Анализ уязвимостей ПО в соответствии с ISO/IEC 15408

Задача

Задача – провести анализ уязвимостей и оценить возможность их эксплуатации. Оценка должна проводиться в соответствии с ISO/IEC 15408.

Дата

09.12.2020

Сайт

Скрыто согласно СОК

Сфера

Финансовый сектор

Заказать проект

Задать вопрос

Наши специалисты ответят на любой интересующий вопрос по проекту

Заказчик обеспокоен защищенностью своего ПО которое распространяется среди клиентов для выполнения удаленных финансовых операций. Задача – провести анализ уязвимостей и оценить возможность их эксплуатации. Оценка должна проводиться в соответствии с ISO/IEC 15408.

Заказчик

Финансовая компания. Штат – 500 человек. Стоимость контролируемого имущества – более 3 млрд. руб. Лидер в своем сегменте в РФ. Для финансовых операций с клиентами использует ПО.

Что сделано

анализ документации ПО;
динамический и статический анализ исходного кода;
фаззинг-тест;
анализ кода на наличие уязвимостей.

Разработаны и реализованы сценарии использования злоумышленником уязвимостей. Оценка проводилась в соответствии со стандартами. Составлен отчет о соблюдении требований и рекомендации по устранению уязвимостей.

Результат

Ни один из компонентов ПО не получил положительной оценки. Большинство сценариев злоумышленника успешно реализованы. Обнаружена возможность выполнения несанкционированных денежных переводов злоумышленником даже с базовым уровнем знаний.

Найдены недостатки механизмов аутентификации, приводящие к компрометации учетных записей (брутфорс паролей, нет предупреждений и блокировки после неудачных попыток подбора, нет механизма регулярной смены паролей, незащищенное хранение аутентификационной информации).

Недостатки архитектуры безопасности позволяют реализовать DoS-атаки для остановки ИТ-инфраструктуры.

Используются устаревшие версии сторонних модулей. Они содержат уязвимости, легко эксплуатируемые с помощью публичных эксплойтов.

По результатам работы даны рекомендации по повышению уровня защищенности, в т.ч. рекомендован перечень средств ЗИ. Некоторые критические уязвимости были устранены совместно.

Подготовлен план работ по совершенствованию защищенной архитектуры и подсистемы регистрации пользователей. Даны подробные рекомендации по обеспечению защищенности процессов разработки ПО.

Ценность для Заказчика

Выполнение требований регулятора (в противном случае – штраф 0,1% -1% от уставного капитала или остановка финансовых операций до года).
Обнаружены ранее не исследованные критические бизнес-угрозы.
Нейтрализована потенциальная возможность несанкционированного перевода денежных средств со счета любого клиента.
Нейтрализована возможность остановки ИТ-инфраструктуры бизнеса.
Даны рекомендации по обеспечению безопасной разработки ПО. Это позволило Заказчику выполнять работы текущей командой разработчиков без привлечения дорогостоящих компетенций (в противном случае – поиск и найм экспертов на 3-6 месяцев).
С помощью рекомендаций Заказчик повысил уровень безопасности ИТ-активов (стоимостью более 3 млрд руб.) и избежал репутационных рисков.

Комментарии

Загрузка комментариев...

Наши специалисты ответят на любой интересующий вопрос по проекту

Задать вопрос

Назад к списку Следующий проект