место в рейтинге
  • 87577
  • 85
  • 13
Нравится блог?
Подписывайтесь!

Информационная безопасность Wooppay. Расскажем как на духу.

От автора:

Данная статья рассказывает о том, как зарождалась информационная безопасность (далее - ИБ) Wooppay и о некоторых сложностях в жизни специалистов по ИБ,  в процессе совершенствования систем безопасности.

Платёжная система Wooppay(далее — ПС Wooppay), как наверное и любой хайтек-стартап, обязана была позаботиться об ИБ компании до стадии запуска проекта в эксплуатацию, что, собственно, и было сделано. В последствии был сформирован отдел ИБ (далее - ОИБ), который, как поначалу показалось, получил право на «Здесь должно быть так, а тут так не пойдёт...», но нет, реалии таковы, что когда речь идёт о ПС, отдел ИБ обязан очень плотно взаимодействовать с отделом технической инфраструктуры (далее - ОТИ), отделом тестирования и отделом разработки, ну и в принципе со всеми подразделениями, где хоть как-то могут появиться свежие идеи, требующие внимания специалистов ИБ, для оценки рисков. Что касается взаимодействия ОИБ и ОТИ, то тут очень много точек соприкосновения (Управление доступом, Криптография, Телекоммуникационная и сетевая безопасность, Резервирование и т.п.), в общем-то с этого всё и начиналось. Однажды, в студёную зимнюю стужу... шучу, конечно-же). На дворе стояла жара, проект уже находился на стадии закрытого альфа-тестирования и, наконец-то, наступает момент, когда проект, согласно «best practices» (лучших практик - стандартов ИБ), следовало отдать на аутсорс пентест (тестирование на проникновение — моделирование действий (не)реального злоумышленника, как правило это инструментальное сканирование с ручной верификацией уязвимостей, направленное на оценку текущего состояния процессов обеспечения ИБ). Бытует мнение, что можно делать как Google, Firefox и другие компании, платя деньги за найденные уязвимости хакерам, но тут появляется слишком много «НО», а именно проблемы с тем, что нет гарантий, что нашедший уязвимость хакер будет вам сообщать о ней за положенные ему деньги, быть может, уязвимость в дальнейшем можно будет продать конкурентам за очень большие деньги или организовать атаку с дальнейшим вымогательством у компании крупных денежных средств, для её прекращения. Было решено - это слишком большой риск и обратились к признанным и экспертам по ИБ, компании  «Positive Technologies», имеющим статус QSA Associate, позволяющий проводить работы  в данной сфере.

Ну теперь, собственно, почему я упомянул про ОТИ? Как уже упоминалось в статье «Техническая структура Wooppay. Показать всё что скрыто», нами была построена гибридная инфраструктура (IaaS + ЦОД)  и на момент тестирования компанией «Positive Technologies» в ТИ входило всего несколько Web серверов, что открывало нам возможность использовать для каждого сервера собственный ip адрес, а также свободу выбора решений, для защиты от атак типа DDOS и таргетинговых атак, средствами WAF (Web Application Firewall), собственно благодаря чему, мы успешно прошли внешний пентест.

Может быть у некоторых из вас возникнет вопрос, почему не отдать на аутсорс защиту от DDOS таким экспертам как «QRATOR» и «Cloud frame»?, ответ прост — для того, чтобы они могли фильтровать передаваемые данные, им необходимо передать ssl сертификаты, для дешифрирования https трафика, а следовательно, третья  сторона увидит проходящие через них финансовые данные, что не запрещено мировыми банковскими системами, если осуществляющая фильтрацию данных компания имеет сертификат соответствия стандарту PCI DSS (Payment Card Industry Data Security Standard  - стандарт безопасности данных индустрии платёжных карт), но это в двое увеличивает шанс утечки конфиденциальной информации — стандарты стандартами, а человеческий фактор ещё никто не отменял.

Время шло, проект постепенно подходил к стадии производственной эксплуатации, разрабатываемых решений становилось всё больше и мы начинали понимать, что никаких денег не хватит, каждый раз отдавать разработанные решения на внешний пентест, было решено — необходима собственная команда тестеров и пентестер, который попал в нашу компанию волей случая и благополучно обосновался в ОИБ. Также с  течением времени начали появляться и другие, на первый взгляд, небольшие проблемы. От отдела ТИ, поступает информация о том, что производительности Web сервером уже не хватает и необходимо в срочном порядке  увеличить количество серверов, так стоп..., но тогда у нас не хватит выделенных ip адресов и нам придётся пользоваться балансировщиками нагрузки предоставляемыми IaaS, что повлечёт за собой скрытие реального ip адреса клиента для всех сервисов системы, за исключением веб приложения, получающего его через заголовок XFF (X-Forwarded-For) и, соответственно, проблемы для систем безопасности, которые будут видеть только ip адрес балансера.

Проанализировав последствия, начали смотреть в сторону HAproxy(High Availability Proxy), но протестировав его в нашей ТИ, обнаружили, что он нам не подходит из-за многих нюансов, делающих HAproxy единой точкой отказа для нашей ПС, выбора больше не было, да и времени собственно тоже, решили остановиться на балансировщике от IaaS, надёжном и по быстродействию не уступающим HАproxy. Отдел ИБ идёт на уступки отделу ТИ — безопасность в угоду масштабирования. Отныне, ни iptables нами любимый, ни WAF с возможностью предотвращения атак нам больше никак помочь не могли. Было решено срочно разработать новые методы организации ИБ и решение не заставило себя долго ждать, инженером безопасности системы было предложено использовать язык Lua для создания высокопроизводительных сценариев обработки веб трафика, как в последствии показало тестирование, решение оказалось весьма удачным.

Думаю из выше написанного понятно, что все эти меры безопасности для пользователя мало заметны, да и большая часть взлома аккаунтов происходит, либо из-за социальной инженерии, либо из-за инсайдеров, которые за определённое вознаграждение или из-за некой обиды к работодателю, сливают информацию третьим лицам или стараются нарушить её целостность. В общем, понимая все последствия заранее, совместным решением с высшим руководством, было решено жёстко ограничить доступ лиц к информации и внедрить DLP (Data Lose Prevention - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне) систему, но те, кто хоть раз работал с подобного рода системами, прекрасно понимают, что люди, которые имеют доступ к столь конфиденциальной информации наверняка с лёгкостью обойдут DLP систему, поэтому встала задача шифровать таблицы в базе данных и естественно в таких полях  как  пароли, хранить хэши от паролей. Ну и как можно уже было догадаться, в первую очередь это логирование и аудит всего, что только можно мониторить.

В общем то, писать можно долго про то что внедряли, что и как защищено, но хочется отметить следующие моменты: Организовать безопасность периметра, организовать безопасность передачи данных между серверами и ЦОД задача, конечно, не из самых простых, но и не из самых сложных, так как это задача разовая и требует лишь время от времени доработок и мониторинга, а вот безопасность приложения ПС — это один из ключевых вопросов, который включает в себя непрерывный процесс разработки — тестирования — пентеста — багфикса — тестирования — пентеста - ....

Хочется подытожить словами: Абсолютной защиты не существует, в любой ситуации всегда присутствует человеческий фактор, благодаря чему наши системы безопасности постоянно совершенствуются и совершенству их нет предела.

 

Данная статья является страшно секретной.

Пожалуйста, не рассказывайте о ней никому.

После прочтения статья самоуничтожится.

Руководитель отдела информационной безопасности Wooppay.

     
Платёжная система Wooppay
Начните работать с Wooppay, почувствуйте, с какой лёгкостью вы делаете те вещи, на которые тратили своё личное время. Пользуйтесь Wooppay и личного времени станет больше. Стоит только придумать, чем его занять.
19 августа 2013, 16:30
2898

Загрузка...
Loading...

Комментарии

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Прогноз эксперта: в Казахстане будут жить 5 миллионов китайцев

Прогноз эксперта: в Казахстане будут жить 5 миллионов китайцев

В ближайшие годы в Центральной Азии будут проживать восемь миллионов китайцев, считает заведующий отделением востоковедения национального исследовательского университета высшей школы экономики.
kurmanovainur
вчера / 11:23
  • 32252
  • 13
Они сделали это! Kaspi Bank презентовал свое мобильное приложение

Они сделали это! Kaspi Bank презентовал свое мобильное приложение

Изучив ошибки предшественников и собрав воедино новейшие идеи онлайн-банкинга, Kaspi Bank наконец выпустил... свое мобильное приложение!
niyazov
20 июня 2017 / 15:05
  • 8240
  • 5
Кайрат Келимбетов об азербайджанской инвестиции: «Вернется и «тело», и проценты»!

Кайрат Келимбетов об азербайджанской инвестиции: «Вернется и «тело», и проценты»!

Мы записали уникальное интервью с Кайратом Келимбетовым. Предлагаю вам посмотреть первую часть, где мы постарались по возможности поставить все точки на «I» именно по Азербайджанскому вопросу.
Zhumanova
19 июня 2017 / 12:00
  • 5916
  • 7
Почему мы должны быть благодарны журналисту Джеймсу Палмеру за критику ЭКСПО

Почему мы должны быть благодарны журналисту Джеймсу Палмеру за критику ЭКСПО

Как одним критичным постом зарубежному журналисту Джеймсу Палмеру удалось вскрыть сразу несколько гнойников казахстанского общества.
anotherblogger
21 июня 2017 / 0:39
  • 5783
  • 59
Долговое рабство: почему казахстанцы берут кредиты под 1330%

Долговое рабство: почему казахстанцы берут кредиты под 1330%

Эти кабальные займы никакой пользы для экономики не несут, при этом ухудшают финансовые возможности населения, пополняют ряды новых неплательщиков, тем самым создавая социальную напряженность в...
Armanjan
18 июня 2017 / 15:43
  • 3881
  • 28
Инфантильный миф о «молодом народе Казахстана» опасен. В 21-м веке ни у кого нет форы

Инфантильный миф о «молодом народе Казахстана» опасен. В 21-м веке ни у кого нет форы

Терпеть не могу миф о том, что мы "молодой народ, окруженный старыми нациями" и у нас еще есть время на развитие. Это чушь! Мы что - на миллион лет позже эволюционировали из обезьян?
Aks_Ras
18 июня 2017 / 10:16
  • 3147
  • 18
В Казахстане заблокировали сайт, раскритиковавший EXPO в «захолустной» Астане

В Казахстане заблокировали сайт, раскритиковавший EXPO в «захолустной» Астане

Все помнят Медузу и ЖЖ. Теперь в этот "особенный" список попал сайт Foreign policy. Предполагается, что причиной блокировки стала нелицеприятная заметка Джеймса Палмера об EXPO в Астане.
Seattle
19 июня 2017 / 15:40
В каких случаях у вас могут изъять удостоверение личности?

В каких случаях у вас могут изъять удостоверение личности?

Недавно один знакомый задал вопрос: «Я сейчас выступаю как свидетель по одному делу. У меня забрали удостоверение личности (УЛ) в РУВД и не вернули обратно. Так можно?». Я сразу задалась вопросом...
asselsabekova
21 июня 2017 / 10:17
  • 2314
  • 10
Инструкции по сопроводительному письму и собеседованию, которые подойдут всем

Инструкции по сопроводительному письму и собеседованию, которые подойдут всем

Наткнулась на статью Ассоциации юристов Новой Зеландии, в которой они дают советы выпускникам юрфака по поиску работы. Статья меня поразила, поскольку там описано все до мелочей, а их советы подойдут абсолютно всем.
asselsabekova
20 июня 2017 / 16:10
  • 2226
  • 6