В ходе проекта мы провели исследование крупного интернет-портала на соответствие банковским требованиям в направлении информационной безопасности. Данный кейс актуален при желании добавить на свой сайт аутентификацию с помощью одного из банков (ВТБ, СБЕР, Тиньков, Альфабанк или других).
Исходная ситуация
Обратившаяся к нам организация ведет активную Интернет-деятельность и постоянное онлайн общение с посетителями своего сайта.
На портале клиента зарегистрировано более 100 000 пользователей.
Для повышения лояльности посетителей и увеличения показателей юзабилити сайта, заказчик принял решение расширить функционал веб-ресурса и добавить возможность входа пользователей в личный кабинет с помощью банковской авторизации.
Для интеграции своей системы аутентификации, банк предъявляет ряд требований к уровню информационной безопасности интернет-портала. Клиент должен предоставить подробный отчет о состоянии своего ресурса и быть готовым к его различным проверкам. ИТ-специалисты банка реализуют ряд пентестов, проверяя соответствие сайта эталонному уровню защиты от инцидентов.
Интеграция возможна только после успешного прохождения тестирования.
Чтобы быть уверенным в надежности своего сайта, компания должна в первую очередь заказать технический аудит веб-ресурса. Банки в большинстве случаев могут предоставить подобную услугу, однако время ожидания проведения исследования занимает от 3-х месяцев. Для ускорения данного процесса оптимальным решением является заказ аудита сайта у ИТ-интегратора. Поэтому клиент обратился с данным запросом к нам.
Задачи нашей рабочей группы исследования
- Реализовать аудит интернет-портала крупной компании;
- Предоставить подробный отчет по всем выявленным уязвимостям и составить подробную «дорожную карту» по их устранению для успешного прохождения проверок банковских ИТ-специалистов.
Реализация
Согласовав сроки и стоимость аудита, наши инженеры по безопасности приступили к работе, исследуя состояние веб-ресурса по следующему чек-листу:
- 1Физическое оборудование – процессор, память, дисковая система;
- 2OSINT исследование по внешним сканерам;
- 3Результаты сканирования сайта;
- 4Технический аудит сайта.
- 5Результаты сканирования сайта;
- 6Содержимое каталогов сайта, защита хранимой информации;
- 7Версии программного обеспечения (ОС, Web, CMS);
- 8Открытые порты и Firewall;
- 9Общая информация;
- 10Резервное копирование.
Выявленные проблемы портала
В ходе аудита было обнаружено множество уязвимостей, в том числе критичных. Далее мы опишем лишь некоторые из них.
Открытые порты
При ознакомлении с системой сайта и проведении OSINT-исследования была обнаружена критическая для безопасности ресурса ситуация — многие порты открыты ко внешнему доступу.
Клиенту сразу же озвучена данная проблема и предоставлен список рекомендаций по её устранению.
Устаревшее ПО
Самым очевидным слабым местом сайта было использование устаревших версий программного обеспечения. Портал клиента создавался 10 лет назад сторонними подрядчиками и за все время своего существования обновлялся в основном визуально.
Клиент использовал продукт «1С-Битрикс: Управление сайтом» версии 18.5.180, в то время как на момент обращения актуальной версией была 22.300.100. При этом кроме устаревшей системы, использовалась самая бюджетная лицензия продукта, не включающая модуль веб-антивируса, что представляло серьезную опасность для размещенных на сайте данных.
Отсутствие грамотно выстроенной системы резервного копирования
Резервное копирование данных происходило средствами CMS, выполнялось только локально внутри виртуальной машины, на которой находился весь сайт. Данный подход является неэффективным и стратегически неверным — при выходе из строя диска, будут потеряны все данные внутри ВМ, в том числе и бэкапы, созданные CMS.
Компания рисковала потерять всю информацию, хранящуюся на сайте безвозвратно.
Отсутствие мониторинга за состоянием систем Интернет-портала
Сайт клиента существовал без внешней или внутренней поддержки, что способствовало развитию нестабильной ситуации в направлении управления инцидентами. Из-за отсутствия какого-либо системного обслуживания, у руководства компании не было должного понимания о состоянии своего портала.
Результаты аудита
- 1Благодаря углубленному исследованию безопасности сайта, нашим инженерам удалось обнаружить целый ряд уязвимостей и недоработок;
- 2Для клиента предоставлена подробная отчетная документация, в которой перечислены проблемные места системы, а также составлен предпроектный план устранения выявленных уязвимостей;
- 3Используя выводы аудита клиент сможет подготовить свой интернет-ресурс к успешной проверке банком перед интеграцией системы авторизации пользователей.
Наши инженеры реализуют аудит безопасности сайта максимально эффективно и детально, что позволяет успешно пройти проверку любого банка. Наши аудиты помогли клиентам успешно интегрироваться со многими российскими банками, например: ВТБ, Сбер, Альфабанк, Тиньков.