Positive Technologies
Новости

Банк «Санкт-Петербург» выбрал услуги Positive Technologies для повышения безопасности систем ДБО

31 января 2018

Профиль организации

  • Название: банк «Санкт-Петербург».
  • Отрасль: финансы.
  • Задача: регулярный анализ ДБО на уязвимости.
  • Решение: услуги по инструментальному анализу исходного кода веб-приложений.
  • Продукт: PT Аpplication Inspector.
  • Результат: выстроен регулярный процесс приемки кода.
Анатолий Скородумов,

начальник управления по обеспечению информационной безопасности банка «Санкт-Петербург»

«Мы предъявляем высокие требования к разработке ДБО — к качеству кода, скорости выявления и исправления уязвимостей, — так как для нас важно, чтобы все обновления ДБО были надежными и вовремя доходили до наших клиентов. Для проведения регулярного анализа защищенности мы обратились к экспертам Positive Technologies, которые имеют достоверный опыт в вопросах безопасности банковских систем».

Банк «Санкт-Петербург» — крупнейший банк Северо-Западного региона России. Он был основан в 1990 году и за прошедшие годы стал неотъемлемой частью финансово-экономической сферы этого региона страны. На 1 октября 2017 года в банке обслуживается 1 890 000 частных лиц и 51 000 компаний в 66 офисах в Санкт-Петербурге, Ленинградской области, Москве и Калининграде, включая представительство в Новосибирске. Банк занимает 18-е место по объему активов среди российских банков (по данным информационно-аналитического агентства «Интерфакс»).

Задача

Системы дистанционного банковского обслуживания существенно упрощают процедуру управления счетами, позволяют просматривать различную информацию по счету, формировать и отправлять в банк необходимые документы. Банк «Санкт-Петербург» регулярно совершенствует системы ДБО и уделяет особое внимание безопасности данных.

В модернизации систем ДБО банку помогают сторонние разработчики. Однако, несмотря на высокую квалификацию специалистов, всегда существует риск, что в обновленном приложении могут появиться критически опасные уязвимости. Согласно исследованию защищенности финансовых приложений, проведенному Positive Technologies в 2016 году, приложения, разработанные вендорами, в среднем содержат в два раза больше уязвимостей, чем разработанные банками самостоятельно. Их эксплуатация позволяет злоумышленникам проводить различные атаки, включая отказ в обслуживании и кражу персональных данных.

В связи с этим перед ИБ-службой банка «Санкт-Петербург» стояли задачи:

  • проведение периодического анализа защищенности приложений, разработанных подрядчиками, с целью выявления уязвимостей;
  • оценка возможности эксплуатации уязвимостей нарушителем и приоритизация уязвимостей по степени опасности для постановки задачи по исправлению кода разработчикам;
  • выработка рекомендаций, понятных разработчикам приложений, и проверка устранения выявленных уязвимостей.

Для обеспечения контроля защищенности разрабатываемых систем ДБО банку был необходим сервис по анализу исходного кода приложений. Для решения поставленных задач была выбрана услуга Positive Technologies по инструментальному анализу исходного кода веб-приложений.

Решение

Эксперты Positive Technologies предложили службе информационной безопасности банка регулярный анализ защищенности с использованием PT Application Inspector, предназначенного для автоматизации поиска уязвимостей.

На первом этапе проводится аудит исходного кода разрабатываемых веб-приложений систем ДБО с помощью PT Application Inspector. Далее эксперты отдела анализа защищенности Positive Technologies выполняют валидацию полученных результатов и готовят подробный аналитический отчет, который содержит оценку текущего уровня защищенности приложения, выводы по результатам автоматизированного сканирования, рекомендации по исправлению уязвимостей и повышению общего уровня защищенности приложения, а также примеры эксплуатации наиболее опасных уязвимостей.

Результаты

Служба информационной безопасности банка «Санкт-Петербург» проводит анализ защищенности приложения ежеквартально. Автоматизированный анализ позволил существенно сократить время анализа защищенности. Специалисты управления информационной безопасности банка смогли внедрить контроль исходного кода, разрабатываемого сторонними разработчиками, приложив минимальные усилия. Благодаря широким интеграционным возможностям PT Application Inspector исходные коды не покидали периметра банка, что позволило выполнить необходимые работы в кратчайший срок.

В дальнейших планах — внедрить комплексное решение направления Application Security.

Ключевые возможности

PT Application Inspector — анализатор защищенности исходного кода приложений. Это комплексное решение, которое:

  • работает на всех этапах жизненного цикла,
  • включает преимущества SAST, DAST, IAST,
  • выдает максимально точные результаты за счет автоматической проверки уязвимостей,
  • обеспечивает непрерывную защиту: интеграция с межсетевым экраном уровня приложений PT Application Firewall позволяет защитить приложение на время исправления кода.

Преимущества для экспертов по ИБ

  • Анализ кода на ранних стадиях разработки.
  • Автоматизация приемки кода.
  • Высокое качество и точность анализа.
  • Подробные отчеты для продуктивного взаимодействия с разработчиками.
  • ­Непрерывная таргетированная защита (в связке с PT Application Firewall).
  • Единое решение: PT AI работает со множеством платформ и языков.