РУАЭСТ (RUAEST)
Облако ключевых слов*
* - вычисляется автоматически
Недавно смотрели:
Безопасность бизнес-приложений: как избежать "недекларированных возможностей"
О бизнес-требованиях к банковским приложениям.
Авторы
Тэги
кредитные учреждения
бизнес-приложения
банковские приложения
информационная безопасность
безопасность данных
безопасность банковских приложений
недекларированные возможности
Тематические рубрики
Предметные рубрики
В этом же номере:
Компания InfoWatch повысила производительность своего решения Traffic Monitor Enterprise,
Банковский инсайд: угрозы и противостояние,
...
Резюме по документу**
с. 54—63
Безопасность бизнесприложений:
как избежать «недекларированных
возможностей»
Рустэм Хайретдинов
CEO компании Appercut Security
ум интернет-банкинга, сис-
тем дистанционного банковского
обслуживания и первые экспери-
менты в мобильном банкинге приве-
ли к тому, что сейчас собственным
банковским приложением распола-
гает большинство российских бан-
ков. <...> Клиенты
должны иметь возможность видеть
состояние своего счета и проводить
операции со своими средствами, опе-
рационисты — видеть клиентские
счета и проводить с ними операции,
аналитики — видеть сводные отчеты,
администраторы — управлять досту-
пом к данным клиентов, операционис-
тов и аналитиков и т. д. и т. п. <...> С появ-
лением же интернет-приложений, ин-
терфейсы которых «смотрят» в Сеть и
теоретически доступ к ним могут по-
лучить все пользователи Интернета,
стандарты защищенности приложе-
ний пришлось пересматривать. <...> Модели угроз для банковских при-
ложений прежде всего строятся во-
круг хакеров, атакующих приложения
через известные уязвимости. <...> Для
борьбы с такими угрозами применя-
ются сканеры уязвимостей. <...> А если уязви-
мость обнаружена в заказном при-
ложении? <...> Большинство банков не рассмат-
ривают неквалифицированно или на-
меренно внесенные уязвимости в за-
казные банковские приложения как
угрозу, исходящую от разработчиков
таких систем. <...> На самом деле проблем с безопас-
ностью банковских приложений го-
раздо больше, чем об этом принято
говорить. <...> Зарабатывая на жизнь ау-
дитом кода заказных приложений, мы
регулярно сталкиваемся с опреде-
ленными типами угроз, которые со-
знательно игнорируются компаниями. <...> Недекларированные свойства при-
сутствуют практически в каждом за-
казном приложении. <...> Задача служб информацион-
ных технологий и информационной
безопасности — обеспечить беспе-
ребойное и безопасное функциони-
рование заказного приложения. <...> Автору попадались, например, бан-
ковские системы, позволявшие ме-
нять валюту счета при фиксирован- <...>
** - вычисляется автоматически, возможны погрешности
Похожие документы: