В ходе проекта мы провели исследование крупного интернет-портала на соответствие банковским требованиям в направлении информационной безопасности. Данный кейс актуален при желании добавить на свой сайт аутентификацию с помощью одного из банков (ВТБ, СБЕР, Тиньков, Альфабанк или других).
Исходная ситуация
![Аудит сайта для прохождения банковской проверки](/upload/custom_projects_img/audit-sayta-dlya-prokhozhdeniya-bankovskoy-proverki_01.jpg)
Обратившаяся к нам организация ведет активную Интернет-деятельность и постоянное онлайн общение с посетителями своего сайта.
На портале клиента зарегистрировано более 100 000 пользователей.
Для повышения лояльности посетителей и увеличения показателей юзабилити сайта, заказчик принял решение расширить функционал веб-ресурса и добавить возможность входа пользователей в личный кабинет с помощью банковской авторизации.
Для интеграции своей системы аутентификации, банк предъявляет ряд требований к уровню информационной безопасности интернет-портала. Клиент должен предоставить подробный отчет о состоянии своего ресурса и быть готовым к его различным проверкам. ИТ-специалисты банка реализуют ряд пентестов, проверяя соответствие сайта эталонному уровню защиты от инцидентов.
Интеграция возможна только после успешного прохождения тестирования.
Чтобы быть уверенным в надежности своего сайта, компания должна в первую очередь заказать технический аудит веб-ресурса. Банки в большинстве случаев могут предоставить подобную услугу, однако время ожидания проведения исследования занимает от 3-х месяцев. Для ускорения данного процесса оптимальным решением является заказ аудита сайта у ИТ-интегратора. Поэтому клиент обратился с данным запросом к нам.
Задачи нашей рабочей группы исследования
- Реализовать аудит интернет-портала крупной компании;
- Предоставить подробный отчет по всем выявленным уязвимостям и составить подробную «дорожную карту» по их устранению для успешного прохождения проверок банковских ИТ-специалистов.
Реализация
Согласовав сроки и стоимость аудита, наши инженеры по безопасности приступили к работе, исследуя состояние веб-ресурса по следующему чек-листу:
- 1Физическое оборудование – процессор, память, дисковая система;
- 2OSINT исследование по внешним сканерам;
- 3Результаты сканирования сайта;
- 4Технический аудит сайта.
- 5Результаты сканирования сайта;
- 6Содержимое каталогов сайта, защита хранимой информации;
- 7Версии программного обеспечения (ОС, Web, CMS);
- 8Открытые порты и Firewall;
- 9Общая информация;
- 10Резервное копирование.
Выявленные проблемы портала
В ходе аудита было обнаружено множество уязвимостей, в том числе критичных. Далее мы опишем лишь некоторые из них.
Открытые порты
![Выявленные проблемы портала](/upload/custom_projects_img/audit-sayta-dlya-prokhozhdeniya-bankovskoy-proverki_0.jpg)
При ознакомлении с системой сайта и проведении OSINT-исследования была обнаружена критическая для безопасности ресурса ситуация — многие порты открыты ко внешнему доступу.
Клиенту сразу же озвучена данная проблема и предоставлен список рекомендаций по её устранению.
Устаревшее ПО
Самым очевидным слабым местом сайта было использование устаревших версий программного обеспечения. Портал клиента создавался 10 лет назад сторонними подрядчиками и за все время своего существования обновлялся в основном визуально.
Клиент использовал продукт «1С-Битрикс: Управление сайтом» версии 18.5.180, в то время как на момент обращения актуальной версией была 22.300.100. При этом кроме устаревшей системы, использовалась самая бюджетная лицензия продукта, не включающая модуль веб-антивируса, что представляло серьезную опасность для размещенных на сайте данных.
Отсутствие грамотно выстроенной системы резервного копирования
![Отсутствие грамотно выстроенной системы резервного копирования](/upload/custom_projects_img/audit-sayta-dlya-prokhozhdeniya-bankovskoy-proverki_03.jpg)
Резервное копирование данных происходило средствами CMS, выполнялось только локально внутри виртуальной машины, на которой находился весь сайт. Данный подход является неэффективным и стратегически неверным — при выходе из строя диска, будут потеряны все данные внутри ВМ, в том числе и бэкапы, созданные CMS.
Компания рисковала потерять всю информацию, хранящуюся на сайте безвозвратно.
Отсутствие мониторинга за состоянием систем Интернет-портала
Сайт клиента существовал без внешней или внутренней поддержки, что способствовало развитию нестабильной ситуации в направлении управления инцидентами. Из-за отсутствия какого-либо системного обслуживания, у руководства компании не было должного понимания о состоянии своего портала.
Результаты аудита
- 1Благодаря углубленному исследованию безопасности сайта, нашим инженерам удалось обнаружить целый ряд уязвимостей и недоработок;
- 2Для клиента предоставлена подробная отчетная документация, в которой перечислены проблемные места системы, а также составлен предпроектный план устранения выявленных уязвимостей;
- 3Используя выводы аудита клиент сможет подготовить свой интернет-ресурс к успешной проверке банком перед интеграцией системы авторизации пользователей.
Наши инженеры реализуют аудит безопасности сайта максимально эффективно и детально, что позволяет успешно пройти проверку любого банка. Наши аудиты помогли клиентам успешно интегрироваться со многими российскими банками, например: ВТБ, Сбер, Альфабанк, Тиньков.