Международный платежный сервис FINOM проверил безопасность веб-приложения с помощью теста на проникновение
По итогам пентеста FINOM показал высокий уровень защиты. Отчет ITGLOBAL.COM о проверке был принят и одобрен европейским банком-партнером FINOM.
О клиенте
FINOM — международная финансовая компания со штаб-квартирой в Амстердаме (Нидерланды). FINOM предлагает цифровые финансовые услуги для малого и среднего бизнеса: инвойсинг, мультибанкинг, виртуальные карты и не только.
Сейчас компания работает с клиентами из Италии, Франции и Германии; список стран будет расширяться.
Задача
Веб-портал FINOM — одностраничное веб-приложение (SPA) с личным кабинетом пользователей, среди которых и корпоративные клиенты. В личном кабинете хранятся данные разной степени важности: счета, информация о балансе, о банковских и кредитных картах, история платежей и т. д. Через личный кабинет руководитель может управлять всеми финансовыми процессами компании. Отсюда — повышенные требования к безопасности именно этого компонента веб-сервиса.
Андрей Вариков, CTO (ИТ-директор) FINOM:
«В Европе очень серьезные требования к защите персональных данных по GDPR (Регламент по защите персональных данных в Европейском союзе — прим. ред.). Мы серьезно относимся к этим требованиям, к работе с персональными данными относимся очень аккуратно, стараемся со всех сторон защищать. Несмотря на то, что FINOM — стартап, мы строим свою инфраструктуру так, чтобы обеспечить высокий уровень ИТ-безопасности».
FINOM обратились к ITGLOBAL.COM, чтобы оценить защищенность личного кабинета с помощью тестирования на проникновение. Было решено провести пентест по модели Black Box, когда у аудиторов есть только общедоступная информация. Пентест такого типа основан на максимально приближенной к реальности имитации кибератак злоумышленников — он помогает с высокой точностью оценить устойчивость веб-ресурсов ко взлому извне.
Выбор пентестера
По словам Андрея Варикова, в поиске компании-аудитора FINOM ориентировались на рейтинг пентестеров в профильных зарубежных каталогах, на сроки выполнения и стоимость услуги.
Отбор был тщательным. У ИТ-специалистов FINOM большой опыт в банковской сфере, они знают, как устроена защита банковских сервисов, как проводятся пентесты, что должен знать и уметь пентестер.
«Мы выбрали ITGLOBAL.COM по нескольким причинам, — отметил Андрей. — Основные: у вашей компании хороший рейтинг; плюс нам было важно сочетание цена-качество.
Подготовка
Перед началом работ FINOM предоставили пентестерам ITGLOBAL.COM доступы к тестовым серверам, на которых созданы предзаполненные аккаунты с учетными записями, виртуальными личными данными и счетами, а также сообщили адреса production-серверов.
Вместе с тем специалисты ITGLOBAL.COM не знали многих деталей о том, как именно организованы процессы ИБ у клиента. А в этом аспекте FINOM — одна из образцовых компаний на рынке финтеха.
- Для защиты веб-приложения используется проверенный набор инструментов: протокол HTTPS и SSL-сертификат, а на стороне клиента — 2-факторная аутентификация при входе в личный кабинет (СМС или пуш-уведомления).
- У компании хорошо организована защита контура. Подключиться к внутренней сети можно только через VPN. Доступ к выкладке кода есть только у нескольких разработчиков — самых ответственных в QA-команде. Каждая выкладка проходит подробное ревью на соответствие не только бизнес-логике, но и политике безопасности. Ни у одного из разработчиков нет ключей от production-сервера; сами ключи хранятся в отдельном хранилище с ограниченным доступом для администраторов.
Процесс тестирования
- Пентестеры провели рекогносцировку веб-приложения FINOM по публичным источникам;
- определили уровень защищенности площадки, на которой размещено приложение, проанализировали безопасность ее настроек и конфигурацию;
- смоделировали несколько разнотипных атак, чтобы выявить слабые места и возможность несанкционированного доступа к личному кабинету FINOM; для этого использовались методы ручного взлома и специализированные утилиты, которые применяют киберпреступники: Nmap, DirB, Sqlmap, Metasploit, Hydra и другие.
Результат
В ходе проверки было найдено несколько некритичных уязвимостей, которые клиент сразу устранил.
Александр Зубриков, руководитель направления информационной безопасности ITGLOBAL.COM:
«Уровень безопасности у FINOM довольно высокий. Мы нашли всего лишь одну уязвимость средней степени тяжести: у веб-сервера Nginx высвечивался номер версии ПО. Вполне вероятно, что в этой версии может быть незакрытая уязвимость. Если злоумышленник о ней знает, он может провести успешную атаку, вплоть до получения полного доступа к серверу. Но для этого, конечно, нужна очень высокая квалификация».
Как отметил Андрей Вариков, ИТ-команде FINOM было лестно узнать, что их веб-сервис действительно надежно защищен.
«В целом нам понравилось, как прошли работы, — сказал Андрей. — Ваши специалисты нас практически не отвлекали, всё дали самостоятельно. Они сразу поняли, чего мы хотим».
Аудиторы ITGLOBAL.COM подготовили подробный отчет о результатах тестирования. Документ был принят и одобрен одним из европейских банков-партнеров FINOM.
Планы
FINOM и ITGLOBAL.COM решили продолжить сотрудничество. На очереди — тестирование безопасности Android- и iOS-приложений платежного сервиса. Пентест такого рода включает анализ архитектуры приложения, проверку безопасности кода, ручное тестирование, фаззинг и другие методы.