Ёксперты Positive Technologies выступили на форуме Ђ»нформационна€ безопасность банковї

image

“еги: Positive Technologies, форум, приложение, application firewall

¬ ходе форума эксперты компании рассказали о развитии безопасности платежных приложений, а также продемонстрировали работу PT Application Firewall.

Ёксперты Positive Technologies прин€ли участие в работе шестого уральского форума «»нформационна€ безопасность банков». Ќа ключевом дл€ специалистов по »Ѕ в банковской сфере меропри€тии обсуждались проекты важнейших отраслевых документов и демонстрировались перспективные решени€ дл€ противодействи€ IT-угрозам.

ќдним из центральных событий форума стало выступление јртема —ычева, заместител€ начальника √”Ѕ«» Ѕанка –оссии. ѕредставитель регулирующей организации анонсировал требовани€ Ѕанка –оссии к обеспечению безопасности на всех этапах жизненного цикла банковских приложений. ƒокументу рекомендует разработчикам и интеграторам провер€ть на ошибки безопасности исходный код ѕќ, придерживатьс€ принципов безопасного программировани€, контролировать развернутые системы на наличие у€звимостей, осуществл€ть анализ рисков до момента проектировани€ на стадии поставки бизнес-задачи.

¬ качестве примера проактивного подхода к безопасности платежных приложений, заложенного в требовани€х Ѕанка –оссии, компании Positive Technologies и BSS (разработчик систем ƒЅќ более чем дл€ 1700 банков) представили на форуме результаты первого этапа технологического сотрудничества. Ќапомним, что в рамках исследовани€, проходившего в 2013 году, были всесторонне протестированы системы ЂƒЅќ BS-Clientї и ЂƒЅќ BS-Client. „астный  лиентї.

ƒмитрий  узнецов, заместитель технического директора Positive Technologies, отметил: Ђѕо нашему опыту ошибки разработчиков значительно опаснее, чем традиционные у€звимости, св€занные с конфигураци€ми и отсутствием обновлений. Ёксперты Positive Technologies принимали активное участие в разработке требований Ѕанка –оссии, и € полагаю, что этот документ определит подходы к защите платежных приложений на ближайшие годы. ¬ подобном ѕќ могут содержатьс€ миллионы строчек кода, и это требует автоматизации поиска у€звимостей как на этапе проектировани€, так и в ходе разработки и эксплуатации приложени€ї.

ќт идеи к практике

Ёффективность систем дл€ защиты банковских приложений можно было оценить на секции Ђƒень практической безопасностиї под председательством јлексе€ Ћукацкого (Cisco), котора€ была посв€щена расследованию инцидентов и противодействию киберпреступности в банковском секторе. Ќесколько дес€тков специалистов, ставших слушател€ми доклада Ђјнализ кода банковских приложений и обнаружение атак на них глазами блондинкиї, представленного ≈вгенией ѕоцелуевской, руководителем аналитической группы отдела анализа защищенности Positive Technologies, — имели возможность познакомитьс€ с преимуществами и недостатками распространенных подходов к анализу защищенности веб-приложений (DAST, SAST, IAST).

≈вгени€ провела анализ защищенности типового официального сайта банка различными программными средствами, включа€ PT Application Inspector. ќна обратила внимание на трудности, с которыми можно столкнутьс€ при автоматизированном анализе банковских приложений, Ч в частности на проблемы, св€занные с у€звимост€ми уровн€ бизнес-логики.

¬едуща€ также показала, как можно использовать PT Application Firewall в качестве превентивного средства защиты веб-приложений, блокиру€ попытки эксплуатации у€звимостей. ¬ реальной ситуации Application Firewall позвол€ет быстро обезопасить систему интернет-банкинга, когда разработчик системы ƒЅќ еще не выпустил необходимые обновлени€.

 онференци€, проходивша€ в ћагнитогорске 17Ч22 феврал€ 2014 года, собрала представителей ведущих банковских организаций (включа€ руководителей Ѕанка –оссии), государственных органов (–оскомнадзора, ‘—“Ё , ћинкомсв€зи, ‘—Ѕ и правоохранительных органов, √осдумы), платежных систем, телекоммуникационных операторов, профессиональных и бизнес-сообществ, компаний-вендоров (Oracle, SAP, Trend Micro, HP) и системных интеграторов (ЂƒиалогЌаукаї, Ђ»нформзащитаї).

Positive Technologies Ч традиционный участник уральского форума. ¬ прошлом году ≈вгени€ ѕоцелуевска€ проводила в ћагнитогорске мастер-класс Ђ“ипична€ атака на систему ƒЅќї, использу€ в качестве демонстрационного стенда тестовую систему интернет-банкинга PHDays I-Bank, разработанную специалистами Positive Technologies.

Ќапоминаем, что 21 и 22 ма€ в ћоскве состоитс€ международный форум по практической безопасности Positive Hack Days IV, значительна€ часть программы которого будет посв€щена защите банковских приложений. ¬се способы попасть в число участников опубликованы на официальном сайте меропри€ти€.


или введите им€

CAPTCHA