Обеспечение безопасности бизнес-приложений: E-commerce, БД, банкинг
Под Web-приложением понимают решения в основе которых лежит взаимодействие браузера и Web-сервера. Преимущества Web-приложений заключаются в том, что они доступны с любого устройства, включая мобильные и стационарные, и не требуют установки дополнительного программного обеспечения.
Основные угрозы безопасности Web-приложениям связаны с получением несанкционированного доступа к серверной части (серверам приложений, базам данных и т.д.) с которыми пользователь осуществляет взаимодействие. Также следует понимать, что угрозы могут возникать как от внешних, так и внутренних злоумышленников.
Таким образом, к основным угрозам Web-приложений можно отнести:
- DDoS-атаки
- Уязвимости программного обеспечения
- Нелегитимный трафик или трафик ботов
Для устранения данных угроз и обеспечения безопасного функционирования Web-приложений мы предлагаем следующие решения:
- Средства защиты от DDoS атак
- Шлюз безопасности (UTM)
- Web Application Firewall (WAF)
- Сканер уязвимостей
- Проведение аудита серверной инфраструктуры и прикладного ПО
- Тестирование на проникновение
Отдельно стоит рассматривать угрозы, направленные на хищение информации из баз данных.
В основном выделяют следующие виды угроз:
- Действия злоумышленников, направленные на искажение, хищение и уничтожение информации, находящейся в базе данных
- Сбои и отказы оборудования
- Воздействие вредоносного ПО
- Несанкционированный доступ со стороны внешних источников, например, потребителей
- Несанкционированный доступ администраторов и разработчиков
В качестве мер защиты мы предлагаем:
- Аудит СУБД и дальнейшее внедрение систем защиты. Например, таких как:
- Управление привилегированным доступом (PAM)
- СЗИ от НСД, в случае использования в системах, требующих соответствия требованиям регуляторов
- Использование специализированных средств защиты СУБД
- Антивирусные решения
- Разработка комплекса мероприятий по защиты системы виртуализации, в случае её использования
- Планирование среды разработки и тестирования
- Проработка замкнутой программной среды, для минимизации угроз со стороны внешних источников
- Планирование процедур и среды резервного копирования
- Внедрение системы мониторинга
Защита банкинга также зависит от актуальных угроз информационной безопасности, но при этом дополнительно регулируется Банком России, что накладывает ограничения в выборе средств защиты информации для некоторых систем и процессов.
Основными положениями по защите информации являются:
- СТО БР ИББС-1.1-2007. Аудит информационной безопасности
- СТО БР ИББС-1.2-2010. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2010
- ГОСТ Р 57580.1-2017. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер
- Положение Банка России от 09.06.2012 N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
Для многих специалистов остается открытым вопрос о применимости 187-ФЗ «О безопасности критической информационной инфраструктуры» к банковской сфере. Этот закон действительно накладывает определенные требования, но чтобы понять применимость закона, нужно обратится к Постановлению правительства №127 от 8 Февраля 2018 г. «Об утверждении правил категорирования объектов критической информационной инфраструктуры …». в частности в пункте 5б, указано что требования распространяются к Системно значимым кредитным организациям список которых указан на сайте Банка России.
К угрозам банковских систем обычно относят следующие:
- Риски утечки информации
- Риски потери данных вследствие потери целостности
- Мошеннические действия клиентов банка
- Репутационные риски
- Целенаправленные атаки
- Внутренние нарушители
- Иные факторы, влияющие на доступность автоматизированной банковской системы, вследствие непредвиденных факторов (форс-мажор)
В качестве противодействия угрозам финансового сектора, мы предлагаем следующие решения:
- Защита мобильных устройств (MDM)
- Средства защиты класса Honeypot («приманки»)
- Средства для защиты от целевых атак
- Защита от утечек данных (DLP)
- Построение защищенных каналов связи
- Построение эшелонированного периметра сети
- Средства анализа защищенности
- Антивирусные средства
- Антифрод-системы
- SIEM системы
- Системы поиска и анализа уязвимостей