W bankach mamy do czynienia z aplikacjami webowymi, które mają dostarczać Klientom pełnej informacji na temat produktów banku i z aplikacjami, dzięki którym Klient wykonuje operacje w ramach bankowości internetowej.

Ze względu na wzrost zagrożenia cyberprzestępstwami wyłudzającymi dane Klientów, a także próbami włamań do aplikacji webowych zalecamy cykliczne wykonywanie testów podatności tych aplikacji. W czasie standardowego audytu bezpieczeństwa informacji wykonujemy audyt aplikacji internetowych na zasadzie testów white box. Testy te z reguły potwierdzają zabezpieczenie tych aplikacji na zadowalającym poziomie.

Szczególnie zalecamy wykonanie analiz aplikacji webowych w środowiskach testowych, które jednoznacznie potwierdzą stan ich bezpieczeństwa.

Należy pamiętać, że przy stale rozwijającym się ruchu sieciowym przy wykorzystaniu urządzeń mobilnych, stale wzrasta zapotrzebowanie Klientów na sprawne aplikacje, które zapewnią bezawaryjną i bezpieczną obsługę aplikacji bankowych.

Należy uświadomić sobie, że ataki na aplikacje odbywają się przez 24 godziny na dobę i nie uwzględniają dni świątecznych – wolnych od pracy. Stosowane standardowe zabezpieczenia jak zapory ogniowe, systemy wykrywania włamań i inne produkty zabezpieczające sieć, mogą nie powstrzymać zagrożeń pochodzących z  internetu co może skutkować przestojami w pracy, kradzieżami danych, naruszeniem bezpieczeństwa.

Jednym ze sposobów analizy bezpieczeństwa są testy koncentrujące się na ocenie bezpieczeństwa aplikacji pod kątem słabych punktów, wad technologicznych, luk w zabezpieczeniach i podatności, które mogą być furtką do ataku na aplikacje. Audyt kończy się wygenerowaniem raportu, w którym zdefiniowane są wszystkie słabe punkty aplikacji, jej podatności i braki technologiczne. Zawsze staramy się wskazać Klientowi najprostsze rozwiązanie, które szybko wyeliminuje stwierdzone luki w systemie.

Analiza podatności aplikacji i stron webowych prowadzona jest przy pomocy m.in.:

• narzędzi technologicznych wykorzystujących narzędzia open source jak i narzędzia komercyjne
• wykonywanie testów ręcznie – mapowanie aplikacji i testowanie logiczne. Aplikacje dzielone są na podstawowe moduły i obszary funkcjonalne. Następuje dogłębna analiza każdego modułu w celu identyfikacji plików, folderów i istniejących parametrów. Odbywa się mapowanie przepływu danych między komponentami wraz z ich relacjami logicznymi. Następnie symulowane są scenariusze potencjalnych podatności.
  

Skorelowanie i powiązanie tworzonej listy podatności następuje po zestawieniu danych z przeprowadzonych testów wykonanych ręcznie i automatycznie. Następnie, na dostępnej bazie występujących podatności, zostają opracowane odpowiednie profile zagrożeń. Następnie odbywa się kolejna analiza wsteczna prowadzona przez ekspertów, którzy ponownie analizują ewentualne słabe obszary, których nie wykryto podczas analizy automatycznej.

Jak działamy:

• automatycznie - wykorzystując skanery do badania podatności, problemów technicznych
• weryfikacja ręczna – brak fałszywych alarmów
• wykorzystujemy specjalistyczne narzędzia w zależności od infrastruktury docelowej
• wykorzystanie narzędzi komercyjnych oraz open source
• korelacja danych z wielu narzędzi i źródeł
• OWAPS top 10
• SANS TOP 20
• testowanie założeń koncepcyjnych
• zestawienie informacji dla poszczególnych aplikacji
• zestawienie dokładnych dowodów wraz z eksploracją
• przedstawienie rozwiązania problemu i zalecenia dotyczące zastanego środowiska