Валарм: Гибкая
и эффективная защита API для СберАвто

О СберАвто​​

СберАвто - сервис по выбору и покупке автомобиля онлайн, является частью экосистемы Сбера. Личный помощник подберет новое авто или автомобиль с пробегом, закажет независимый осмотр и оформит договор, подберет страховку и поможет подать заявку на кредит онлайн. Авто доставят к покупателю по всей России — прямо к подъезду или ближайший центр выдачи. И все это — не выходя из дома, с помощью нескольких сообщений в чате приложения или на сайте.

Технология API - REST API

Развертывание - ранее на инфраструктуре сервисного партнера, сейчас в собственной инфраструктуре на NGINX.

Под защитой: в первую очередь API и бизнес-логика на back end, также web-приложение и мобильное приложение.

В СберАвто все автомобили и объявления проходят проверку, что исключает возможность приобрести автомобиль с серого рынка. Каждый покупатель может получить детальный отчёт о проверке выбранного автомобиля, для этого необходимо просто написать через встроенный мессенджер персональному менеджеру.

Покупателю не нужно тратить время и лично общаться с каждым продавцом понравившегося автомобиля — на все вопросы ответит менеджер СберАвто. Для автодилеров СберАвто — это эффективный канал продаж своих автомобилей, который сэкономит время на оформлении документов и ускорит сопровождение сделки.

Почему в СберАвто начали поиск решения для защиты приложений и API?

Наличие вендора по защите приложений и API естественно вытекает из концепции гибкой защиты cloud-native продукта СберАвто. Основная точка входа и интеграции как между партнерами и сервисом, так и между клиентами и сервисом - это API. Таким образом, API является основной мишенью для негативного воздействия со стороны злоумышленника, поэтому защита API изначально была ключевой целью.

Сотрудничество с Валарм начали сразу после завершения этапа тестирования продукта. После выхода сервиса СберАвто из стадии MVP на рынок в 2020 году было внедрено средство защиты API от Валарм. Таким образом, защита извне реализована Валарм как единой точкой фильтрации на входе.

Почему выбрали именно Валарм?

Тестировали разные решения, представленные на российском рынке. Однако, какой-то из продуктов, оказался более ресурсоемким в поддержке и сопровождении, другой продукт был больше ориентирован на сегмент крупных enterprise-компаний. Решение от Валарм подходило по всем этим параметрам.

Решение от Валарм оказалось понятнее и проще в эксплуатации, а также достаточно гибким и способным обеспечить тот уровень защиты, который нам был необходим.“

– Кирилл Ильин, CISO, руководитель отдела кибербезопасности, СберАвто

Какие функции Валарм являются наиболее ценными для СберАвто:
  • Внедренный сканер DAST, который динамически проверяет все публикуемые API на FQDN. Также он показывает слабые места в инфраструктуре, выявляет стек уязвимостей на end-points, которые после оперативно устраняются.

  • Решение FAST, позволяющее тестировать безопасность новых приложений.

  • Простота эксплуатации. Для настройки конфигурации ноды и дальнейшей поддержки системы на протяжении года было достаточно одного специалиста. Сейчас команда выросла, но трудозатраты на взаимодействие с системой остались неизменны.

Ключевые задачи, которые закрывает Валарм
  • Безопасность критичных приложений

  • Защита API как точки интеграции с другими сервисами и продуктам

Готовы защитить свои веб-приложения и API?

Ведите разработку приложений быстро и тестируйте их защищенность с Валарм