Компания SolidLab провела анализ защищенности PayControl

.

21 декабря 2017 года, Москва. Компания SafeTech, резидент ИТ-кластера Фонда «Сколково», объявляет о завершении планового анализа защищенности программного комплекса подтверждения и проверки подлинности электронных документов PayControl. По результатам проверок, проведенных компанией SolidLab, решение PayControl было признано обладающим высоким уровнем защищенности от угроз, направленных на эксплуатацию недостатков в программном коде.

Компания SafeTech уделяет пристальное внимание поддержанию качества своих программных решений и обеспечению защищенности всей инфраструктуры разработки от потенциальных угроз в ее отношении. Проведение мероприятий по контролю защищенности решений SafeTech является неотъемлемым этапом их разработки и технической поддержки. Этого требует системный подход компании к обеспечению безопасности клиентов российских банков, использующих технологии SafeTech.

Анализ защищенности PayControl проводился методом белого ящика с ручным анализом исходного кода всех компонентов программного комплекса. Все недостатки, выявленные в ходе проверок, были устранены. Таким образом, по результатам аудита безопасности программный комплекс PayControl был признан обладающим высоким уровнем защищенности от угроз, направленных на эксплуатацию недостатков в программном коде.

Компания SolidLab отметила в целом высокую культуру ведения разработки SafeTech, защищенность инфраструктуры разработки от потенциальных угроз в ее отношении, а также системную проработку возможных угроз, актуальных для компонентов программного комплекса, и, в частности, в отношении мобильных приложений, которые будут использовать SDK PayControl. Также компания SolidLab рекомендует системно подходить ко внедрению и эксплуатации программного комплекса PayControl в предназначенной для него инфраструктуре, обеспечивая его защищенность в том числе на уровне конфигурации системного, сетевого и прикладного окружения.

«Мы рады успешному завершению очередного аудита безопасности программного комплекса PayControl, – отметил Денис Калемберг, генеральный директор SafeTech. – Независимый и комплексный аудит исходного кода является важным шагом в жизни любого продукта, особенно в сфере решений для защиты дистанционного банкинга. Мы и в дальнейшем приложим все усилия, чтобы предоставить клиентам российских банков надежные и удобные решения для подписи документов и подтверждения транзакций с использованием мобильного телефона».

«Анализ защищенности программных компонентов, которые должны интегрироваться с другими решениями – через SDK или через API – всегда непростая задача, особенно, если речь идет о постоянно развивающемся продукте, – прокомментировал Андрей Петухов, генеральный директор SolidLab. – Ведь проверяющей стороне совершенно недостаточно провести анализ только текущего состояния программного кода. В ходе проекта нам было важно оценить все в комплексе: насколько архитектурные решения обеспечивают защищенность всей системы PayControl и её отдельных компонентов; насколько используемый командной SafeTech подход к разработке и тестированию программного кода обеспечивает управляемость процесса по реализации общих и частных требований к защищенности программного кода, а также продукта в целом; наконец, насколько сама инфраструктура разработки защищена от угроз в ее отношении».

«Нам всегда приятно видеть компетентные и зрелые команды на отечественном рынке разработки сложных программных систем», – в заключении добавил Андрей.

«В последние время мы часто слышим, как злоумышленники эксплуатируют уязвимости,найденные в средствах защиты информации.Это приводит к серьезным последствиям для компаний, внедривших данное решение, - комментирует Антон Иванов, руководитель направления «Технологии информационной безопасности ИТ-кластера Фонда «Сколково». - Резидент «Сколково» компания SafeTech не только производит высокотехнологичный программный комплекс PayControl для банковского сектора, но и делает его более надежным для своих заказчиков. Это подтверждает компания SolidLab,проводившая независимый аудит».

 

Справочная информация

О компании SafeTech

Компания SafeTech — российский разработчик инновационных решений для защиты систем дистанционного банкинга и электронного документооборота. Широкий спектр предлагаемых средств аутентификации и подтверждения транзакций позволяет решать задачи по повышению безопасности в системах ДБО как юридических, так и физических лиц. Решения компании поддерживаются ведущими российскими системами мобильного и Интернет-банкинга.

В настоящее время решения компании SafeTech используют клиенты более 60 российских банков.

О компании SolidLab

SolidLab –  российская компания, специализирующаяся на консалтинге в области практической информационной безопасности. SolidLabпредлагает услуги по анализу защищенности информационных систем, тестированию на проникновение, включая социальную инженерию, ручном анализе исходного кода, тонкой настройке средств защиты, а также предлагающая полный комплекс услуг по внедрению процессов безопасной разработки (SecureSDLC).

Фонд «Сколково» – некоммерческая организация, созданная по инициативе президента РФ в сентябре 2010 года. Цель Фонда - создание экосистемы, благоприятной для развития предпринимательства и исследований в областях: энергоэффективность и энергосбережение, ядерные, космические, биомедицинские, стратегические компьютерные технологии и программное обеспечение. На Фонд возложены функции управления  Инновационным центром «Сколково», деятельность которого регулируется специальным законом, предоставляющим особые экономические условия стартапам, прошедшим специальную внешнюю технологическую экспертизу (сейчас их более 1800). Суммарная выручка компаний-участников «Сколково» за период 2011–2016 гг. превысила 147 млрд рублей. В них создано более 27 тысяч рабочих мест, запатентовано более 1200 разработок и технологических решений. Важной частью экосистемы «Сколково» является исследовательский университет – Сколковский институт науки и технологий (Сколтех), созданный и функционирующий при поддержке Массачусетского технологического института. К 2020 году в «Сколково» будет построено более 2 млн квадратных метров производственных, офисных и жилых помещений, в Инновационном центре будут работать не менее 35000 человек. Сайт: www.sk.ru

__

Оригинал пресс-релиза находится по адресу: http://sk.ru/news/b/pressreleases/archive/2017/12/22/reshenie-paycontrol-uspeshno-proshlo-ocherednoy-audit-bezopasnosti.aspx

Определены победители CTF Азербайджан

.

16 декабря 2017 года, Баку.  Вотеле Holiday INN состоялось награждение победителей конкурса CTF (Capture the flag), проводившегося среди специалистов в области компьютерной безопасности.

Мероприятие открыл глава Центра электронной безопасности МТСИТ АР Фаик Фарманов, отметивший важность подобных соревнований для развития кибербезопасности в стране и поддержки специалистов в этой сфере.

В ходе награждения представители компаний-партнеров конкурса Владлен Ларцин (компания MONT, представлявшая решения Symantec) и Фуад Меликов (руководитель отдела по информационной безопасности компании IDRAK) отметили большое число молодых специалистов в числе победителей конкурса и поддержали инициативу регулярного проведения подобного рода соревнований.

Инициаторы конкурса — компании SmartIT и SolidLab в лице их руководителей Гурбана Зейналова и Андрея Петухова отметили хороший уровень подготовки участников, порекомендовали не останавливаться на достигнутом и добиваться больших результатов. По их мнению проведение соревнований в формате CTF создаст предпосылки для участия азербайджанских специалистов в подобных мероприятиях и за рубежом, собирающих сильнейшие команды мира.

В соревновании приняло участие более 30 команд. По итогам соревнования третье место досталось команде ken0m, второе — команде tornado, а главный приз соревнования получила команда com.

Примечательно, что среди участников была команда, в которую входили и девушки. Команда, к сожалению, не вошла в призовую тройку, но была отмечена поощрительными призами.

На следующий год, как отметили организаторы, планируется проведение конкурса в еще более широком и насыщенном формате.

Напомним, что соревнование проходило в режиме реального времени на сайте www.ctf.az. Основные цели конкурса — развитие практических знаний у специалистов в сфере информационной безопасности, а также формирование сообщества специалистов в этой сфере.

Участникам в рамках конкурса было предложено найти решения задач по таким тематикам, как эксплуатация уязвимостей в веб-приложениях, криптография, эксплуатация уязвимостей в бинарных приложениях, обратная инженерия и т.д.

О соревнованиях по компьютерной безопасности в формате CTF мир узнал больше 20 лет назад. Впервые соревнования CTF были проведены на конференции DEF CON в Лас-Вегасе в начале девяностых годов. DEF CON CTF считаются самыми авторитетными и знаменитыми соревнованиями по компьютерной безопасности в мире.

Организаторами соревнований выступают компания SmartIT (www.smartit.az), решения которой сфокусированы на защите периметра сети, данных и приложений, а также на предотвращении киберинцидентов, и компания SolidLab (www.solidlab.ru), специализирующаяся на аудите безопасности приложений, тестировании на проникновение, аудите кода.

Информационную поддержку конкурсу оказывает Центр электронной безопасности CERT www.cert.az.

Партнерами конкурса также являются:

  • Компания IDRAK (idrak.az) — специализирующаяся на проектировании, создании и сопровождении информационных систем любого уровня сложности;
  • Компания Symantec (symantec.com), специализирующаяся на разработке программного обеспечения в области информационной безопасности и защиты информации в лице эксклюзивного дистрибьютора на территории Азербайджана компании MONT;
  • Агентство RENLEY (renley.az), предлагающее услуги по организации бизнеса в Интернет.

__

Оригинал пресс-релиза находится по адресу: https://infocity.az/

В Баку Стартует конкурс CTF для специалистов в сфере информационной безопасности

.

04 декабря 2017 года, Баку. На сайте www.ctf.az начинается прием заявок на участие в хорошо известном и признанном во всем мире конкурсе CTF (Capture the flag). Формат CTF позволяет оценить способности и навыки специалистов по защите компьютерных систем. Основными целями конкурса являются развитие практических знаний у специалистов в сфере информационной безопасности, формирование сообщества специалистов в этой сфере. К участию приглашаются все заинтересованные специалисты в области информационной безопасности вне зависимости от степени подготовки.

Участникам в рамках конкурса будет предложено найти решения задач по таким тематикам, как эксплуатация уязвимостей в веб-приложениях, криптография, эксплуатация уязвимостей в бинарных приложениях, обратная инженерия и т.д.

Организаторами соревнований выступают компания SmartIT (www.smartit.az), решения которой сфокусированы на защите периметра сети, данных и приложений, а также на предотвращении киберинцидентов, и компания SolidLab (www.solidlab.ru), специализирующаяся на аудите безопасности приложений, тестировании на проникновение, аудите кода.

В соответствии с правилами конкурса регистрация участника и команды возможна только в период с 4 по 10 декабря 2017 года. Непосредственно день конкурса — 10 декабря 2017 года. В этот день с 11:00 до 23:00 будут проводиться все конкурсные соревнования. Соревнования будет осуществляться в режиме on-line на сайте конкурса. Подробнее с условиями и задачами конкурса можно ознакомиться на сайте конкурса www.ctf.az.

Победители конкурса будут объявлены 16 декабря.

Победители, кроме наград от организаторов конкурса, получат потенциальную возможность применить свои знания в реальных проектах по обеспечению компьютерной безопасности.

О соревнованиях по компьютерной безопасности в формате игры CTF мир узнал более 20 лет назад. Впервые соревнования CTF были проведены на конференции DEF CON в Лас-Вегасе в начале девяностых годов. DEF CON CTF считаются самыми авторитетными и знаменитыми соревнованиями по компьютерной безопасности в мире. Проведение соревнований в формате CTF в Азербайджане создаст предпосылки для участия азербайджанских специалистов в подобных мероприятиях, по праву собирающих сильнейшие команды мира.

Информационную поддержку конкурсу оказывает Центр электронной безопасности CERT www.cert.az.

Партнерами конкурса также являются:

  • Компания IDRAK (www.idrak.az) — специализирующаяся на проектировании, создании и сопровождении информационных систем любого уровня сложности;
  • Компания Symantec (www.symantec.com), специализирующаяся на разработке программного обеспечения в области информационной безопасности и защиты информации в лице эксклюзивного дистрибьютора на территории Азербайджана компании MONT;
  • Агентство RENLEY (www.renley.az), предлагающее услуги по организации бизнеса в Интернет.

__

Оригинал пресс-релиза находится по адресу: https://infocity.az/

SolidSoft построит «интеллектуальную стену» защиты приложений на грант «Сколково»

.

Резидент кластера информационных технологий Фонда «Сколково» компания SolidSoft получила одобрение заявки на минигрант «Сколково» в размере 4 млн рублей. Средства будут направлены на второй этап разработки интеллектуального сетевого экрана для защиты веб-приложений SolidWall.

Компания SolidSoft разрабатывает интеллектуальный сетевой экран для защиты веб-приложений, позволяющий обнаруживать компьютерные атаки на логические уязвимости в веб-приложениях. Разработка SolidWall стартовала в 2014 году внутри компании SolidLab, в том же году проект выделился в отдельную компанию SolidSoft. В 2015 году SolidSoft получила статус резидента «Сколково».

«Бизнес коммерческих и государственных структур все в большей степени опирается на веб-технологии и веб-приложения. Они становятся популярной целью атак из-за своей широкой доступности и ценной информации, которую обрабатывают, — рассказал Sk.ru руководитель направления «Безопасные информационные технологии» IT-кластера Фонда «Сколково» Сергей Ходаков. — Новизна решения SolidSoft состоит, прежде всего, в повышении уровня рассмотрения защищаемого приложения со стороны web application firewall с уровня HTTP протокола до уровня бизнес-логики на базе уникальных подходов и моделей, разработанных командой». 

Грант «Сколково» поможет команде SolidSoft расширить функциональность и повысить производительность решения, а также доработать модуль машинного обучения.

«В последние годы произошел технологический сдвиг в информационных технологиях, и в результате веб превратился из способа публикации информации в интернете в основную технологическую платформу разработки приложений. Веб — это новый «десктоп», — рассказал Sk.ru директор по развитию компании SolidSoft Вячеслав Железняков. — В то же время существующие средства защиты веб-приложений отстают от текущего уровня развития веб-технологий и не обеспечивают должной защиты от актуальных угроз. В частности, консорциум OWASP указывает на неспособность WAF обнаруживать атаки на бизнес-логику».

SolidWall WAF изначально разрабатывался как решение, способное глубоко понимать функционирование защищаемых приложений с использованием гибких иерархических моделей, в которых отражены аспекты реализации бизнес-логики приложений и характерные признаки нормального взаимодействия между пользователем и приложением. Это позволяет более эффективно предотвращать традиционные виды атак, обнаруживать специфичные воздействия на бизнес-логику приложений и механизмы идентификации и аутентификации, а также контролировать действия пользователей веб-приложения, тем самым обеспечивая защиту как от внешних, так и от внутренних угроз. 

«Наш продукт ориентирован на защиту критичных приложений со сложной бизнес-логикой - публичных информационных ресурсов и сервисов, B2B-площадок, систем дистанционного обслуживания клиентов, внутренних корпоративных интранет-систем, государственных систем межведомственного взаимодействия, технологических систем управления производством и других», — пояснил Вячеслав Железняков. 

По словам представителя SolidSoft, в настоящий момент компания выходит на новый этап развития. «Значительные усилия, которые в течение более чем двух лет были затрачены на разработку, начинают приносить результат нам и нашим клиентам. А инновационные идеи, которые были заложены в наше решение, подтвердили свою жизнеспособность. Мы рады, что теперь можем предложить рынку конкурентоспособный продукт и продолжать его активное развитие благодаря помощи Фонда «Сколково», — заявил Вячеслав Железняков. 

К настоящему времени SolidSoft провела ряд пилотных внедрений и осуществила первые коммерческие поставки клиентам из различных отраслей. Массовые продажи, в том числе на международном рынке, разработчик планирует начать до конца текущего года.

__

Оригинал статьи находится по адресу: http://sk.ru/news/b/news/archive/2016/04/04/solidsoft-postroit-intellektualnuyu-stenu-zaschity-prilozheniy-na-grant-skolkovo.aspx

Информацию об интеллектуальном сетевом экране для защиты веб-приложений SolidWall Вы можете посмотреть тут: solidwall.ru