Эксперты Positive Technologies приняли участие в работе шестого уральского форума «Информационная безопасность банков». На ключевом мероприятии для специалистов по ИБ в банковской сфере обсуждались проекты важнейших отраслевых документов и демонстрировались перспективные решения для противодействия IT-угрозам.
Одним из центральных событий форума стало выступление Артема Сычева, заместителя начальника ГУБЗИ Банка России. Представитель регулирующей организации анонсировал требования Банка России к обеспечению безопасности на всех этапах жизненного цикла банковских приложений. Документ рекомендует разработчикам и интеграторам проверять на ошибки безопасности исходный код ПО, придерживаться принципов безопасного программирования, контролировать развернутые системы на наличие уязвимостей, осуществлять анализ рисков до момента проектирования на стадии поставки бизнес-задачи.
В качестве примера проактивного подхода к безопасности платежных приложений, заложенного в требованиях Банка России, компании Positive Technologies и BSS (разработчик систем ДБО более чем для 1700 банков) представили на форуме результаты первого этапа технологического сотрудничества. Напомним, что в рамках исследования, проходившего в 2013 году, были всесторонне протестированы системы «ДБО BS-Client» и «ДБО BS-Client. Частный Клиент».
Дмитрий Кузнецов, заместитель технического директора Positive Technologies, отметил: «По нашему опыту ошибки разработчиков значительно опаснее, чем традиционные уязвимости, связанные с конфигурациями и отсутствием обновлений. Эксперты Positive Technologies принимали активное участие в разработке требований Банка России, и я полагаю, что этот документ определит подходы к защите платежных приложений на ближайшие годы. В подобном ПО могут содержаться миллионы строчек кода, и это требует автоматизации поиска уязвимостей как на этапе проектирования, так и в ходе разработки и эксплуатации приложения».
Эффективность систем для защиты банковских приложений можно было оценить на секции «День практической безопасности» под председательством Алексея Лукацкого (Cisco), которая была посвящена расследованию инцидентов и противодействию киберпреступности в банковском секторе. Несколько десятков специалистов, ставших слушателями доклада «Анализ кода банковских приложений и обнаружение атак на них глазами блондинки», представленного Евгенией Поцелуевской, руководителем аналитической группы отдела анализа защищенности Positive Technologies, — имели возможность познакомиться с преимуществами и недостатками распространенных подходов к анализу защищенности веб-приложений (DAST, SAST, IAST).
Евгения провела анализ защищенности типового официального сайта банка различными программными средствами, включая PT Application Inspector. Она обратила внимание на трудности, с которыми можно столкнуться при автоматизированном анализе банковских приложений, — в частности на проблемы, связанные с уязвимостями уровня бизнес-логики.
Ведущая также показала, как можно использовать PT Application Firewall в качестве превентивного средства защиты веб-приложений, блокируя попытки эксплуатации уязвимостей. В реальной ситуации Application Firewall позволяет быстро обезопасить систему интернет-банкинга, когда разработчик системы ДБО еще не выпустил необходимые обновления.
Конференция, проходившая в Магнитогорске 17—22 февраля 2014 года, собрала представителей ведущих банковских организаций (включая руководителей Банка России), государственных органов (Роскомнадзора, ФСТЭК, Минкомсвязи, ФСБ и правоохранительных органов, Госдумы), платежных систем, телекоммуникационных операторов, профессиональных и бизнес-сообществ, компаний-вендоров (Oracle, SAP, Trend Micro, HP) и системных интеграторов («ДиалогНаука», «Информзащита»).
Positive Technologies — традиционный участник уральского форума. В прошлом году Евгения Поцелуевская проводила в Магнитогорске мастер-класс «Типичная атака на систему ДБО», используя в качестве демонстрационного стенда тестовую систему интернет-банкинга PHDays I-Bank, разработанную специалистами Positive Technologies.
Напоминаем, что 21 и 22 мая в Москве состоится международный форум по практической безопасности Positive Hack Days IV, значительная часть программы которого будет посвящена защите банковских приложений. Все способы попасть в число участников опубликованы на официальном сайте мероприятия.