КонтактыКонтакты
На предыдущую страницу
#Security

Международный платежный сервис FINOM проверил безопасность веб-приложения с помощью теста на проникновение

По итогам пентеста FINOM показал высокий уровень защиты. Отчет ITGLOBAL.COM о проверке был принят и одобрен европейским банком-партнером FINOM.

О клиенте

FINOM — международная финансовая компания со штаб-квартирой в Амстердаме (Нидерланды). FINOM предлагает цифровые финансовые услуги для малого и среднего бизнеса: инвойсинг, мультибанкинг, виртуальные карты и не только.

Сейчас компания работает с клиентами из Италии, Франции и Германии; список стран будет расширяться.

Задача

Веб-портал FINOM — одностраничное веб-приложение (SPA) с личным кабинетом пользователей, среди которых и корпоративные клиенты. В личном кабинете хранятся данные разной степени важности: счета, информация о балансе, о банковских и кредитных картах, история платежей и т. д. Через личный кабинет руководитель может управлять всеми финансовыми процессами компании. Отсюда — повышенные требования к безопасности именно этого компонента веб-сервиса.

Андрей Вариков, CTO (ИТ-директор) FINOM:

«В Европе очень серьезные требования к защите персональных данных по GDPR (Регламент по защите персональных данных в Европейском союзе — прим. ред.). Мы серьезно относимся к этим требованиям, к работе с персональными данными относимся очень аккуратно, стараемся со всех сторон защищать. Несмотря на то, что FINOM — стартап, мы строим свою инфраструктуру так, чтобы обеспечить высокий уровень ИТ-безопасности».

FINOM обратились к ITGLOBAL.COM, чтобы оценить защищенность личного кабинета с помощью тестирования на проникновение. Было решено провести пентест по модели Black Box, когда у аудиторов есть только общедоступная информация. Пентест такого типа основан на максимально приближенной к реальности имитации кибератак злоумышленников — он помогает с высокой точностью оценить устойчивость веб-ресурсов ко взлому извне.

Выбор пентестера

По словам Андрея Варикова, в поиске компании-аудитора FINOM ориентировались на рейтинг пентестеров в профильных зарубежных каталогах, на сроки выполнения и стоимость услуги.

Отбор был тщательным. У ИТ-специалистов FINOM большой опыт в банковской сфере, они знают, как устроена защита банковских сервисов, как проводятся пентесты, что должен знать и уметь пентестер.

«Мы выбрали ITGLOBAL.COM по нескольким причинам, — отметил Андрей. — Основные: у вашей компании хороший рейтинг; плюс нам было важно сочетание цена-качество.

Подготовка

Перед началом работ FINOM предоставили пентестерам ITGLOBAL.COM доступы к тестовым серверам, на которых созданы предзаполненные аккаунты с учетными записями, виртуальными личными данными и счетами, а также сообщили адреса production-серверов.

Вместе с тем специалисты ITGLOBAL.COM не знали многих деталей о том, как именно организованы процессы ИБ у клиента. А в этом аспекте FINOM — одна из образцовых компаний на рынке финтеха.

  • Для защиты веб-приложения используется проверенный набор инструментов: протокол HTTPS и SSL-сертификат, а на стороне клиента — 2-факторная аутентификация при входе в личный кабинет (СМС или пуш-уведомления).
  • У компании хорошо организована защита контура. Подключиться к внутренней сети можно только через VPN. Доступ к выкладке кода есть только у нескольких разработчиков — самых ответственных в QA-команде. Каждая выкладка проходит подробное ревью на соответствие не только бизнес-логике, но и политике безопасности. Ни у одного из разработчиков нет ключей от production-сервера; сами ключи хранятся в отдельном хранилище с ограниченным доступом для администраторов.

Процесс тестирования

  • Пентестеры провели рекогносцировку веб-приложения FINOM по публичным источникам;
  • определили уровень защищенности площадки, на которой размещено приложение, проанализировали безопасность ее настроек и конфигурацию;
  • смоделировали несколько разнотипных атак, чтобы выявить слабые места и возможность несанкционированного доступа к личному кабинету FINOM; для этого использовались методы ручного взлома и специализированные утилиты, которые применяют киберпреступники: Nmap, DirB, Sqlmap, Metasploit, Hydra и другие.

Результат

В ходе проверки было найдено несколько некритичных уязвимостей, которые клиент сразу устранил.

Александр Зубриков, руководитель направления информационной безопасности ITGLOBAL.COM:

«Уровень безопасности у FINOM довольно высокий. Мы нашли всего лишь одну уязвимость средней степени тяжести: у веб-сервера Nginx высвечивался номер версии ПО. Вполне вероятно, что в этой версии может быть незакрытая уязвимость. Если злоумышленник о ней знает, он может провести успешную атаку, вплоть до получения полного доступа к серверу. Но для этого, конечно, нужна очень высокая квалификация».

Как отметил Андрей Вариков, ИТ-команде FINOM было лестно узнать, что их веб-сервис действительно надежно защищен.

«В целом нам понравилось, как прошли работы, — сказал Андрей. — Ваши специалисты нас практически не отвлекали, всё дали самостоятельно. Они сразу поняли, чего мы хотим».

Аудиторы ITGLOBAL.COM подготовили подробный отчет о результатах тестирования. Документ был принят и одобрен одним из европейских банков-партнеров FINOM.

Планы

FINOM и ITGLOBAL.COM решили продолжить сотрудничество. На очереди — тестирование безопасности Android- и iOS-приложений платежного сервиса. Пентест такого рода включает анализ архитектуры приложения, проверку безопасности кода, ручное тестирование, фаззинг и другие методы.

Консультация по услугам