Финтехи, как правило, являются более подверженными рискам и зрелыми компаниями, чем среднестатистические в плане кибербезопасности. Характер их деятельности подразумевает необходимость учитывать риски мошенничества и кибератак уже на этапе разработки нового продукта.
В пентесте выбор средств безопасности и принятые меры защиты сталкиваются с реальной угрозой. В зависимости от характера продукта (платежное решение, кредитная платформа, банковское управление, прямые инвестиции и т. д.), бизнес-задачи будут разными.
Безопасность платежей
Платежи представляют собой самый «очевидный» риск на первый взгляд. Это очень чувствительная область из-за ставок, связанных с платежами. Поэтому на нее направлено большое количество усилий по обеспечению безопасности.
Платежные решения собственной разработки
Некоторые финтех-компании специализируются на разработке платежных решений.
Безопасность электронных платежей регулируется стандартом PCI DSS, который был создан для достижения двойной цели: повышения безопасности всех банковских операций и укрепления безопасности пользовательских данных.
Для выполнения обязательств по соблюдению стандарта финтех-компании, разрабатывающие платежные решения, должны соответствовать ряду требований безопасности. Эти требования включают обязательство проводить тесты на проникновение с целью проверки систем, участвующих в обработке банковских данных (основные системы и технически связанные с ними приложения, такие как административный бэк-офис).
Очень редко финтех-компании, позиционирующиеся в других основных видах бизнеса, разрабатывают собственные платежные решения. Большинство из них полагаются на использование признанных и сертифицированных решений третьих сторон.
Сторонние решения
Основная проблема при использовании стороннего решения заключается в выборе и особенно в интеграции платежного решения.
Настоятельно рекомендуется выбирать поставщика платежных решений, который признан в данной области и предоставляет достаточно подробную документацию для облегчения технической интеграции.
В ходе пентеста будут проверены возможности атак, но не путем тестирования инфраструктуры и приложений, предоставляемых провайдером, а путем сосредоточения внимания на обращениях к платежной системе и обменах между двумя системами, которые могут быть источником уязвимостей (несоблюдение процесса технической интеграции, обнажение конечных точек, позволяющих валидировать платежи без их фактической валидации).
Безопасность рабочего процесса
Изучение бизнес-логики имеет решающее значение для выявления существующих средств контроля и возможных обходов
Мошенничество и обход бизнес-логики
Уязвимости, связанные с бизнесом, существуют тогда, когда обычный путь пользователя приложения или шаг в предполагаемом процессе может быть обойден. Примеры практически бесконечны: подтверждение заказа без осуществления оплаты, изменение адреса доставки заказа, оформление кредитной заявки в обход средств контроля и т. д.
По своей природе этот тип уязвимости трудно выявить с помощью инструментов автоматического сканирования. Наиболее эффективный подход заключается в тщательном исследовании бизнес-логики для определения ограничений и средств контроля, которые должны быть на месте, следуя комплексной методологии. Это позволяет разработать специальные сценарии тестирования для выявления конкретных обходных путей для каждого бизнес-приложения.
Контроль идентификационных данных
Контроль личности пользователей — одна из центральных проблем рабочего процесса для многих финтех-компаний. Заставляя пользователей подтверждать свою личность путем предоставления различных документов (удостоверение личности или паспорт, налоговые справки и т.д.), можно значительно ограничить попытки мошенничества и кибер-атак.
В ходе пентеста проверяется, что эти проверки невозможно обойти или избежать путем предоставления ложной информации. Контроль личности также подразумевает ограничения на безопасность личных данных пользователей.
Безопасность данных
Безопасность данных имеет первостепенное значение для компаний, которые обрабатывают конфиденциальные данные: личные данные, банковские данные (например, связанные с агрегацией счетов), данные об использовании (например, связанные с суммой поданной кредитной заявки), а также деловые данные компаний (например, данные о выставлении счетов или платежные ведомости компании).
В случае платформ SaaS проверка правильного разделения данных между клиентами является существенным вопросом. В пентесте проверяются права «по горизонтали» (между клиентом А и клиентом Б) и возможности «вертикальной» эскалации прав (между «обычным» пользователем и «администратором»).
Существует большое количество потенциальных уязвимостей, позволяющих получить доступ к данным, независимо от их характера. Это могут быть технические уязвимости, связанные с инфраструктурой, на которой расположены системы, приложениями, присутствующими на них, или логические уязвимости, в которых отсутствует контроль доступа. Конкретные примеры: дефекты инъекций (в базы данных, в код), получение контроля над сессиями других пользователей, доступ к бэк-офису руководства, плохо контролируемый доступ к ресурсам других пользователей и т.д.
Проводить ли пентест?
Пентест рассматривает все перечисленные выше аспекты, чтобы, возможно, выявить уязвимости в определенных точках. Это позволяет столкнуть технические и функциональные решения команды разработчиков с внешним взглядом злоумышленника (пентестера). И, конечно, можно проводить специальные тесты по определенным аспектам, в зависимости от конкретных приоритетов безопасности продукта.