Валарм и Банк 131:
NG WAF как превентивная
защита приложений и API

О Банке 131

Банк 131 — первая частная компания, получившая лицензию Банка России за последние несколько лет. Банк 131 предлагает решения для интернет- площадок, где люди взаимодействуют друг с другом: что-то продают, предлагают услуги, учатся и учат онлайн и хотят получать и платить за это деньги удобно и безопасно. Банк не выдает кре- диты и размещает собственный капитал и средства клиентов на депозите в ЦБ.

Почему потребовалась защита приложений и API?

«Банк 131» — это молодой финтех-стартап, получивший в 2019 году лицензию Центрального Банка РФ.  Директор по информационной безопасности банка, Сергей Бурдин, к моменту старта пилота имел позитивный опыт внедрения Валарм WAF. Выстраивание процесса информационной защищенности в банке было начато с установки платформы Валарм, несмотря на отсутствие проблем с защищенностью периметра в прошлом. Организации в финансовой сфере неизбежно сталкиваются со сходными угрозами безопасности, поэтому было принято решение в превентивном порядке защитить веб-приложения и API, не дожидаясь начала каких-либотатак.

ДО установки Валарм WAF

До Валарм WAF в «Банк 131» не было другого вендора, так как построение безопасности в компании начали как раз с установки защиты от DDoS и приобретения Валарм WAF. Как показывает практика, с ростом трафика возникнет явная потребность в защите приложений и API от атак. Через это проходят все растущие бизнесы. Однако, когда это коснется «Банк 131», его инфраструктура уже будет подготовлена и защищена.

Выбор вендора WAF

В организации процесса выбора вендора руководитель ИБ не увидел необходимости, 
в силу наличия позитивного опыта долговременного сотрудничества с Валарм. Решение от Валарм отвечает всем запросам. Для специалистов по безопасности банка это был очевидный выбор.

Размер команды, отвечающей за поддержку Валарм WAF

В банке за информационную безопасность отвечает относительно небольшая команда, а значит чем меньше ресурсов тратится на работу с WAF, тем большую ценность для бизнеса имеет само решение. Относительно трудозатрат в повседневном пользовании платформой Валарм WAF полностью отвечает требованиям заказчика.

Что защищает Валарм WAF?

Под защитой Валарм и личные кабинеты, и Дистанционное Банковское Обслуживание, и API, и корпоративный сайт, и вообще все, что смотрит в паблик.

Какая технология API используется, и как развернуты ноды Валарм?

В банке используется REST API. А ноды Валарм установили из репозитория по инструкции. В процессе установки у заказчика никаких сложностей не возникло. Через Telegram поддержку сотрудники Валарм оперативно реагировали на все возникающие вопросы. Интегрирация заняла неделю.

ПРОБЛЕМА

«Покупка Валарм WAF стала скорее превентивной мерой, чем решением уже возникшей проблемы. Потенциальных проблем решили вообще не допускать.»

Сергей Бурдин, Директор по инфор- мационной безопасности Банка 131

Наиболее ценные функции Валарм WAF
  • Первое, конечно, это защита веб-приложений. Это то, зачем было приобретено решение. В прошлом году в Банке 131 проводился незави- симый аудит ИБ — пентест, так как уже осуществлялось обслуживание клиентов, проводились платежи. По итогам, со включен- ным Валарм WAF в режиме блокировки пентестерам не удалось пробить периметр снаружи. Это говорит о том, что если в приложении и были какие-то уязвимости, то Валарм их закрыл эти риски и не пустил “злоумышленников”.

ПРОЦЕСС

«Валарм WAF дает разработчикам право на ошибку. Людям свойственно время от времени ошибаться. Даже если какая-то уязвимость была оставлена в приложении, то Валарм не допустит ее эксплуатации и поможет предотвратить взлом, не допустит доступа к конфиденциальной информации, подмены данных и других рисков ИБ»

Сергей Бурдин, Директор по инфор- мационной безопасности Банка 131

  • Второе, это возможность вовремя узнать об уже существующих ошибках в приложении. В плане функционала весьма полезным оказался сканер периметра уязвимостей. Это полезная фича, которая очень облегчает жизнь. При допущении ошибки на этапе разработки, Валарм вовремя это заметит и даст знать. Благодаря чему удается вовремя исправить ошибки и в дальнейшем никогда с ними не сталкиваться.

Готовы защитить свои веб-приложения и API?

Ведите разработку приложений быстро и тестируйте их защищенность с Валарм