Особенности проведения тестов на проникновение в организациях банковской сферы

Содержание

Слайд 2

Тест на проникновение систем ДБО

2

© 2002—2010, Digital Security


Тест на проникновение систем ДБО

Тест

Тест на проникновение систем ДБО 2 © 2002—2010, Digital Security Тест на
на проникновение систем ДБО – два вектора:
Клиентская часть ПО
- Безопасность ActiveX
- Безопасность работы ПО с ЭЦП
Серверная часть системы
- Серверное ПО системы ДБО
- ПО обслуживающих серверов (ОС, СУБД, Веб-сервер)

Слайд 3

Безопасность клиентской части Интернет-Банка

3

© 2002—2010, Digital Security

С точки зрения злоумышленника, пользователь Интернет-Банка

Безопасность клиентской части Интернет-Банка 3 © 2002—2010, Digital Security С точки зрения
является более простой и удобной целью атаки, чем сам банк:
Пользователь защищен слабее банка
Пользователей гораздо больше – выше шансы успешной атаки

Результат атаки: получение доступа к любым операциям со счетами клиента и ключам ЭЦП.
Но:
ответственность клиента
ущерб репутации банка

Тест на проникновение систем ДБО

Слайд 4

Безопасность серверной части Интернет-Банка

4

© 2002—2010, Digital Security

Внешний нарушитель
Атакует внешний периметр и программное

Безопасность серверной части Интернет-Банка 4 © 2002—2010, Digital Security Внешний нарушитель Атакует
обеспечение Интернет-Банка
Внешний нарушитель – пользователь интернет-банка
Имеет счет (привилегированный пользователь)
Атакует приложение, используя свою учётную запись

Результат атаки: компрометация базы данных, получение доступа к банковской тайне, компрометация клиентов, получение доступа ко всем счетам, отказ в обслуживании

Тест на проникновение систем ДБО

Слайд 5

© 2002—2010, Digital Security

Типовые уязвимости Банк-Клиентов

5

Уязвимости клиентской части
Использование уязвимостей сервера, направленных на

© 2002—2010, Digital Security Типовые уязвимости Банк-Клиентов 5 Уязвимости клиентской части Использование
клиента (например, уязвимости WEB: CSRF, XSS)
Использование уязвимостей браузера
Использование уязвимостей компонентов браузера
Фишинг
Уязвимости серверной части
Уязвимости WEB ( SQL Injection, Local File Including, Code Execution, etc)
Использование уязвимостей программного обеспечения сервисов, например, веб-сервера.

Тест на проникновение систем ДБО

Слайд 6

© 2002—2010, Digital Security

Пример проникновения

6

При проведении теста на проникновение были обнаружены две

© 2002—2010, Digital Security Пример проникновения 6 При проведении теста на проникновение
уязвимости в системе ДБО:
уязвимость типа XSS на странице аутентификации банк-клиента
уязвимость переполнения буфера в клиентском компоненте ActiveX ДБО
Используя обе уязвимости, был создан демо-эксплойт, который выполняет произвольный код и внедряет его в URL с помощью уязвимости XSS. Таким образом мы получаем сценарий атаки на клиентов банка, использующий уязвимости как на стороне банка (XSS), так и на стороне клиента (выполнение кода), и позволяющий получить неавторизованный доступ к рабочей станции, которая работает с банк-клиентом.

Тест на проникновение систем ДБО

Слайд 7

7

Опыт компании по анализу защищенности Банк-Клиентов

© 2002—2010, Digital Security

Специализация по поиску уязвимостей

7 Опыт компании по анализу защищенности Банк-Клиентов © 2002—2010, Digital Security Специализация
в Банк–Клиентах: публикация информации о найденных уязвимостях на закрытом банковском форуме АРЧЕ.
Проведение анализа защищенности систем Интернет-Банка основных российских разработчиков: BSS, INIST, R-Style InterBank.
Результат работ показал, что большая часть систем ДБО содержит уязвимости, позволяющие нанести ущерб. За 2009 год было найдено множество уязвимостей, среди которых:
Buffer Overflow - выполнение произвольного кода
Ошибки в реализации - обход аутентификации
SQL Injection - доступ к БД
XSS - фишинг, атака на клиентов

Тест на проникновение систем ДБО

Слайд 8

© 2002—2010, Digital Security

Особенности теста на проникновение в соответствии с PCI DSS

8

Требование

© 2002—2010, Digital Security Особенности теста на проникновение в соответствии с PCI
11.3 стандарта PCI DSS
Область применения – область обработки, хранения, передачи карточных данных (рабочие станции, серверы, сетевое оборудование) – то есть все объекты, попадающие под QSA-аудит
Один раз в год или после серьезных изменений инфраструктуры
Цель – проникновение (а не доступ к данным!)

Особенности теста на проникновение в соответствии с PCI DSS

Слайд 9

© 2002—2009, Digital Security

Методика проведения тестов на проникновение

9

Тест на проникновение
Внешний периметр (из

© 2002—2009, Digital Security Методика проведения тестов на проникновение 9 Тест на
сети Интернет)
Внутренний периметр (внутри корпоративной сети)
Алгоритм проникновения
Поиск уязвимостей
Реализация уязвимостей
Продвижение вглубь системы
Обход существующих систем защиты

Алгоритм сканера
Поиск уязвимостей по сигнатурам
Генерация отчёта

Особенности теста на проникновение в соответствии с PCI DSS

Слайд 11

© 2002—2010, Digital Security

Задача – проникновение (не сканирование!)

11
Проникновение – получение доступа к

© 2002—2010, Digital Security Задача – проникновение (не сканирование!) 11 Проникновение –
ИС
Карточные данные – не цель; цель – среда.
Если есть доступ к среде, значит карточные данные не защищены.
! Шифрование данных не является достаточной защитой:
возможность получения доступа к данным до или после проведения криптографических процедур;
перехват аутентификационных данных.

Особенности теста на проникновение в соответствии с PCI DSS
Итоговый вывод об успешном прохождении теста на проникновение в данном случае делает только QSA-аудитор

Слайд 12

© 2002—2010, Digital Security

Качество теста на проникновение

12

Качество теста на проникновение
Опыт
Исследования в области

© 2002—2010, Digital Security Качество теста на проникновение 12 Качество теста на
ИБ
Квалифицированные специалисты
Контроль Совета PCI SSC
К критичным нарушениям QSA-аудитором процедуры проверки относятся:
Заведомо ложная трактовка аудитором требований стандарта
Обозначение в Отчете о Соответствии невыполненного требования как выполненного
Тест на проникновение – не просто сканирование
Отзыв статуса QSA у аудитора – проблемы с сертификатом у его заказчика

Особенности теста на проникновение в соответствии с PCI DSS

Слайд 13

© 2002—2010, Digital Security

Пример внутреннего теста на проникновение

13
Была подобрана учетная запись(DBSNMP) по

© 2002—2010, Digital Security Пример внутреннего теста на проникновение 13 Была подобрана
умолчанию к тестовому серверу СУБД ORACLE.
Данный сервер оказался связан БД-линком с основным сервером БД под непривилегированной учётной записью.
Используя данный линк, была найдена уязвимость SQL-инъекции в хранимой процедуре основного сервера БД. Используя эту уязвимость, удалось повысить свои права до администратора БД.

Особенности теста на проникновение в соответствии с PCI DSS

Слайд 14

Опыт компании

14

© 2002—2010, Digital Security

С 2002 года основные направления деятельности компании: проведение

Опыт компании 14 © 2002—2010, Digital Security С 2002 года основные направления
активного аудита защищенности внутренней сети, анализ защищенности бизнес-приложений, систем ДБО и тесты на проникновение. С 2008 года компания обладает статусом QSA и имеет ряд успешно завершенных проектов по сертификации на соответствие PCI DSS.
Созданный в 2007 году международно признанный исследовательский центр по поиску и анализу уязвимостей – DSecRG. Исследовательский центр имеет множество официальных благодарностей от таких компаний как: SAP, Oracle, IBM, HP.
В 2009 году Digital Security совместно с АРЧЕ создали открытое сообщество профессионалов PCIDSS.RU и выступают организаторами международной конференции PCI DSS Russia (www.pcidssrussia.com)

Особенности теста на проникновение в соответствии с PCI DSS

Имя файла: Особенности-проведения-тестов-на-проникновение-в-организациях-банковской-сферы.pptx
Количество просмотров: 306
Количество скачиваний: 0
- Предыдущая
Тест на проникновение в соответствии с PCI DSS
Следующая -
VISUAL STUDIO 2010 И .NET 4.0 Калита Роман TaskManagementSoft

Похожие презентации

Тема: «Апробация и внедрение гендерного подхода в обучении физической культуре».
Правила поведения в магазине
Действие магнитного поля на проводник с током
Эффективная рекламная кампания турфирмы в Интернете
Презентация проекта «Земля заболела» 4-й класс Прогимназии 1801
Дискурсивные маркеры. Тема IV-14
Презентация на тему Строение и значение дыхательной системы
Карева Е.Н.
Презентация на тему Родословная в детском саду: история и образ семьи
Игра Овервотч
МОУ «Першинская средняя школа» представляет
Второе воскресенье по Пасхе - Антипасха, Апостола Фомы, Красная горка
Комплекс услуг по ответственному хранению печатной продукции; Качественное экспедирование оптовых и розничных тиражей печатной
Наблюдение как метод психолого-педагогического исследования
Своеобразие лирики Бориса Леонидовича Пастернака
Система менеджмента на примере коммерческого предприятия:«ВЕГА-МЕБЕЛЬ» Подготовили: Студентки группы Т-114с Губанова Мария и Кли
Юрий Гагарин и парк в его честь
Организация проката и ремонта оборудования и инструмента
Тэд Треллер, Уайт Рейнолдс Интернэшнл Деловой Форум «Природные ресурсы для будущего» Сыктывкар, Республика Коми, Февраль 2004 Делов
Электронный «Паспорт здоровья школьника» интегратор результатов мониторинга и инструмент образовательной среды
делимость чисел на 3 и 9
Контакт-центр Лайт
Приглашаем в бизнес с холдингом Закон успеха
Народный студенческий театр МЫ (фотографии)
Масса тела. Плотность вещества
Тела, вещества, частицы
Ручной труд – средство развития волевых качеств личности у детей с общим недоразвитием речи.
Понятие и этапы криминологического исследования
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть