«М.Видео» привлекла Positive Technologies для повышения безопасности сайта

«М.Видео», входящая в Группу «Самфар» Михаила Гуцериева, привлекла PT Application Inspector для автоматизированного анализа исходного кода веб-приложений. Решение компании Positive Technologies, специализирующейся на производстве программного обеспечения в сфере кибербезопасности, автоматизировало проверку кода. PT Application Firewall встроено в налаженный процесс непрерывного обновления онлайн-магазина ритейлера, что помогло существенно повысить качество и надёжность программного обеспечения в соответствии с требованиями информационной безопасности, а также ускорить выпуск и обновление веб-сервисов «М.Видео». Для клиентов и партнеров компания «М.Видео» развивает множество веб-сервисов, основной из которых — интернет-магазин техники и электроники с ежемесячной посещаемостью более 11 млн пользователей. В 2017 году доля онлайн-продаж в обороте компании достигала 20%, а в месяц в среднем совершалось около 300 тыс. транзакций. В рамках проекта по выстраиванию процесса безопасной разработки ПО перед специалистами компании встала задача автоматизации проверки кода. Ручной анализ при нарастающих объёмах кода стал невозможным: несколько команд разработчиков ежеквартально вносят порядка 140 изменений в разрабатываемое ПО. При таком объёме существовала вероятность появления в коде ошибок, которые могли привести к уязвимостям веб-ресурсов. Компания протестировала несколько решений, и только PT Application Inspector соответствовал предъявленным требованиям по глубине анализа, достоверности результатов и поддержке продукта вендором. В отличие от других решений PT Application Inspector позволяет анализировать безопасность ПО «М.Видео» на всех этапах его жизненного цикла, в том числе проводить тестирование на самом раннем этапе разработки. Это стало возможным благодаря комбинации в продукте трех методов анализа — статического, динамического и интерактивного. Для проверки найденных уязвимостей PT Application Inspector автоматически определяет условия выполнения возможной атаки, что помогает подтвердить опасность этих уязвимостей. Дополнительным преимуществом PT Application Inspector стало наличие в анализаторе большого количества фильтров, с помощью которых можно классифицировать найденные уязвимости. Благодаря этому специалисты по информационной безопасности и разработчики «М.Видео» могут работать только с актуальными угрозами, эффективно планируя процесс аудита и исправления уязвимостей. «Выбор покупателя в пользу того или иного магазина диктуется не только ценами, но и удобством – легко ли выбрать товар, оформить заказ, отследить статус. Лидерство «М.Видео» на рынке бытовой электроники обусловлено, в том числе, постоянным совершенствованием ИТ-систем и онлайн-магазина компании. Мы нуждались в автоматизированном решении, которое предоставляло бы максимально точные результаты проверки и на которое можно было бы полностью положиться в рамках уже налаженного у нас процесса непрерывного обновления сайта. Наглядная визуализация результатов анализа PT Application Inspector позволяет нам оперативно определять риски и принимать нужные меры в рамках обеспечения информационной безопасности. Внедрение также ускорило выпуск и обновление веб-сервисов. Вкупе это повлияло на удобство и надежность интернет-магазина компании — значимого элемента омниканальной модели сети», — сказал руководитель департамента информационной безопасности «М.Видео» Артём Кроликов. «В ходе наших исследований уязвимости выявляются практически во всех веб-приложениях — 94% из них позволяют осуществлять атаки на пользователей, а 20% открывают злоумышленникам доступ к персональным данным, — отметил Pами Мулейс, менеджер по продвижению PT Application Inspector компании Positive Technologies. — PT Application Inspector обеспечил команду "М.Видео" возможностью автоматически выявлять риски ИБ без отрыва от процесса производства ПО. Результатами проекта стали сокращение сроков и трудозатрат при выпуске ПО, улучшение качества исходного кода приложений, повышение осведомленности разработчиков в вопросах ИБ». Ссылка на источник