Какой из банков Казахстана возглавил рейтинг веб-безопасности

Казахстанская компания в области информационной безопасности Центр анализа и расследования кибер атак (ЦАРКА) провела исследование на веб-безопасность банков Казахстана. Основой задачей являлось: выяснить, как банки страны обеспечивают безопасность своих веб-ресурсов, сообщает prodengi.kz.

Данное исследование проведено с помощью собственного решения по мониторингу и защите веб-ресурсов WebTotem. Методика оценки учитывает лучшие мировые практики, рекомендации признанных разработчиков ПО и профессиональных сообществ, а также наиболее часто применяемые стандарты. Оценка защищенности выполнялась без вмешательств в работу организаций, анализ осуществлялся путем сбора публично доступной информации. Проверка проводилась 28-го февраля 2020 года.

«В рамках исследования специалисты ЦАРКА не вмешивались в работу интернет-ресурсов банков: для проводимых проверок было достаточно отправить «легкие» HTTP и DNS-запросы и проанализировать ответы, которые приходят от сервера. Таким образом, все данные были собраны так, как это мог бы сделать обычный пользователь, посетивший ресурс», - говорится в отчете компании.

Отмечается, что работа не затрагивает атаки и уязвимости, защита от которых основана на фильтрации пользовательского ввода, а, следовательно, не подразумевает проведения явных атак на ресурс. Она включает в себя анализ использования подходов по выполнению рекомендованных настроек для веб-серверов и связанных компонентов.

Уязвимости старых версий

Если не обновлена CMS или ее компоненты, то с высокой вероятностью существует эксплоит, который позволяет проэксплуотировать уязвимости старых версий. Отсутствие обновлений означает:

1-устаревшая версия, которая с высокой вероятностью уже не поддерживается разработчиком.

2-версия подвержена потенциальным угрозам безопасности.

Из 26 доменов данный пункт проходят только три.

Скорость загрузки

Оценка скорости загрузки основана на данных FCP и FID, полученных методом имитации загрузки сайта. Тестирование наилучшей практики производительности выполняется для анализа устойчивости сайта к нагрузкам.

При этом отмечается, что низкая производительность позволит злоумышленникам перегружать веб-ресурс, делая его недоступным для пользователей.

 В целом, у 46% доменов наблюдается высокая скорость загрузки, еще у 46% - средняя и у 8% - низкая. 

Репутация

Хорошая репутация означает, что веб-ресурс безопасен, в то время как статус «черный список» антивирусов предупреждает посетителей о возможных угрозах безопасности. В целом, только один домен идентифицирован, как «потенциально вредоносный». 

«Политика защиты контента», CSP

«Политика защиты контента», CSP - это один из основных способов снижения рисков, возникающих при эксплуотации XSS-атак. Недостаток в безопасности заголовка может привести к атакам, нацеленным на посетителей.

У 23% доменов высокая оценка, у 58% - средняя и у 19 - низкая.

«Человек посередине»

Каждая атака типа «человек посередине» или MITM, подразумевает наличие посредника человека (устройства), который имеет возможность перехватить и модифицировать данные, пересылаемые между двумя абонентами системы связи. Суть атаки в том, что злоумышленник «пропускает» трафик жертвы «через себя». В то время, пока жертва считает, что обращается напрямую к веб-сервису банка, трафик проходит через узел злоумышленника, который таким образом получает все отправляемые пользователем данные (логин, пароль, ПИН-код и тд).

Утечка информации

 Открытые порты

Спам по email

Данный пункт отражает, правильно ли настроен почтовый сервер веб-ресурса для предотвращения распространения по электронной почте спама, фишинга, вредоносных программ и прочих угроз.

 

Разрешение на обработку персональных данных

Веб-сайты обязаны предоставлять пользователям информацию о том, как обрабатываются их персональные данные. В большинстве случаев пользователи веб-сайта должны согласиться с правилами хранения и обработки персональных данных.

«Получив общее представление о защищенности веб-ресурсов банков, мы пришли к главному выводу: многие банки пренебрегают даже самыми распространенными и простыми в реализации советами по повышению безопасности своих веб-ресурсов».

 

 

Исследователи пишут, что, рассмотрев веб-ресурсы казахстанских банков с разных сторон, мы выяснили, что достаточно известные уязвимости и проблемы безопасности до сих пор присутствуют на них. Данный акт позволяет злоумышленникам рассчитывать на успешную реализацию атак на эти финансовые организации.

 Фото: i.ytimg.com