Привет!

Меня зовут Тема, я — действующий СТО, мы с моей командой разрабатываем собственные продукты по безопасности. До этого я работал пентестером, искал уязвимости в веб-приложениях и помогал защищать их командам разработки Uber, Yahoo, VK, Одноклассники, Mail.RU, Starbucks и других.

Мы с моей командой изучаем, как обучать и тренировать разработчиков не делать ошибок, и сразу писать эффективный и безопасный код.

Обычный подход к такому обучению — это курсы и, если повезет, какая-то практика. Но оказалось (сюрприз!) что обычные курсы никто из разработчиков до конца не проходит: времени нет, особого интереса тоже.

Мы попробовали обучать людей в игровом формате, и мне, конечно, сразу захотелось применить знакомый формат CTF — соревнований, в которых обычно участвуют хакеры. Оказалось, что все “хакерские” CTF, которые я видел и делал сам, не очень подходят для разработчиков и прочих не-безопасников. Задания там часто синтетические, упарываться в сложность никто не хочет (специфического скила нет), а связи с реальной работой почти не видно.

В итоге мы придумали такой формат CTF, который максимально реалистично имитирует бизнес-логику приложений — целого интернет-банка, и в которую легко погрузить не специалистов.

Выяснилось, что разработчики, QA- и DevOps-инженеры, аналитики и тестировщики очень даже готовы попробовать себя в роли хакеров, если им рассказать важные детали и показать примеры на вводном семинаре, объяснить бизнес-логику и дать систему, максимально похожую на реальный банк.

Команды разделились на два лагеря:
Один сразу стали кричать, что им “ничего не понятно”, но по ходу решения простых задач становились заинтересованными участниками и в итоге иногда решали даже самые сложные задачи.

Другие сразу активно брались за дело и даже троллили коллег, которым надо “все разжевать и положить в рот” — потому что настоящий крутан не боится разбираться в сложных инженерных задачах. По факту эти ребята чаще всего становились победителями и помогали другим разобраться в том, как нужно было проходить задания и почему важно писать безопасный код.

Все это помогает:
повысить вовлеченность и качество коммуникации в продуктовых командах;
дать команде почувствовать себя крутыми — теми, кто на практике может находить самые опасные уязвимости из всех, что существуют в современных приложениях;
мотивировать команду уделять внимание вопросам безопасности и в итоге делать защищенные приложения, которые не сможет взломать никакой реальный хакер.

Я расскажу о всех деталях и покажу алгоритм, который учитывает наш опыт и поможет вам запустить результативные и интересные CTF-соревнования в ваших командах, даже если там (пока) нет ни одного хакера.