Эксперты Positive Technologies выступили на форуме «Информационная безопасность банков»

Эксперты Positive Technologies выступили на форуме «Информационная безопасность банков»

В ходе форума эксперты компании рассказали о развитии безопасности платежных приложений, а также продемонстрировали работу PT Application Firewall.

Эксперты Positive Technologies приняли участие в работе шестого уральского форума «Информационная безопасность банков». На ключевом для специалистов по ИБ в банковской сфере мероприятии обсуждались проекты важнейших отраслевых документов и демонстрировались перспективные решения для противодействия IT-угрозам.

Одним из центральных событий форума стало выступление Артема Сычева, заместителя начальника ГУБЗИ Банка России. Представитель регулирующей организации анонсировал требования Банка России к обеспечению безопасности на всех этапах жизненного цикла банковских приложений. Документу рекомендует разработчикам и интеграторам проверять на ошибки безопасности исходный код ПО, придерживаться принципов безопасного программирования, контролировать развернутые системы на наличие уязвимостей, осуществлять анализ рисков до момента проектирования на стадии поставки бизнес-задачи.

В качестве примера проактивного подхода к безопасности платежных приложений, заложенного в требованиях Банка России, компании Positive Technologies и BSS (разработчик систем ДБО более чем для 1700 банков) представили на форуме результаты первого этапа технологического сотрудничества. Напомним, что в рамках исследования , проходившего в 2013 году, были всесторонне протестированы системы «ДБО BS-Client» и «ДБО BS-Client. Частный Клиент».

Дмитрий Кузнецов, заместитель технического директора Positive Technologies, отметил: «По нашему опыту ошибки разработчиков значительно опаснее, чем традиционные уязвимости, связанные с конфигурациями и отсутствием обновлений. Эксперты Positive Technologies принимали активное участие в разработке требований Банка России, и я полагаю, что этот документ определит подходы к защите платежных приложений на ближайшие годы. В подобном ПО могут содержаться миллионы строчек кода, и это требует автоматизации поиска уязвимостей как на этапе проектирования, так и в ходе разработки и эксплуатации приложения».

От идеи к практике

Эффективность систем для защиты банковских приложений можно было оценить на секции «День практической безопасности» под председательством Алексея Лукацкого (Cisco), которая была посвящена расследованию инцидентов и противодействию киберпреступности в банковском секторе. Несколько десятков специалистов, ставших слушателями доклада «Анализ кода банковских приложений и обнаружение атак на них глазами блондинки», представленного Евгенией Поцелуевской, руководителем аналитической группы отдела анализа защищенности Positive Technologies, — имели возможность познакомиться с преимуществами и недостатками распространенных подходов к анализу защищенности веб-приложений (DAST, SAST, IAST).

Евгения провела анализ защищенности типового официального сайта банка различными программными средствами, включая PT Application Inspector. Она обратила внимание на трудности, с которыми можно столкнуться при автоматизированном анализе банковских приложений, — в частности на проблемы, связанные с уязвимостями уровня бизнес-логики.

Ведущая также показала, как можно использовать PT Application Firewall в качестве превентивного средства защиты веб-приложений, блокируя попытки эксплуатации уязвимостей. В реальной ситуации Application Firewall позволяет быстро обезопасить систему интернет-банкинга, когда разработчик системы ДБО еще не выпустил необходимые обновления.

Конференция, проходившая в Магнитогорске 17—22 февраля 2014 года, собрала представителей ведущих банковских организаций (включая руководителей Банка России), государственных органов (Роскомнадзора, ФСТЭК, Минкомсвязи, ФСБ и правоохранительных органов, Госдумы), платежных систем, телекоммуникационных операторов, профессиональных и бизнес-сообществ, компаний-вендоров (Oracle, SAP, Trend Micro, HP) и системных интеграторов («ДиалогНаука», «Информзащита»).

Positive Technologies — традиционный участник уральского форума. В прошлом году Евгения Поцелуевская проводила в Магнитогорске мастер-класс «Типичная атака на систему ДБО», используя в качестве демонстрационного стенда тестовую систему интернет-банкинга PHDays I-Bank, разработанную специалистами Positive Technologies.

Напоминаем, что 21 и 22 мая в Москве состоится международный форум по практической безопасности Positive Hack Days IV, значительная часть программы которого будет посвящена защите банковских приложений. Все способы попасть в число участников опубликованы на официальном сайте мероприятия.


Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.