Итоги The Standoff: разработка российской IT-компании Osnova успешно выдержала атаки хакеров
IT-компания Osnova предоставила для киберполигона свой платежный процессинг на открытом коде. На базе этого решения работала вся банковская система города F: банк, который выпустил карточки жителям города, платежное решение для интернет-магазинов, другие элементы финансовой инфраструктуры компании FairMarket.
В результате от хакерских атак пострадали все компании кибергорода. Атакующие команды устроили хаос на вокзале, подменив расписание поездов, получили доступ к управлению краном и уронили контейнер на баржу в морском порту, в результате взломов произошли взрывы на газораспределительной станции, отключились линии электропередач, ветрогенераторы и другие жизненно важные системы города.
Финансовая система киберполигона жесткий краш-тест прошла успешно – процессинг Osnova выдержал все атаки. Нападающим не удалось реализовать два профильных риска – использовать банковские карты для мошеннических операций и нарушить работу процессингового центра. Хотя как минимум четыре команды атакующих путем взлома интернет-магазина, подключенного к процессингу, смогли получить API-ключи мерчантов, с помощью которых могли попытаться вывести средства магазинов через методы выплаты на карты, но такой риск никто в итоге не реализовал. Примечательно, что банковскую систему города не защищала ни одна из команд blue teams, работала только собственная внутренняя система защиты процессинга Osnova.
«The Standoff в этом году собрал более 30 команд высококлассных специалистов, которые в режиме реального времени сражались за ресурсы кибергорода. Это уникальное по своим масштабам мероприятие в индустрии кибербезопасности. Мы участвуем в The Standoff уже второй раз – в прошлом году мы предоставляли наш платежный процессинг под брендом RBK.money. И второй год подряд атакующим не удается нас взломать. С одной стороны, это впечатляющий результат и еще одно подтверждение того, что наше решение действительно надежное и безопасное. С другой стороны, если бы хакеры все-таки смогли нарушить нашу защиту, то для нас это был бы тоже позитивный результат – ведь чем больше уязвимостей выявлено, тем лучше становится наш продукт, - отмечает Денис Бурлаков, основатель и владелец Osnova. – Мы постоянно работаем над его безопасностью, в том числе развиваем программу Bug Bounty и приглашаем всех специалистов искать уязвимости в нашем коде, присылать отчеты и получать вознаграждение».«Ежегодно мы проводим аудиты десяткам финансовых систем и часто видим, что вендоры будто бы «боятся» обнаруженных уязвимостей, спорят об их присутствии, просят удалить. Тот факт, что Osnova уже второй раз участвует в The Standoff говорит о зрелости в понимании процессов информационной безопасности и открытости для взаимодействия с исследователями безопасности, – говорит Ярослав Бабин, руководитель отдела анализа защищенности веб-приложений Positive Technologies. – Надеемся на дальнейшее плодотворное и взаимное сотрудничество и всегда ждем новых партнеров, которые хотят испытать свои приложения и системы на стойкость».