Security Lab

Открой процессинг, и люди к тебе потянутся

Открой процессинг, и люди к тебе потянутся

Чем более закрыта система и чем меньше людей знает, что у нее внутри, и имеет доступ к администрированию, тем она безопаснее и защищеннее, верно

image

Чем более закрыта система и чем меньше людей знает, что у нее внутри, и имеет доступ к администрированию, тем она безопаснее и защищеннее, верно? Вы наверняка такое слышали, причем от больших компаний и особенно — в мире финтеха. Ведь деньги и данные пользователей — это чувствительная тема, поэтому процессинг должен быть максимально закрыт, а у его создателей NDA толщиной с кирпич. А то и два.

На самом деле, все может работать совсем по-другому.

Подход «Защищенность через закрытость» работает только на бумаге у тех, кто его пропагандирует. В реальности, чем более закрыта система и чем меньше про нее известно — тем дольше можно эксплуатировать уязвимости, которые удалось найти год назад, и, конечно, зарабатывать на них.

Меня зовут Антон и я CTO в RBK.money. Мы трансформировали наш подход к безопасности, и я не только про нашу программу bug bounty . Штука, безусловно, полезная, но не так хорошо приводящая к безопасности, как полная открытость системы. Да, да, наш процессинг полностью открыт , так как мы уверены, что максимальная открытость — ключ к его совершенству и защищенности.

Судите сами, все просто. Один продукт разрабатывается командой специалистов по информационной безопасности, допустим, 100 человек трудятся, максимально закрывая каждую щель, блокируя всё, до чего могут дотянуться. В итоге получают коробочное проприетарное решение с закрытым кодом, о специфике которого знают только они.

Другой продукт выкладывается в opensource и его кодовая база подвергается активному изучению десятков тысяч программистов, разработчиков и хакеров, для которых дело чести первыми найти там какой-то изъян. Да, иногда профессиональная гордость и эго срабатывает куда круче, чем премия за очередной установленный файрволл.

В итоге у второго продукта будут оперативно закрыты даже те дыры, о которых никто не подозревал. В отличие от первого.

Собственно, мы поэтому и пришли на The Standoff со своим процессингом — наш продукт станет основной платежной экосистемой в виртуальном городе. Именно над ней будут стараться получить контроль команды нападения. Я верю, из этой кибербитвы мы в любом случае выйдем победителями – более гибкими, совершенными и адаптированными к самым разным киберугрозам. Поэтому приходите и попробуйте его сломать или посмотрите, как его будут пробовать сломать в режиме whitebox.


Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.