Branża finansowa: Testy cyberbezpieczeństwa aplikacji dla instytucji finansowej
Wyszukiwarka

Wpisz szukane wyrażenie

Service desk Kontakt Szukaj
PL/EN
Polski English
Autor: Mateusz Włodarczak
Publikacja: 2024, Lepszy Biznes
Branża finansowa

Polisa na bezpieczeństwo

Testy cyberbezpieczeństwa aplikacji dla instytucji finansowej

Towarzystwo ubezpieczeniowe będące częścią międzynarodowej instytucji finansowej rozwija swoje aplikacje obsługujące główne procesy biznesowe – sprzedaż polis ubezpieczeniowych oraz obsługę świadczeń. All for One Poland zapewniło wsparcie w obszarze cyberbezpieczeństwa, przeprowadzając inwazyjne testy penetracyjne aplikacji dedykowanej obsłudze procesu cyklu życia polis towarzystwa.

Towarzystwo ubezpieczeniowe będące częścią międzynarodowej instytucji finansowej rozwija swoje aplikacje obsługujące główne procesy biznesowe – sprzedaż polis ubezpieczeniowych oraz obsługę świadczeń. All for One Poland zapewniło wsparcie w obszarze cyberbezpieczeństwa, przeprowadzając inwazyjne testy penetracyjne aplikacji dedykowanej obsłudze procesu cyklu życia polis towarzystwa.

Zaawansowane rozwiązania IT wspierają efektywność organizacji i często stanowią kluczowy element jej przewagi konkurencyjnej. Szczególnie potrzebne jest to w sytuacji, gdy wymagana jest duża skalowalność biznesu.

Nasz klient z branży ubezpieczeń współpracuje z partnerami z różnych branż – bankami, instytucjami finansowanymi, przedsiębiorstwami z branży automotive, operatorami telekomunikacyjnymi, sieciami handlowymi oraz firmami e-commerce, którzy następnie sprzedają produkty ubezpieczeniowe swoim klientom. Wymaga to odpowiedniego wsparcia informatycznego – stanowi wyzwanie dla programistów, którzy muszą dostarczyć rozwiązania odpowiadające na potrzeby biznesu – przede wszystkim w postaci odpowiedniej logiki, interfejsów graficznych dla partnerów i ubezpieczonych, czy też interfejsów komunikacyjnych do wymiany danych z systemami zewnętrznymi.

Każde z miejsc styku aplikacji ze „światem zewnętrznym” stanowi jednocześnie możliwe miejsce naruszenia bezpieczeństwa informacji przetwarzanych w aplikacjach – w formie cyberataku lub choćby błędu użytkownika. Skutki takich incydentów mogą być różnorakie, ale w każdym przypadku byłyby szkodliwe: błędne lub niespójne dane wprowadzone do bazy, wyciek danych lub nieautoryzowane ich usunięcie – to tylko kilka przykładów potencjalnych zagrożeń. Możliwe następstwa takich incydentów to m.in. czasowe wstrzymanie operacji biznesowych, narażenie na odpowiedzialność prawną (np. RODO, wytyczne KNF) lub kontraktową, straty finansowe i wizerunkowe dla organizacji.

Skuteczne mechanizmy ograniczające ryzyka cyberbezpieczeństwa zawsze muszą być wielopoziomowe – począwszy od odpowiednich polityk i procedur, poprzez dobre praktyki w zakresie rozwoju bezpiecznych aplikacji, skończywszy na ochronie infrastrukturalnej (m.in. Web Application Firewall). Pełen zestaw tych rozwiązań jest stosowany przez klienta, a zadaniem All for One było niezależne zweryfikowanie, za pomocą inwazyjnych testów penetracyjnych, czy podjęte środki organizacyjne i techniczne są wystarczające.

Pentesty aplikacji webowej

W ramach współpracy z klientem zespół All for One Poland przeprowadził testy penetracyjne rozbudowanej aplikacji customowej służącej do obsługi cyklu życia ubezpieczeń.

Badanie bezpieczeństwa przetwarzania danych w aplikacji towarzystwa ubezpieczeniowego trwało kilka tygodni, podczas których sprawdzaliśmy zachowanie systemu m.in. w reakcjach na typowe oraz nietypowe działania użytkowników. Wirtualnie wcielaliśmy się w role takie jak sprzedawca, telemarketer czy ubezpieczony, jak również weryfikowaliśmy zabezpieczenia aplikacji przed nieautoryzowanym dostępem.

Aplikacja zbudowana z wielu modułów webowych, różnorodnych punktów API oraz systemów do uploadu plików wymagała dogłębnego zrozumienia i metodycznego podejścia do testowania. Przeprowadzona analiza obejmowała zarówno ogólne aspekty bezpieczeństwa, jak również specyficzne ryzyka związane z przetwarzaniem danych osobowych klientów, transakcjami finansowymi i innymi istotnymi obszarami z punktu widzenia branży ubezpieczeniowej.

Sprawdzone obszary podatności

Nasze działania miały na celu nie tylko identyfikację potencjalnych wektorów ataków, ale także zapewnienie kompleksowego przeglądu bezpieczeństwa całego ekosystemu aplikacji. Zgodnie z metodologią OWASP nasz zespół skupił się na kluczowych obszarach podatności, które mogły stanowić ryzyko dla integralności, dostępności oraz poufności danych przechowywanych i przetwarzanych przez aplikację. Takie podatności obejmowały m.in:

Testowanie aplikacji w zakresie podatności na wstrzykiwanie kodu obejmuje:

  • SQL/noSQL Injection: testowanie aplikacji pod kątem możliwości wstrzykiwania nieautoryzowanych poleceń SQL/noSQL przez interfejs użytkownika. Celem jest wykrycie luk, które mogłyby pozwolić na nieautoryzowany dostęp do bazy danych, manipulację danymi lub ich usunięcie;
  • Cross-Site Scripting (XSS): analiza aplikacji w kontekście podatności umożliwiających atakującym wstrzykiwanie złośliwego skryptu do stron oglądanych przez inne osoby. Podatności te mogą skutkować kradzieżą danych sesji, przekierowaniem użytkowników na złośliwe strony lub wykonaniem innych niebezpiecznych operacji w przeglądarce ofiary;
  • Inne formy wstrzykiwania kodu obejmują testowanie aplikacji pod kątem innych, mniej powszechnych, ale równie krytycznych wektorów ataków, takich jak Command Injection (pozwalające na wykonanie dowolnych poleceń na systemie ofiary) czy XPath Injection, które umożliwiają manipulowanie zapytaniami do odpowiednich serwisów lub baz danych.

Testowanie aplikacji w celu weryfikacji, czy mechanizmy uwierzytelniania i zarządzania sesją są odpowiednio zabezpieczone przed nieautoryzowanym dostępem. Kontrola obejmuje polityki haseł, zarządzanie sesjami i mechanizmy uwierzytelniania.

cena sposobów przechowywania i transmisji danych wrażliwych w testowanych aplikacjach, aby zapobiec ich nieuprawnionemu ujawnieniu. Skupia się na szyfrowaniu danych.

Identyfikacja słabych punktów w testowanych aplikacjach, wynikających z domyślnych konfiguracji, przestarzałego oprogramowania czy nieprawidłowego zarządzania uprawnieniami. Celem jest wykrycie luk, które mogą prowadzić do nieautoryzowanego dostępu lub ujawnienia danych.

Skrupulatnie ocenialiśmy mechanizmy przesyłania plików, aby wykryć podatności umożliwiające atakującym przesyłanie złośliwego oprogramowania lub innych szkodliwych treści, które mogłyby zagrozić systemowi lub danych użytkowników.

Kluczowym elementem zastosowanego podejścia było manualne testowanie, co pozwoliło na dogłębne zrozumienie specyfiki aplikacji. Narzędzia do testów penetracyjnych były wykorzystywane jako wsparcie automatyzacji niektórych procesów, jednak decydujące było indywidualne podejście naszego zespołu.

Raport i re-test

Po przeprowadzonej analizie konsultanci All for One Poland przedstawili szczegółowy i przejrzysty raport z dowodami z przeprowadzonych testów penetracyjnych, uwzględniający zalecenia dotyczące poprawek. Klient wykazał się dużą determinacją w szybkim wdrożeniu zaleconych zmian. Dodatkowo przeprowadziliśmy konsultacje w zakresie doskonalenia stosowanych rozwiązań IT. A przeprowadzony re-test potwierdził skuteczne zaimplementowanie rekomendowanych poprawek.

Polecana oferta

Testy penetracyjne Pentesty elementów środowiska IT
Napisz do nas Zadzwoń Wyślij email






    1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
    2. Administratorem Danych Osobowych jest All for One Poland sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: iod@all-for-one.com.
    3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
    4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
    5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
    6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
    7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy All for One Poland sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. All for One Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

    61 827 70 00

    Biuro jest czynne
    od poniedziałku do piątku
    w godz. 8:00 – 16:00 (CET)

    Kontakt ogólny do firmy
    office.pl@all-for-one.com

    Pytania o produkty i usługi
    info.pl@all-for-one.com

    Pytania na temat pracy i staży
    kariera@all-for-one.com

    This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.