Dlaczego testy bezpieczeństwa zawsze będą potrzebne – część 2

Felieton Dawida Bałuta, Cyber Security Directora TestArmy, część druga.

Zapraszamy do zapoznania się z częścią pierwszą tekstu tutaj.


 

Dawid Bałut

Pentester i Bug Hunter z dużym doświadczeniem, który dołączył do defensywnej strony mocy i przez ponad pół dekady pracował jako Architekt Bezpieczeństwa dla korporacji  z Doliny Krzemowej. Na co dzień buduje systemy zabezpieczeń, szkoli pracowników i automatyzuje wszelkie procesy  bezpieczeństwa.

 

 

 


W Test Army, chcemy zająć się poprawieniem globalnego stanu bezpieczeństwa, dotykając wielu elementów, jednak naszymi głównymi filarami są: przeprowadzanie efektywnych testów penetracyjnych, szkolenia dla programistów oraz uczenie firm jak wnieść ich bezpieczeństwo na kolejny poziom, na przykład w kompetentny sposób wprowadzając je w świat programów bug bounty.  Chcemy pracować nad tym, aby wiedza o bezpieczeństwie systemów i aplikacji była bardziej dostępna dla ciasnych budżetów firm, gdyż najważniejszym blokerem inicjatyw bezpieczeństwa w większości firm są pieniądze.

Firm nie stać na wydawanie setek tysięcy złotych na testy i szkolenia, które długoterminowo nie zwiększają poziomu bezpieczeństwa. My chcemy żeby każda inicjatywa związana z bezpieczeństwem była inwestycją o wysokiej rentowności.

Dołączam do TAG z misją, którą rozbijam na kilka elementów. Chcę zbudować elitarny zespół pentesterów, w którym współpracować będą najlepsi pentesterzy jakich w życiu poznałem. Chcemy pracować z ludźmi, dla których bezpieczeństwo to coś więcej niż tylko praca na etacie. Chcemy ludzi którzy są pasjonatami, mają poczucie misji pracując nad bezpieczeństwem i żyją po to, żeby dostarczać wartościowe rezultaty klientom. Wiemy, że tacy ludzie istnieją, dlatego chcemy stworzyć dla nich idealne środowisko pracy, połączyć ich potencjał i wspólnie pracować nad czymś co jest dla nas głęboko ważne.

 

Już teraz jesteśmy partnerami z niesamowicie zdolnymi i doświadczonymi specjalistami, lecz zamierzamy zjednoczyć ich jeszcze więcej. W branży bezpieczeństwa wyrosło w ciągu ostatnich kilku lat mnóstwo firm, które twierdzą, że przeprowadzają testy penetracyjne, ale tak naprawdę jakość ich usług nie zasługuje na miano pentestów. Tę tendencję widzę szczególnie jeśli mówimy o dużych korporacjach security, których marka opiera się na mocnym marketingu i pozycji zdobytej na początkach działalności (gdy jeszcze im zależało),  bardziej niż na wartości którą potrafią dostarczyć klientowi.


My pragniemy, żeby klient wchodząc z nami we współpracę otrzymał elitarnej jakości usługę, która w namacalny sposób zwiększy jego bezpieczeństwo w dłuższej perspektywie.

Drugim bardzo ważnym dla mnie elementem jest zwiększenie nakładów na edukację w temacie bezpieczeństwa kodu, aplikacji i całych systemów informatycznych. Niestety, niewiele jest szkół które w sposób kompetentny uczą studentów bezpieczeństwa, a komercyjne szkolenia z bezpieczeństwa są często drogie, a wiedza sformułowana w sposób niedostępny dla przeciętnego pracownika IT, który nie miał wcześniej do czynienia z bezpieczeństwem.

Ja, oprócz tego, że od lat jestem programistą, to większość kariery spędziłem w firmach mocno związanych z inżynierią oprogramowania. Daje mi to nie tylko bardzo dokładny pogląd na to z jakimi problemami rzeczywiście spotykają się firmy, ale także pozwala mi używać języka za pomocą którego mogę dotrzeć do programistów, sysadminów i całej gamy ludzi pracujących przy produkcji oprogramowania. Jeśli chcemy by nasze dane były bezpieczne, musimy zauważyć, że nie obędzie się bez dużych nakładów na edukację technicznych pracowników IT jak i nietechnicznego zarządu.  

Zawsze brakuje czasu, brakuje też przygotowanych w przystępny sposób materiałów z których mogą nauczyć się bezpieczeństwa nie poświęcając na to setek godzin. Programiści nie mają na to czasu ani w pracy ani po pracy. Wszystko sprowadza się do tego, doba nigdy nie będzie dłuższa. Oprócz wiedzy, firmy muszą otrzymać wygodne narzędzia i zasoby, nad czym też planujemy pracować.

Skupiamy się na tworzeniu środowiska, do którego może zgłosić się każda firma potrzebująca wysokiej jakości specjalistycznych usług. Dzięki temu, że jesteśmy zespołem weteranów branży security, którzy pracowali na różnych stanowiskach i w firmach o różnych profilach, jesteśmy w stanie pomóc w wielu aspektach, w formie usług konsultingowych. Skupiać będziemy się jednak na ofensywnej stronie bezpieczeństwa, tak żeby trzymać się blisko kręgu naszych najsilniejszych kompetencji.

 

Wiemy, że rzucamy się na głęboką wodę, co widać choćby po tym że liczbę firm o podobnym do naszego profilu na całym świecie można by policzyć na palcach jednej ręki. Jednak gdy bardzo ci na czymś zależy i chcesz żeby było to zrobione dobrze, to najlepiej gdy weźmiesz to w swoje ręce. Mocno wierzymy w to, jak i w to, że we współpracy ze świetnymi ludźmi jesteśmy w stanie zmienić świat bezpieczeństwa na lepsze.

Leave a comment

Your email address will not be published. Required fields are marked *