Валарм: Гибкая
и эффективная защита API для СберАвто
СберАвто - сервис по выбору и покупке автомобиля онлайн, является частью экосистемы Сбера. Личный помощник подберет новое авто или автомобиль с пробегом, закажет независимый осмотр и оформит договор, подберет страховку и поможет подать заявку на кредит онлайн. Авто доставят к покупателю по всей России — прямо к подъезду или ближайший центр выдачи. И все это — не выходя из дома, с помощью нескольких сообщений в чате приложения или на сайте.
Технология API - REST API
Развертывание - ранее на инфраструктуре сервисного партнера, сейчас в собственной инфраструктуре на NGINX.
Под защитой: в первую очередь API и бизнес-логика на back end, также web-приложение и мобильное приложение.
В СберАвто все автомобили и объявления проходят проверку, что исключает возможность приобрести автомобиль с серого рынка. Каждый покупатель может получить детальный отчёт о проверке выбранного автомобиля, для этого необходимо просто написать через встроенный мессенджер персональному менеджеру.
Покупателю не нужно тратить время и лично общаться с каждым продавцом понравившегося автомобиля — на все вопросы ответит менеджер СберАвто. Для автодилеров СберАвто — это эффективный канал продаж своих автомобилей, который сэкономит время на оформлении документов и ускорит сопровождение сделки.
Наличие вендора по защите приложений и API естественно вытекает из концепции гибкой защиты cloud-native продукта СберАвто. Основная точка входа и интеграции как между партнерами и сервисом, так и между клиентами и сервисом - это API. Таким образом, API является основной мишенью для негативного воздействия со стороны злоумышленника, поэтому защита API изначально была ключевой целью.
Сотрудничество с Валарм начали сразу после завершения этапа тестирования продукта. После выхода сервиса СберАвто из стадии MVP на рынок в 2020 году было внедрено средство защиты API от Валарм. Таким образом, защита извне реализована Валарм как единой точкой фильтрации на входе.
Тестировали разные решения, представленные на российском рынке. Однако, какой-то из продуктов, оказался более ресурсоемким в поддержке и сопровождении, другой продукт был больше ориентирован на сегмент крупных enterprise-компаний. Решение от Валарм подходило по всем этим параметрам.
”Решение от Валарм оказалось понятнее и проще в эксплуатации, а также достаточно гибким и способным обеспечить тот уровень защиты, который нам был необходим.“
– Кирилл Ильин, CISO, руководитель отдела кибербезопасности, СберАвто

Внедренный сканер DAST, который динамически проверяет все публикуемые API на FQDN. Также он показывает слабые места в инфраструктуре, выявляет стек уязвимостей на end-points, которые после оперативно устраняются.
Решение FAST, позволяющее тестировать безопасность новых приложений.
Простота эксплуатации. Для настройки конфигурации ноды и дальнейшей поддержки системы на протяжении года было достаточно одного специалиста. Сейчас команда выросла, но трудозатраты на взаимодействие с системой остались неизменны.
Безопасность критичных приложений
Защита API как точки интеграции с другими сервисами и продуктам