Новые технологии Positive Technologies для защиты систем ДБО
Эксперты Positive Technologies приняли участие в работе шестого уральского форума «Информационная безопасность банков». На ключевом для специалистов по ИБ в банковской сфере мероприятии обсуждались проекты важнейших отраслевых документов и демонстрировались перспективные решения для противодействия IT-угрозам.
Одним из центральных событий форума стало выступление Артема Сычева, заместителя начальника ГУБЗИ Банка России. Представитель регулирующей организации анонсировал требования Банка России к обеспечению безопасности на всех этапах жизненного цикла банковских приложений. Документу рекомендует разработчикам и интеграторам проверять на ошибки безопасности исходный код ПО, придерживаться принципов безопасного программирования, контролировать развернутые системы на наличие уязвимостей, осуществлять анализ рисков до момента проектирования на стадии поставки бизнес-задачи.
В качестве примера проактивного подхода к безопасности платежных приложений, заложенного в требованиях Банка России, компании Positive Technologies и BSS (разработчик систем ДБО более чем для 1700 банков) представили на форуме результаты первого этапа технологического сотрудничества. Напомним, что в рамках исследования, проходившего в 2013 году, были всесторонне протестированы системы «ДБО BS-Client» и «ДБО BS-Client. Частный Клиент». Дмитрий Кузнецов, заместитель технического директора Positive Technologies, отметил: «По нашему опыту ошибки разработчиков значительно опаснее, чем традиционные уязвимости, связанные с конфигурациями и отсутствием обновлений. Эксперты Positive Technologies принимали активное участие в разработке требований Банка России, и я полагаю, что этот документ определит подходы к защите платежных приложений на ближайшие годы. В подобном ПО могут содержаться миллионы строчек кода, и это требует автоматизации поиска уязвимостей как на этапе проектирования, так и в ходе разработки и эксплуатации приложения».
Эффективность систем для защиты банковских приложений можно было оценить на секции «День практической безопасности» под председательством Алексея Лукацкого (Cisco), которая была посвящена расследованию инцидентов и противодействию киберпреступности в банковском секторе. Несколько десятков специалистов, ставших слушателями доклада «Анализ кода банковских приложений и обнаружение атак на них глазами блондинки», представленного Евгенией Поцелуевской, руководителем аналитической группы отдела анализа защищенности Positive Technologies, — имели возможность познакомиться с преимуществами и недостатками распространенных подходов к анализу защищенности веб-приложений (DAST, SAST, IAST). Евгения провела анализ защищенности типового официального сайта банка различными программными средствами, включая PT Application Inspector. Она обратила внимание на трудности, с которыми можно столкнуться при автоматизированном анализе банковских приложений, — в частности на проблемы, связанные с уязвимостями уровня бизнес-логики. Ведущая также показала, как можно использовать PT Application Firewall в качестве превентивного средства защиты веб-приложений, блокируя попытки эксплуатации уязвимостей. В реальной ситуации Application Firewall позволяет быстро обезопасить систему интернет-банкинга, когда разработчик системы ДБО еще не выпустил необходимые обновления.
Конференция, проходившая в Магнитогорске 17—22 февраля 2014 года, собрала представителей ведущих банковских организаций (включая руководителей Банка России), государственных органов (Роскомнадзора, ФСТЭК, Минкомсвязи, ФСБ и правоохранительных органов, Госдумы), платежных систем, телекоммуникационных операторов, профессиональных и бизнес-сообществ, компаний-вендоров (Oracle, SAP, Trend Micro, HP) и системных интеграторов («ДиалогНаука», «Информзащита»).