Как стать автором
Обновить
14
Карма
0
Рейтинг
Иван Елкин (@vankyv3r) @i-elkin

Application Security Lead

Leak-Search: как и зачем QIWI создала сервис, который ищет утечки исходных кодов компаний

Блог компании QIWI Информационная безопасность *IT-компании

Искать утечки и уязвимости в своих продуктах не только интересно и полезно, но и необходимо. Еще полезнее подключать к таким поискам внешних специалистов и энтузиастов, у которых не настолько замылен глаз, как у сотрудников. Поэтому в свое время мы в QIWI запустили программу bug bounty — исследователи писали нам об уязвимостях и получали вознаграждение, а мы — закрывали эти уязвимости. 

Несколько раз нам присылали выложенный в публичный доступ код в виде ссылок на репозитории с чувствительной информацией. Причины утечек могли быть такими:

- разработчик писал тестовый пример кода для себя, используя конфигурации “боевого” сервиса — не тестовую среду;

- админ выкладывал скрипты автоматизации и миграции базы данных — потенциально чувствительной информации;

- стажер неосознанно размещал код в своем публичном репозитории, считая, что это не несет рисков.

- Бывали случаи, когда уже не работающий в компании сотрудник размещал в открытом репозитории код, который когда-то брал домой, чтобы поработать с ним в свободное время. Казалось бы — звучит безобидно, но внутри такого кода вполне могли быть пароли от базы данных, конфигурации сетей или какая-то бизнес-логика, — в общем, чувствительная для компании информация, которой не должно быть в публичном доступе. 

Как показывает практика, большинство компаний уже неплохо защищены от внешних угроз — и наибольший вред может нанести именно внутренняя утечка. При этом такая утечка может случиться как злонамеренно, так и по случайности  — а это как раз то, о чем мы сказали выше.

И в целом безопасность компаний — не абсолютна: хорошо защищая свой периметр и информационные системы с помощью с помощью Firewall, SOC, IDS/IPS и сканеров безопасности, компании все равно подвержены многим источникам утечек — от внешней разработки и аудиторов до вендорских решений. Конечно, невозможно отвечать за безопасность других компаний, но мониторить случаи утечки вашей информации с их стороны — можно и нужно.

Поэтомы мы озаботились вопросом утечек по всем источникам. Автоматизировав их поиск, мы сначала сделали продукт для себя, а теперь готовы предлагать его рынку. Так появился QIWI Leak-Search — сервис, который ищет утечки вашего кода на Github и не только. 

Как мы его делали и что он умеет — читайте в посте.

Читать далее
Всего голосов 20: ↑17 и ↓3 +14
Просмотры 5.1K
Комментарии 8

QIWI Security Development Lifecycle

Блог компании QIWI Информационная безопасность *Тестирование IT-систем *
Из песочницы

В определенный момент в жизни почти каждой финтех-компании настает время, когда количество приложений внутренней разработки начинает превышать число разработчиков, бизнес хочет больше новых фич, а на Bug Bounty продолжают сдавать все новые и новые уязвимости…


Но при этом есть потребность быстро выпускать качественное и безопасное ПО, а не тушить пожары от выявленных ошибок безопасности откатами версий и ночными хотфиксами.


Когда команда ИБ состоит из пары человек, кажется, что так будет всегда, но мы решили выжать из ситуации максимум позитива и раз и навсегда "засекьюрить" свои приложения.


С чего начать? Наш план был прост:


  1. Упорядочить процессы постановки, исполнения и выпуска задач, не став палкой в колесах разработки.
  2. Прикрутить модные сканеры безопасности.
  3. Отревьюить пару десятков приложений.
  4. Откинуться в кресле, наблюдая за тем, как это все само работает.

image
Читать дальше →
Всего голосов 18: ↑18 и ↓0 +18
Просмотры 9.6K
Комментарии 7

Информация

В рейтинге
Не участвует
Откуда
Россия
Работает в
Зарегистрирован
Активность