ПАО «Банк „Санкт-Петербург“»

Заказчик обратился с запросом на проведение анализа исходного кода критичных банковских приложений.

КЛИЕНТ

ПАО «Банк «Санкт-Петербург» — один из крупнейших российских частных банков. Банк предоставляет полный спектр банковских услуг физическим и юридическим лицам, работает с критически чувствительной информацией: данными клиентов, финансовыми транзакциями, платёжными инструментами. Банк находится под пристальным надзором Банка России и обязан соблюдать жёсткие требования регулятора в области информационной безопасности.

ОТРАСЛЬ

Банковский сектор и финансовые услуги. Требования Банка России обязывают финансовые организации тщательно анализировать защищённость исходного кода всех приложений. Предоставление детального отчёта с классификацией уязвимостей и наглядным отображением векторов атак является ключевым доказательством соблюдения этих требований.

ЗАДАЧА

Заказчик обратился с запросом на проведение анализа исходного кода критичных банковских приложений. Для выполнения проекта необходимо было решить ряд задач: обеспечить легальный доступ к коду и тестовому контуру в условиях строгого режима ИБ банка; воспроизвести сборку банковского ПО; задействовать инженеров, понимающих финансовую бизнес-логику, чтобы выявлять критичные уязвимости информационной безопасности, а не просто формальные нарушения coding standards; а также подготовить работающие proof-of-concept.

Ключевой вопрос, которым задаётся любой банк: что такое уязвимость в информационной безопасности применительно к банковским приложениям — это не только техническая ошибка в коде, но и ошибка бизнес-логики, способная нанести прямой финансовый ущерб.

ПРОБЛЕМАТИКА

  1. Ключевая проблематика связана с особой критичностью банковских приложений.
  2. Стандартные инструменты статического анализа способны выявить значительную часть технических уязвимостей, но они часто бессильны против ошибок бизнес- логики, которые в банковском ПО как раз являются наиболее опасными.
  3. Дополнительная сложность — режим работы с банком: ограниченный и строго регламентированный доступ к коду, необходимость работать в защищённом контуре.

РЕШЕНИЕ

Для решения задачи была применена методология комплексного покрытия — связка SAST, ручного анализа и DAST. Статический анализ (SAST) закрывает проблематику поиска уязвимостей непосредственно в коде. Ручной анализ в паре с динамическим тестированием (DAST) позволяет выявить уязвимости бизнес-логики. Для каждой найденной уязвимости был подготовлен PoC. По итогам работ был подготовлен детальный отчёт с классификацией уязвимостей по уровням критичности, описанием векторов атак и набором рекомендаций.

По сути, такой подход реализует полноценный пентест банковских приложений, охватывая как внешние, так и внутренние векторы атак, включая логику работы с транзакциями и авторизацией.

РЕЗУЛЬТАТЫ

  1. Банк получил не только точечные исправления и патчи, но и комплексную стратегию усиления безопасности приложений.
  2. Со стороны комплаенса — получено документальное подтверждение того, что банк выполнил требования по анализу защищённости исходного кода.
  3. Со стороны риск-менеджмента — выявлены конкретные уязвимости с оценкой их потенциального влияния на бизнес.

В перспективе развития проекта — выполнение дополнительных мероприятий по информационной безопасности в рамках требований Банка России (Положение 683-П, 716-П), что позволит банку поддерживать высокий уровень мониторинга и аудита информационной безопасности и оставаться в числе наиболее зрелых с точки зрения ИБ финансовых организаций.



Отзыв заказчика

Другие отзывы

5.0

ПАО "Ростелеком"

От лица команды обеспечения информационной безопасности единой сети передачи данных ПАО "Ростелеком" выражаю благодарность команде ООО "КРЕДО-С", которая принимала участие в проведении периодического контроля соответствия системы…

Благодарственное письмо
5.0

ООО "Мултон Партнерс"

ООО «Мултон Партнерс» выражает искреннюю признательность ООО «КРЕДО-С» за профессионализм и ответственный подход оказанных услуг. Хотели бы отметить высокую экспертность команды по тестированию на проникновение за проделанную ими…

Благодарственное письмо
5.0

ПАО "Тамбовский завод "Электроприбор"

Выражаем Вам огромную благодарность за качественно выполненные работы по совершенствованию системы информационной безопасности нашего предприятия. Ваш профессионализм и глубокие знания в совместной работе над проектами помогли…

Благодарственное письмо
5.0

ФГАОУВО "Самарский национальный исследовательский университет имени академика С.П. Королева"

От лица федерального государственного автономного образовательного учреждения высшего образования «Самарский национальный исследовательский университет имени академика С.П. Королева» (Самарский университет) выражаю благодарность…

Благодарственное письмо
5.0

ПАО "Тамбовский завод "Электроприбор"

Публичное акционерное общество «Тамбовский завод «Электроприбор» выражает свою благодарность ООО «КРЕДО-С» за оказание услуг по оценке уровня защищенности информационной инфраструктуры нашего предприятия. Хотим отметить…

Благодарственное письмо

Решаем такие же задачи для вашей инфраструктуры

Обсудим проект, сроки и стоимость под вашу ситуацию.

Обсудить проект →

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва