Проект

Веб-приложения НПФ Сбербанка — под защитой решений Positive Technologies

Заказчики: Сбер НПФ (ранее НПФ Сбербанка)

Москва; Финансовые услуги, инвестиции и аудит

Продукт: PT Application Firewall
Второй продукт: PT Application Inspector (PT AI)

Дата проекта: 2017/03 — 2017/08
Технология: ИБ - Межсетевые экраны
подрядчики - 386
проекты - 1453
системы - 729
вендоры - 263

Содержание

17 октября 2017 года компания Positive Technologies сообщила о том, что НПФ Сбербанка выбрал решения компании для обеспечения непрерывной защиты как разрабатываемых, так и уже действующих сервисов.

Задачи проекта

Для своих клиентов фонд постоянно развивает линейку сервисов в сфере пенсионного обеспечения, активно используя приложения и веб-инструменты.

Цель проекта — ускорить выпуск приложений и внедрение дополнительных функций с учетом современных требований к кибербезопасности.

Защита веб-приложений и сопутствующих компонентов, используемых фондом, с помощью комплексного решения на базе PT Application Firewall и PT Application Inspector позволит обеспечить:

  • защиту от киберугроз;
  • оперативное проведение аудита кода во время приемки приложений от подрядчиков, выявление уязвимостей и верификацию возможности их эксплуатации;
  • в случае обнаружения уязвимостей — их оперативное «закрытие» до получения исправлений;
  • выработку рекомендаций по устранению выявленных уязвимостей для разработчиков.

Ход проекта

Как рассказал Pами Мулейс, менеджер по продвижению PT Application Inspector компании Positive Technologies, реализованная интеграция решений PT Application Firewall и PT Application Inspector позволила НПФ Сбербанка выстроить взаимодействие с подрядчиками в процессе создания безопасных корпоративных приложений, повысить качество внутренней разработки и обеспечить оперативный вывод на рынок сервисов, защитив сам фонд и его клиентов от современных киберугроз.

Итоги проекта

В ходе испытаний PT Application Firewall успешно противостоял распространенным угрозам по классификации OWASP и WASC, а также сложным клиентским атакам (DOM-based XSS). Также решение позволило ускорить приемку кода и повысить качество аудита: по отзыву заказчика, полный инструментальный анализ кода всех запланированных в НПФ Сбербанка к релизу приложений занял всего несколько дней вместе с верификацией уязвимостей.

Кроме того, специалисты НПФ Сбербанка теперь смогут блокировать веб-атаки, не дожидаясь исправлений уязвимостей в исходном коде. Это стало возможным за счет встроенного импорта файлов отчетов из PT Application Inspector в PT Application Firewall и системы проактивного патчинга.

«
Благодаря комплексному решению от Positive Technologies, использующему передовые технологии, мы смогли вывести на рынок сервисы, выстроив эффективный процесс взаимодействия разработки и службы ИБ, и обеспечили надежную защиту разрабатываемых и уже функционирующих приложений, — подвел итоги проекта Дмитрий Костиков, руководитель направления информационной безопасности НПФ Сбербанка.
»