Application security в «Тинькофф»

Насколько российские банки импортозаместились на сегодняшний день? 

Если говорить о рынке в целом, пока процесс идет достаточно медленно. Некоторые решения сыроваты, в других не хватает важных фич. У нас есть отдельное направление, которое занимается импортозамещением, в проекте участвуют специалисты из разных областей. В основном мы смотрим в сторону российских продуктов, но, если не найдем подходящие, скорее всего, обратимся к китайским альтернативам. Отмечу, что в «Тинькофф» достаточно много самописных систем, но они закрывают далеко не все наши потребности. К тому же создавать продукты класса EDR или NGFW своими силами просто нерентабельно. 

Каких российских ИБ-инструментов вам не хватает?

В первую очередь ASPM. Их просто нет на рынке, даже молодыми продуктами пока не пахнет. Не хватает также хороших vulnerability-сканеров и NGFW. Они есть, но по качеству и количеству фич заметно отстают от западных решений. Мой личный топ выглядит так: 

• ASPM и ASOC,
• SGRC,
• Vulnerability scanners,
• NGFW.

Какие интересные отечественные продукты вы тестируете и внедряете прямо сейчас?

Во-первых, observability-решение для «куба» от Luntry. Оно позволяет отслеживать, что происходит внутри, плюс строить паттерны и детектить аномалии. Мы уже вышли в продакшен и интегрируем систему с другими нашими решениями.

Второй продукт — набор сканеров Vulns.io. Здесь мы пока на стадии пилотирования: решение сыровато, но выглядит очень перспективно. 

Реализуется ли в «Тинькофф» концепция securе by design?

Не просто реализуется, а является одним из ключевых ИБ-принципов. Наша главная задача — создать для пользователей безопасную среду, построенную в соответствии с принципами secure by design. В критически важные системы ИБ она закладывается уже на этапе проектирования, в остальные — в процессе реализации. После ухода западных вендоров эта концепция стала еще актуальнее. 

К примеру, у нас есть масштабная платформа для создания собственных ИТ-сервисов. На ней собраны все необходимые разработчикам инструменты — от GitLab до артефактория и Runtime. У нас 20 000 репозиториев, и модель PAAS позволяет оперативно раскатывать на них любые изменения. ИБ-специалисты активно участвуют в развитии платформы, многие средства защиты встроены в нее нативно. Мы аккумулируем найденные уязвимости и управляем ими в рамках единого окна — нам не приходится перекидывать код каждого продукта в условный Checkmarx. 

Расскажите о вашем технологическом стеке в части application security.

Его большую часть составляют open-source-решения. Во-первых, это выгодно. В основном вендоры продают лицензии по количеству устройств, а у нас их действительно много, поэтому суммы выходят космические. Во-вторых, проприетарные продукты нельзя эффективно интегрировать в наши бизнес-процессы. Приходится быть гибкими: брать open source, адаптировать и дописывать сверху необходимые control plane, а некоторые решения разрабатывать с нуля. 

Для анализа зависимостей мы используем связку Syft и Grype, также разрабатываем свой BlackBox композиционный анализатор. Статический анализ кода выполняем с помощью semgrep, поиск секретов в репозиториях — через gitleaks, сканирование IaC — через KICS. Для каждого сканера регулярно актуализируем набор правил: берем разработки сообщества плюс пишем сами. Новые правила проходят автоматизированный контроль качества для борьбы с false-positive-результатами. Инфраструктура для тестирования — тоже наша разработка. 

Помимо этого, мы используем OWASP ZAP для ряда динамических тестов на QA-стендах, он предоставляется как сервис в рамках PAAS. Развиваем fuzzing-тестирование с фокусом на memory-safe-языки и применяем для этого открытые решения (Jazzer, Atheris, libFuzzer) с собственной системой оркестрации. В рантайме защищаемся харденингом политики, используем OPA Gatekeeper и Cilium. Используем также собственные базовые distroless-образы. Для управления сканерами и выявленными недостатками применяем самописное ASPM- или ASOC-решение. Непрерывно сканируем инфраструктуру продуктами на базе Nmap и Nuclei.

В чем особенности защиты финтех-приложений? У вас есть четкая отраслевая специфика?

На инфраструктурном уровне различий нет — здесь, независимо от отрасли, все примерно одинаково. А вот на доменном появляется набор специфичных мер защиты. К критически важным системам, тем же платежным шлюзам, предъявляются намного более жесткие требования, например с точки зрения изоляции на физическом, инфраструктурном и сетевом уровнях. У нас также есть специфичные ИБ-контроли, связанные с отдельными процессами, например переводами, проверками сумм ввода и вывода средств.

18 млн рублей на платформе bug bounty

Сейчас вы фиксируете больше атак, чем в прошлом году?

В банке есть собственный security operations center, который помогает нам быть в курсе активности злоумышленников. Количество инцидентов растет с каждым годом, при этом паттерны хакеров не так уж сильно меняются. Уже привычные DDoS-атаки никуда не делись, хотя таргетированных атак стало заметно больше.

Отмечу, что злоумышленники активно атакуют не только крупный бизнес. Малый и средний бизнес далеко не всегда выделяет ресурсы на кибербезопасность, поэтому становится легкой мишенью.

Какие мероприятия вы проводите для повышения общей защищенности «Тинькофф»? 

Мы давно развиваем публичную и приватную багбаунти-программы. Разница между ними в том, что в рамках приватной мы платим за уязвимости не реальными деньгами, а внутренней валютой, которую можно тратить в корпоративном магазине. Кроме того, мы регулярно организуем ИБ-митапы и тренинги по безопасной разработке, раз в год проводим внутренний турнир CTF. Отдельно отмечу Month of Bugs: сотрудники ищут уязвимости в системах банка, получают за это очки и выигрывают призы. По сути, это часть внутренней bug bounty, но с элементами геймификации и рейтинговой системой. 

Что касается публичной программы, мы активно работаем с разными площадками и уделяем много внимания развитию комьюнити. Например, сотрудничаем с Positive Technologies в рамках Standoff Hacks и организуем ивенты для студентов, чтобы вовлечь их в багхантинг. С помощью этичных хакеров нам удается искать и исправлять уязвимости. Например, багхантеры исследовали механизм оплаты сторонних сервисов, заложенный в нашем приложении. Выяснилось, что на стороне сервера не валидируется параметр moneyAmount: это позволяло злоумышленникам подменять его значение и покупать услуги за 1 рубль.

Мы начинали несколько лет назад с достаточно маленьких выплат, когда к программам багбаунти в России еще только присматривались. Сейчас такие программы есть и у других крупных ИТ-компаний, конкуренция за исследователей растет, и выплаты тоже. За 2023 год мы выплатили хантерам более 18 млн рублей, а самая большая единовременная выплата составила около 1,5 млн рублей. Но мы не забываем и о дополнительной мотивации. Например, недавно сделали для багхантеров банковские карты с уникальным дизайном.

Какие инновационные ИБ-решения вы внедряете сегодня? Сколько пилотов и исследований в итоге уходят в продуктив? 

Мы исследуем возможности ML-технологий. Приведу несколько примеров:

1. AIST (SAST via ML). Используем собственные LLM для выявления уязвимостей в коде, их классификации и предложения исправлений. Решение позволяет пересмотреть подход к реализации правил SAST, снизить порог входа и повысить качество сканирования.
2. SCAML (SCA via ML). BlackBox SCA определяет зависимости в собранном артефакте. Решение анализирует паттерны дизассемблированного или исходного кода для определения компонентного состава артефактов. 
3. ML-механизмы для выявления аномалий в поведении прикладных систем и сетевом трафике.
   Проектов, которые в итоге уходят в продуктив, всегда меньше — порядка 30% от общего числа.

Но я бы не сказал, что остальные мы считаем неудачными. Если, проверяя гипотезу, мы понимаем, что таким образом задачу решить нельзя, то это положительный опыт. Неудача — это тоже своего рода успех. В компании даже есть цикл мероприятий Fuck Up Night, направленный на то, чтобы сотрудники перестали бояться ошибок.

Как вы относитесь к концепции результативной кибербезопасности?

Многие строят кибербезопасность, внедряя типовые процессы «по учебнику». В некоторых случаях этот подход не просто бесполезен, а может навредить. Мы фокусируемся на эффективности ИБ и ценности, которую она приносит компании. На мой взгляд, это и есть результативная кибербезопасность.

Отмечу, что у нас продуктовый подход к ИБ: строим CJM, измеряем time to market, собираем пользовательский фидбэк. Во многом именно это помогает нам реализовывать концепцию результативной кибербезопасности на практике.

Какие KPI стоят перед вами сегодня? 

Среди приоритетных целей отмечу сокращение срока жизни уязвимостей и расширение инструментального покрытия.

Другое важное направление — сокращение показателя time to market. Например, в части выпуска приложений в периметр. Это масштабный процесс, в рамках которого сервисы проходят порядка десяти ИБ-контролей. В начале 2023 года на это уходило около четырех дней, сейчас мы снизили этот показатель до 24 часов.