На хакерской неделе (Moscow Hacking Week), которая пройдет 18-26 ноября в Москве, команды лучших специалистов по «белому» (этичному) хакингу решили сойтись в кибербитве Standoff, чтобы проверить на прочность ИБ-инфраструктуру программных решений для обслуживания различных секторов экономики виртуального государства F.
На макете будут представлены шесть отраслевых сегментов со своими технологическими и бизнес-процессами: энергетический, нефтегазовый, транспортный, финансовый, космический и городская экосистема.
Одним из основных процессов финансового сегмента станет организованный прием платежей через банковский интернет-эквайринг и сервисы СБП. Эти функции будут реализованы через программное обеспечение eKassir — «Payments Hub» и «Адаптер для СБП».
Инфраструктура обоих решений построена на операционной работе модулей Access Manager и Identity Gateway. Первый отвечает за организацию единого центра авторизации и управление учетными записями, а второй — является интерфейсом взаимодействия (API-шлюз), который, находясь перед группой микросервисов, регулирует отправку запросов к ним и доставку этих сервисов до пользователя.
Access Manager оперирует аутентификацией, вынесенной за пределы инфраструктуры сервиса. Модуль позволяет компенсировать недостатки традиционной многофакторной аутентификации, когда всякий раз при запросе сервиса требуется тратить время на подтверждение личности. Проблема решается при помощи SSO-технологии (единого входа), когда запрос проходит разовую безопасную аутентификацию.
«Высоконагруженные транзакционные решения, к которым относится Payments Hub, предполагают высокую устойчивость к кибератакам и угрозам, так как функционируют на уровне бэк-офиса и доступ к ним осуществляется как от платежных провайдеров, так и от каналов банковского обслуживания. Поэтому eKassir с интересом смотрит на процессы взламывания, которые ожидаются на Standoff. Другое наше решение, безопасность которого будут исследовать, „Адаптер для СБП“, охватывает все форматы платежных сценариев, проходящих через СБП. Высокая устойчивость этого ПО позволит банкам быть уверенным, что все транзакции в рамках Системы быстрых платежей пройдет без сбоев и инцидентов.
ПО eKassir регулярно проходит проверки на безопасность как на уровне конечных внедрений, так и на уровне тестирования „коробочных“ решений. Методология SDLC, которую мы используем, позволяет быть уверенным в киберустойчивости конечных решений. Но специально для Standoff мы оставили ряд уязвимостей, чтобы проверить, будут ли они найдены и каким образом будет происходить взлом»,
— прокомментировал участие в хакерской неделе генеральный директор eKassir, Алексей Зотов.