ИБ в кармане: как устроена защита мобильных приложений «М.Видео-Эльдорадо»
Руководитель отдела мониторинга и защиты информационной безопасности «М.Видео-Эльдорадо» Владимир Садовский рассказал SecPost о том, как устроена защита мобильных приложений и интернет-сервисов ритейлера.
Основная проблематика
Ресурсы, доступные через интернет, а именно мобильные приложения и веб-сайты часто являются потенциальными целями для хакеров. Наша компания не исключение, мы также используем эти ресурсы для работы с клиентами. Кибератаки на нашу компанию происходят практически на постоянной основе. Благодаря средствам защиты удается их купировать.
Какие трудности с ИБ возникают при разработке приложения
Бизнес стремится к быстрому и качественному выпуску новых функций. В этом и заключается задача ИТ-отделов. Однако они сталкиваются с трудностями при распределении ограниченных ресурсов. В результате в таких продуктах могут возникать ошибки, снижающие уровень безопасности. В пример можно привести ошибку при разработке мобильного приложения iOS, из-за которой злоумышленники смогли сделать несколько заказов с большей скидкой. Проблема была оперативно купирована.
Как обезопасить разработку
Безопасная разработка – это сложный и обширный процесс, включающий взаимодействие между бизнесом и ИТ-отделами по созданию безопасных продуктов. Основная цель этого процесса – начать заботиться о безопасности как можно раньше, то есть уже на этапе идеи заложить основы требований безопасности и учесть их при разработке. Также важно использовать автоматизацию для выявления уязвимостей во время разработки и публикации. Автоматизация используется в разных процессах, например мы сканируем пароли наших сотрудников на возможность перебора и в случае срабатывания происходит смена пароля, и пользователь отправляется на курсы по повышению осведомленности в области информационной безопасности, с акцентом на помощь в создании безопасного и запоминающегося пароля.
ИБ на этапе сопровождения
Далее следует этап сопровождения и мониторинга. Несмотря на то, что мы стараемся сделать продукт максимально безопасным на начальных этапах, из-за ограничений ресурсов и сжатых сроков некоторые проблемы могут возникнуть уже после выпуска. Основной инструмент это SIEM и SOC, как сервис вокруг него. Один из способов обеспечения безопасности сервисов — использование AntiDDoS и WAF-защиты. Это комплексное решение помогает защититься от множества распределённых атак, направленных на то, чтобы сделать наш ресурс недоступным и взломать сервисы. Важно адаптировать защиту под конкретный продукт, чтобы она работала максимально эффективно и надёжно.
Переход на отечественные решения
Мы столкнулись с существенным увеличением стоимости при переходе на отечественные решения. Некоторые процессы пришлось приостановить ввиду отсутствия аналогов, а по некоторым решениям были сложности с внедрением.
Взаимодействие бизнеса и разработчиков
Взаимодействие бизнеса с командой разработки также играет важную роль. С одной стороны, защита блокирует нелегитимные запросы, но с другой – может ошибочно заблокировать легитимных пользователей. Например, если ИТ-отдел быстро выкатывает новый функционал без предупреждения, запросы могут измениться, и клиенты, использующие нестандартные для системы паттерны поведения, могут быть заблокированы. Поэтому необходимо постоянно общаться, налаживать контакты и улучшать эти системы.
Проблема фрода
Сессионный антифрод отслеживает поведение клиента. В мобильном приложении пользователь нажимает на определённые кнопки интерфейса, а система анализирует, нет ли автоматизации или использования продвинутых ботов для накрутки бонусных баллов или других механик. Мы достаточно часто сталкиваемся с попытками фрода с использованием бонусных баллов, особенно в периоды активных маркетинговых кампаний с массовыми начислениями. В зависимости от маркетинговых условий злоумышленников может как привлекать наша компания, так и наоборот они могут на какой-то период времени терять интерес к нам. Мы используем различные решения в совокупности, какого-то единого подхода не существует. Практически каждый сервис ИБ влияет на купирование проблем в этой части.
Роль центра реагирования на ИБ-инциденты
Необходимо постоянно оперативно реагировать на возникающие инциденты. С этой целью существует Центр реагирования на инциденты информационной безопасности — он представляет собой мощный инструмент, который обрабатывает множество событий и предоставляет готовые решения для устранения инцидентов, таких как баги, взломы веб-сайтов и мобильных приложений. Основная функция этого центра заключается в корректировке бизнес-процессов, настроек систем и совершенствовании сервисов защиты, чтобы предотвратить повторение инцидентов в будущем.
