Особенности проведения тестов на проникновение в организациях банковской сферы

Содержание

Слайд 2

Тест на проникновение систем ДБО

2

© 2002—2010, Digital Security


Тест на проникновение систем ДБО

Тест

Тест на проникновение систем ДБО 2 © 2002—2010, Digital Security Тест на
на проникновение систем ДБО – два вектора:
Клиентская часть ПО
- Безопасность ActiveX
- Безопасность работы ПО с ЭЦП
Серверная часть системы
- Серверное ПО системы ДБО
- ПО обслуживающих серверов (ОС, СУБД, Веб-сервер)

Слайд 3

Безопасность клиентской части Интернет-Банка

3

© 2002—2010, Digital Security

С точки зрения злоумышленника, пользователь Интернет-Банка

Безопасность клиентской части Интернет-Банка 3 © 2002—2010, Digital Security С точки зрения
является более простой и удобной целью атаки, чем сам банк:
Пользователь защищен слабее банка
Пользователей гораздо больше – выше шансы успешной атаки

Результат атаки: получение доступа к любым операциям со счетами клиента и ключам ЭЦП.
Но:
ответственность клиента
ущерб репутации банка

Тест на проникновение систем ДБО

Слайд 4

Безопасность серверной части Интернет-Банка

4

© 2002—2010, Digital Security

Внешний нарушитель
Атакует внешний периметр и программное

Безопасность серверной части Интернет-Банка 4 © 2002—2010, Digital Security Внешний нарушитель Атакует
обеспечение Интернет-Банка
Внешний нарушитель – пользователь интернет-банка
Имеет счет (привилегированный пользователь)
Атакует приложение, используя свою учётную запись

Результат атаки: компрометация базы данных, получение доступа к банковской тайне, компрометация клиентов, получение доступа ко всем счетам, отказ в обслуживании

Тест на проникновение систем ДБО

Слайд 5

© 2002—2010, Digital Security

Типовые уязвимости Банк-Клиентов

5

Уязвимости клиентской части
Использование уязвимостей сервера, направленных на

© 2002—2010, Digital Security Типовые уязвимости Банк-Клиентов 5 Уязвимости клиентской части Использование
клиента (например, уязвимости WEB: CSRF, XSS)
Использование уязвимостей браузера
Использование уязвимостей компонентов браузера
Фишинг
Уязвимости серверной части
Уязвимости WEB ( SQL Injection, Local File Including, Code Execution, etc)
Использование уязвимостей программного обеспечения сервисов, например, веб-сервера.

Тест на проникновение систем ДБО

Слайд 6

© 2002—2010, Digital Security

Пример проникновения

6

При проведении теста на проникновение были обнаружены две

© 2002—2010, Digital Security Пример проникновения 6 При проведении теста на проникновение
уязвимости в системе ДБО:
уязвимость типа XSS на странице аутентификации банк-клиента
уязвимость переполнения буфера в клиентском компоненте ActiveX ДБО
Используя обе уязвимости, был создан демо-эксплойт, который выполняет произвольный код и внедряет его в URL с помощью уязвимости XSS. Таким образом мы получаем сценарий атаки на клиентов банка, использующий уязвимости как на стороне банка (XSS), так и на стороне клиента (выполнение кода), и позволяющий получить неавторизованный доступ к рабочей станции, которая работает с банк-клиентом.

Тест на проникновение систем ДБО

Слайд 7

7

Опыт компании по анализу защищенности Банк-Клиентов

© 2002—2010, Digital Security

Специализация по поиску уязвимостей

7 Опыт компании по анализу защищенности Банк-Клиентов © 2002—2010, Digital Security Специализация
в Банк–Клиентах: публикация информации о найденных уязвимостях на закрытом банковском форуме АРЧЕ.
Проведение анализа защищенности систем Интернет-Банка основных российских разработчиков: BSS, INIST, R-Style InterBank.
Результат работ показал, что большая часть систем ДБО содержит уязвимости, позволяющие нанести ущерб. За 2009 год было найдено множество уязвимостей, среди которых:
Buffer Overflow - выполнение произвольного кода
Ошибки в реализации - обход аутентификации
SQL Injection - доступ к БД
XSS - фишинг, атака на клиентов

Тест на проникновение систем ДБО

Слайд 8

© 2002—2010, Digital Security

Особенности теста на проникновение в соответствии с PCI DSS

8

Требование

© 2002—2010, Digital Security Особенности теста на проникновение в соответствии с PCI
11.3 стандарта PCI DSS
Область применения – область обработки, хранения, передачи карточных данных (рабочие станции, серверы, сетевое оборудование) – то есть все объекты, попадающие под QSA-аудит
Один раз в год или после серьезных изменений инфраструктуры
Цель – проникновение (а не доступ к данным!)

Особенности теста на проникновение в соответствии с PCI DSS

Слайд 9

© 2002—2009, Digital Security

Методика проведения тестов на проникновение

9

Тест на проникновение
Внешний периметр (из

© 2002—2009, Digital Security Методика проведения тестов на проникновение 9 Тест на
сети Интернет)
Внутренний периметр (внутри корпоративной сети)
Алгоритм проникновения
Поиск уязвимостей
Реализация уязвимостей
Продвижение вглубь системы
Обход существующих систем защиты

Алгоритм сканера
Поиск уязвимостей по сигнатурам
Генерация отчёта

Особенности теста на проникновение в соответствии с PCI DSS

Слайд 11

© 2002—2010, Digital Security

Задача – проникновение (не сканирование!)

11
Проникновение – получение доступа к

© 2002—2010, Digital Security Задача – проникновение (не сканирование!) 11 Проникновение –
ИС
Карточные данные – не цель; цель – среда.
Если есть доступ к среде, значит карточные данные не защищены.
! Шифрование данных не является достаточной защитой:
возможность получения доступа к данным до или после проведения криптографических процедур;
перехват аутентификационных данных.

Особенности теста на проникновение в соответствии с PCI DSS
Итоговый вывод об успешном прохождении теста на проникновение в данном случае делает только QSA-аудитор

Слайд 12

© 2002—2010, Digital Security

Качество теста на проникновение

12

Качество теста на проникновение
Опыт
Исследования в области

© 2002—2010, Digital Security Качество теста на проникновение 12 Качество теста на
ИБ
Квалифицированные специалисты
Контроль Совета PCI SSC
К критичным нарушениям QSA-аудитором процедуры проверки относятся:
Заведомо ложная трактовка аудитором требований стандарта
Обозначение в Отчете о Соответствии невыполненного требования как выполненного
Тест на проникновение – не просто сканирование
Отзыв статуса QSA у аудитора – проблемы с сертификатом у его заказчика

Особенности теста на проникновение в соответствии с PCI DSS

Слайд 13

© 2002—2010, Digital Security

Пример внутреннего теста на проникновение

13
Была подобрана учетная запись(DBSNMP) по

© 2002—2010, Digital Security Пример внутреннего теста на проникновение 13 Была подобрана
умолчанию к тестовому серверу СУБД ORACLE.
Данный сервер оказался связан БД-линком с основным сервером БД под непривилегированной учётной записью.
Используя данный линк, была найдена уязвимость SQL-инъекции в хранимой процедуре основного сервера БД. Используя эту уязвимость, удалось повысить свои права до администратора БД.

Особенности теста на проникновение в соответствии с PCI DSS

Слайд 14

Опыт компании

14

© 2002—2010, Digital Security

С 2002 года основные направления деятельности компании: проведение

Опыт компании 14 © 2002—2010, Digital Security С 2002 года основные направления
активного аудита защищенности внутренней сети, анализ защищенности бизнес-приложений, систем ДБО и тесты на проникновение. С 2008 года компания обладает статусом QSA и имеет ряд успешно завершенных проектов по сертификации на соответствие PCI DSS.
Созданный в 2007 году международно признанный исследовательский центр по поиску и анализу уязвимостей – DSecRG. Исследовательский центр имеет множество официальных благодарностей от таких компаний как: SAP, Oracle, IBM, HP.
В 2009 году Digital Security совместно с АРЧЕ создали открытое сообщество профессионалов PCIDSS.RU и выступают организаторами международной конференции PCI DSS Russia (www.pcidssrussia.com)

Особенности теста на проникновение в соответствии с PCI DSS

Имя файла: Особенности-проведения-тестов-на-проникновение-в-организациях-банковской-сферы.pptx
Количество просмотров: 258
Количество скачиваний: 0