курс цб на 24.11:
58.4622
69.1783

Новые технологии Positive Technologies для защиты систем ДБО

11 марта 2014 10:04 Количество просмотров80 просмотров

Одним из центральных событий форума стало выступление Артема Сычева, заместителя начальника ГУБЗИ Банка России. Представитель регулирующей организации анонсировал требования Банка России к обеспечению безопасности на всех этапах жизненного цикла банковских приложений. Документу рекомендует разработчикам и интеграторам проверять на ошибки безопасности исходный код ПО, придерживаться принципов безопасного программирования, контролировать развернутые системы на наличие уязвимостей, осуществлять анализ рисков до момента проектирования на стадии поставки бизнес-задачи. 

В качестве примера проактивного подхода к безопасности платежных приложений, заложенного в требованиях Банка России, компании Positive Technologies и BSS (разработчик систем ДБО более чем для 1700 банков) представили на форуме результаты первого этапа технологического сотрудничества. Напомним, что в рамках исследования, проходившего в 2013 году, были всесторонне протестированы системы «ДБО BS-Client» и «ДБО BS-Client. Частный Клиент». Дмитрий Кузнецов, заместитель технического директора Positive Technologies, отметил: «По нашему опыту ошибки разработчиков значительно опаснее, чем традиционные уязвимости, связанные с конфигурациями и отсутствием обновлений. Эксперты Positive Technologies принимали активное участие в разработке требований Банка России, и я полагаю, что этот документ определит подходы к защите платежных приложений на ближайшие годы. В подобном ПО могут содержаться миллионы строчек кода, и это требует автоматизации поиска уязвимостей как на этапе проектирования, так и в ходе разработки и эксплуатации приложения». 
Эффективность систем для защиты банковских приложений можно было оценить на секции «День практической безопасности» под председательством Алексея Лукацкого (Cisco), которая была посвящена расследованию инцидентов и противодействию киберпреступности в банковском секторе. Несколько десятков специалистов, ставших слушателями доклада «Анализ кода банковских приложений и обнаружение атак на них глазами блондинки», представленного Евгенией Поцелуевской, руководителем аналитической группы отдела анализа защищенности Positive Technologies, — имели возможность познакомиться с преимуществами и недостатками распространенных подходов к анализу защищенности веб-приложений (DAST, SAST, IAST). Евгения провела анализ защищенности типового официального сайта банка различными программными средствами, включая PT Application Inspector. Она обратила внимание на трудности, с которыми можно столкнуться при автоматизированном анализе банковских приложений, — в частности на проблемы, связанные с уязвимостями уровня бизнес-логики. Ведущая также показала, как можно использовать PT Application Firewall в качестве превентивного средства защиты веб-приложений, блокируя попытки эксплуатации уязвимостей. В реальной ситуации Application Firewall позволяет быстро обезопасить систему интернет-банкинга, когда разработчик системы ДБО еще не выпустил необходимые обновления. 
Конференция, проходившая в Магнитогорске 17—22 февраля 2014 года, собрала представителей ведущих банковских организаций (включая руководителей Банка России), государственных органов (Роскомнадзора, ФСТЭК, Минкомсвязи, ФСБ и правоохранительных органов, Госдумы), платежных систем, телекоммуникационных операторов, профессиональных и бизнес-сообществ, компаний-вендоров (Oracle, SAP, Trend Micro, HP) и системных интеграторов («ДиалогНаука», «Информзащита»). 
По материалам Positive Technologies



В рубриках:
Digital banking
Лента новостей
Digital banking
Digital banking Альфа-Банк: счет в пользу семьи
20 ноября 2017 10:55
Количество просмотров 241 просмотр
Мероприятия Teradata Форум 2017 прошел в Москве
20 ноября 2017 08:31
Количество просмотров 281 просмотр
Банки и МФО Qiwi приобрела Рокетбанк и «Точку»
17 ноября 2017 15:15
Количество просмотров 837 просмотров