Центр кибербезопасности УЦСБ провел анализ защищенности внешнего периметра сети платформы "еКредит"
| Заказчики: ЕКредит (eCredit) Финансовые услуги, инвестиции и аудит Подрядчики: Уральский центр систем безопасности (УЦСБ) Продукт: Проекты внешнего аудита ИТ и безопасности (в тч PCI DSS и СУИБ)Дата проекта: 2023/11 — 2024/05
|
Технология: ИБ - Антивирусы
Технология: ИБ - Антиспам
Технология: ИБ - Аутентификация
Технология: ИБ - Межсетевые экраны
Технология: ИБ - Предотвращения утечек информации
Технология: ИБ - Резервное копирование и хранение данных
Технология: ИБ - Средства шифрования
|
2024: Проведение анализа защищенности внешнего периметра сети
Эксперты Центра кибербезопасности УЦСБ провели анализ защищенности внешнего периметра сети платформы еКредит — SaaS-платформы кредитования и страхования для дилерских сетей по продаже автомобилей. Об этом УЦСБ сообщил 4 июня 2024 года. Проект был направлен на повышение уровня защищенности цифровых ресурсов еКредит и стал плановой мерой в обеспечении информационной безопасности популярного ресурса.
Сервис еКредит объединяет предложения банков по кредитам и страховкам, предоставляя возможность удобного расчета и оформления кредита. Еще одна значимая и не такая очевидная составляющая сервиса – надежная защита персональных данных клиентов, охота за которыми ведется киберпреступниками в режиме 24х7. Для проведения планового анализа защищенности внешнего периметра сети web-платформы еКредит обратился в Центр кибербезопасности УЦСБ. Эксперты провели анализ защищенности от внешних проникновений, нашли все текущие и потенциальные уязвимости, сформировали рекомендации по повышению уровня защищенности платформы.
Проведение анализа защищенности сети с помощью тестирований на проникновение, или пентестов, – одна из ключевых экспертиз Центра кибербезопасности УЦСБ.
 | Пентесты представляет собой подконтрольную имитацию хакерской атаки, проводимую с целью обнаружения уязвимостей в безопасности и их дальнейшего предотвращения. Для еКредит нужно было провести проверку защищенности внешнего периметра всех многочисленных API-сервисов платформы без доступа к учетным данным администраторов и пользователей, т.е. спланировать пентесты по методу «черного ящика, — сказал Прохор Садков, руководитель направления «Анализ защищенности» УЦСБ. |  |
Другими особенностями проекта стали соблюдение специального графика работы и наличие параллельного процесса переноса части сервисов платформы на новые ресурсы. На старте проекта была договоренность, что работы будут выполняться только с понедельника по четверг, не затрагивая напряженные с точки зрения количества визитов и регистраций на платформе пятницу и выходные дни. И также особое внимание команда УЦСБ уделила поэтапности и синхронизации выполнения работ, чтобы не навредить текущим бизнес-процессам компании, не помешать проводимой в это же время миграции некоторых приложений.
| | Мы строго соблюдаем закон о защите персональных данных клиентов, официально работаем с банками и страховыми компаниями, зарегистрированы в Реестре операторов Роскомнадзора. Все данные клиентов обрабатываются и хранятся в соответствии с Федеральным законом РФ № 152-ФЗ. Для нас важно также поддерживать высокий технический уровень защищенности наших ресурсов, поэтому такие работы считаем очень полезными, — отметил Максим Яшкин, руководитель проекта eКредит. | |
В рамках проекта фиксировались результаты каждого этапа проведенных тестирований. Команда УЦСБ в сжатые сроки выполнила внешний анализ защищенности — общий срок реализации проекта составил чуть больше месяца.
