27.11.2014

Аудит информационной безопасности системы дистанционного банковского обслуживания (ДБО) банка «Ренессанс Кредит»

Дата окончания проекта:

01.06.2014

Заказчик:

Основанный в 2003-м году, банк «Ренессанс Кредит» входит в ТОП-100 крупнейших российских банков и работает с 7 миллионами клиентов в России. География деятельности «Ренессанс Кредит» охватывает 68 регионов России. «Ренессанс Кредит» сотрудничает как с крупными федеральными розничными сетями, так и с небольшими региональными компаниями и торговыми сетями. Среди ключевых партнеров банка – «Связной», «Евросеть», «М.видео», «Медиа Маркт», а также ИОН и СтартМастер. Банк сотрудничает и с интернет-магазинами. Среди таких партнеров ENTER, Сотмаркет, E96.ru, Терминал, Шинтоп, Фотоплюс, RBT.ru и другие.

Задачи:

В рамках проекта перед специалистами «Информзащиты» стояли следующие задачи:

  • выявление уязвимостей в программном обеспечении системы ДБО банка;
  • обнаружение возможных способов влияния на функционирование ДБО извне;
  • категорирование выявленных уязвимостей и разработка организационно-технических рекомендаций по их устранению.

Потребности бизнеса:

В конце августа 2014 года «Ренессанс Кредит» запустил обновленную версию интернет-банка. Перед вводом сервиса в промышленную эксплуатацию руководством банка было принято решение провести комплексный тест, позволяющий выявить наиболее критические уязвимости информационной системы, а также получить рекомендации по их устранению.

Решение:

Работы включали несколько этапов:

  • Составление методики тестирования в соответствии с международными отраслевыми практиками (OWASP Testing Guide, Microsoft SDLC Guide и др.) и следующими моделями нарушителей:
    • внешний нарушитель из сети Интернет, не обладающий знаниями о тестируемой системе и правами в ней,
    •  внешний нарушитель из сети Интернет, обладающий правами и знаниями пользователя системы;
  • Внешний анализ защищенности системы ДБО и ее окружения:
    • поиск уязвимостей ресурсов внешнего сетевого периметра системы и их эксплуатация (SQL-инъекции, XSS, исполнение произвольного кода, ошибки бизнес-логики, слабая парольная политика и т.д.);
    • проверка на наличие данных пользователей в открытом виде;
    • выявление ошибок в реализации механизмов аутентификации пользователей (включая эвристический анализ, перебор паролей);
    • выявление ошибок в реализации механизмов авторизации и разграничения доступа;
    • оценка механизмов противодействия атакам на пользователей веб-приложений (межсайтовое выполнение сценариев, подделка запросов и т.п.);
    • раскрытие конфиденциальной информации, в том числе – раскрытие информации об особенностях реализации функций приложения, используемых программных компонентах и прочей информации, облегчающей нарушителю организацию атаки;
    • выявление ошибок в реализации доступных пользователю функций приложения;
    • выявление ошибок в настройке операционной системы, веб-сервера, системы управления контентом и прочих компонентов веб-приложения;
    • выявление потенциально-опасных модулей операционной системы, веб-серверов, системы управления контентом и прочих компонентов, и библиотек веб-приложения, требующих обновления или замены на аналог с целью предотвращения взлома и сбоев;
    • тестирование окружения системы с точки зрения безопасности (конфигурации веб-сервера, СУБД, ОС, сетевого оборудования, прикладного ПО);
  • Категорирование выявленных уязвимостей и разработка рекомендаций по их устранению;
  • Разработка детализированного отчета, содержащего результаты работ и рекомендации.

Результат:

В ходе проекта специалистами «Информзащиты» были разработаны рекомендации по повышению уровня безопасности интернет-банкинга, благодаря чему система ДБО и ее окружение стали более устойчивыми к различного рода кибератакам. В результате, новая версия интернет-банкинга «Ренессанс Кредит» была полностью подготовлена к эксплуатации по части информационной безопасности.