Основанный в 2003-м году, банк «Ренессанс Кредит» входит в ТОП-100 крупнейших российских банков и работает с 7 миллионами клиентов в России. География деятельности «Ренессанс Кредит» охватывает 68 регионов России. «Ренессанс Кредит» сотрудничает как с крупными федеральными розничными сетями, так и с небольшими региональными компаниями и торговыми сетями. Среди ключевых партнеров банка – «Связной», «Евросеть», «М.видео», «Медиа Маркт», а также ИОН и СтартМастер. Банк сотрудничает и с интернет-магазинами. Среди таких партнеров ENTER, Сотмаркет, E96.ru, Терминал, Шинтоп, Фотоплюс, RBT.ru и другие.
Задачи
В рамках проекта перед специалистами «Информзащиты» стояли следующие задачи:
- выявление уязвимостей в программном обеспечении системы ДБО банка;
- обнаружение возможных способов влияния на функционирование ДБО извне;
- категорирование выявленных уязвимостей и разработка организационно-технических рекомендаций по их устранению.
Потребности бизнеса
В конце августа 2014 года «Ренессанс Кредит» запустил обновленную версию интернет-банка. Перед вводом сервиса в промышленную эксплуатацию руководством банка было принято решение провести комплексный тест, позволяющий выявить наиболее критические уязвимости информационной системы, а также получить рекомендации по их устранению.
Решение
Работы включали несколько этапов:
- Составление методики тестирования в соответствии с международными отраслевыми практиками (OWASP Testing Guide, Microsoft SDLC Guide и др.) и следующими моделями нарушителей:
- внешний нарушитель из сети Интернет, не обладающий знаниями о тестируемой системе и правами в ней,
- внешний нарушитель из сети Интернет, обладающий правами и знаниями пользователя системы;
- Внешний анализ защищенности системы ДБО и ее окружения:
- поиск уязвимостей ресурсов внешнего сетевого периметра системы и их эксплуатация (SQL-инъекции, XSS, исполнение произвольного кода, ошибки бизнес-логики, слабая парольная политика и т.д.);
- проверка на наличие данных пользователей в открытом виде;
- выявление ошибок в реализации механизмов аутентификации пользователей (включая эвристический анализ, перебор паролей);
- выявление ошибок в реализации механизмов авторизации и разграничения доступа;
- оценка механизмов противодействия атакам на пользователей веб-приложений (межсайтовое выполнение сценариев, подделка запросов и т.п.);
- раскрытие конфиденциальной информации, в том числе – раскрытие информации об особенностях реализации функций приложения, используемых программных компонентах и прочей информации, облегчающей нарушителю организацию атаки;
- выявление ошибок в реализации доступных пользователю функций приложения;
- выявление ошибок в настройке операционной системы, веб-сервера, системы управления контентом и прочих компонентов веб-приложения;
- выявление потенциально-опасных модулей операционной системы, веб-серверов, системы управления контентом и прочих компонентов, и библиотек веб-приложения, требующих обновления или замены на аналог с целью предотвращения взлома и сбоев;
- тестирование окружения системы с точки зрения безопасности (конфигурации веб-сервера, СУБД, ОС, сетевого оборудования, прикладного ПО);
- Категорирование выявленных уязвимостей и разработка рекомендаций по их устранению;
- Разработка детализированного отчета, содержащего результаты работ и рекомендации.
Результат
В ходе проекта специалистами «Информзащиты» были разработаны рекомендации по повышению уровня безопасности интернет-банкинга, благодаря чему система ДБО и ее окружение стали более устойчивыми к различного рода кибератакам. В результате, новая версия интернет-банкинга «Ренессанс Кредит» была полностью подготовлена к эксплуатации по части информационной безопасности.