходами именно они позволяют выявить уязвимости на разных стадиях. Появление новых векторов атак стимулирует нас рассматривать процессы информационной безопасности с разных ракурсов и применять новые тактики, делая наши системы еще безопаснее для клиентов и сотрудников «Азбуки вкуса».

Реклама. Рекламодатель: ООО «Городской супермаркет», ОГРН 1023122770501

Pb3XmBtzsrfrgXfVvwJTCaJ568M29UKUCwPdNZE


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!