Аудит системы ДБО

bank-building-icon

По свидетельствам многочисленных источников за последние годы наблюдается устойчивый рост объемов средств, похищаемых злоумышленниками у клиентов банков через системы ДБО.

На черном рынке уже сложилась целая экосистема, объединяющая и регулирующая различные виды монетизации нелегальной активности в Интернет. Например, чтобы похищать средства у клиентов банка больше не обязательно быть высококлассным техническим специалистом (как в 90-ые), достаточно быть хорошим организатором:

 

  1. купить специализированную троянскую программу, приспособленную под конкретные системы ДБО (например, BS-Client и iBank);
  2. купить N узлов существующего ботнета для загрузки на них приобретенной ранее троянской программы;
  3. договориться с группой, занимающейся выводом и обналичиванием денежных средств.

На первый взгляд, сложилась парадоксальная ситуация: уязвимости в серверной части систем ДБО есть, но по ряду причин они не интересны злоумышленникам.

Сохранится ли эта тенденция в перспективе? - вот жизненно-важный вопрос при обеспечении безопасности систем ДБО со стратегической точки зрения.

По нашему мнению, по мере увеличения конкуренции на "темной стороне" Интернет, как состоявшиеся хакеры, так и амбициозные новички будут искать новые возможности проведения атак на клиентов.

Правдоподобным представляется следующий сценарий:

  • получение злоумышленником возможности контролировать учетную запись клиента банка;
  • проведение от имени клиента атаки на серверную часть ДБО с целью внедрения вредоносного кода на языке Javascript в сеансы работы других клиентов банка;
  • получение контроля над учетными записями этих клиентов и вывод денежных средств с их счетов.

Наше решение

Мы предлагаем комплексный анализ защищенности системы дистанционного банковского обслуживания (ДБО).

В зависимости от типа ДБО (стандартная система, кастомизированная система или разработка по индивидуальному заказу) и целей заказчика, мы предлагаем включать в область анализа все или подмножество перечисленных элементов:

  • непосредственно системы ДБО (клиентское и серверное ПО);
  • поддерживающую инфраструктуру;
  • процессы (контролирующие и поддерживающие);
  • персонал, задействованного в работе и обслуживании ДБО.

Например, для банка, использующего стандартную систему ДБО будет важно оценить, насколько минимизированы риски эксплуатации неизвестных уязвимостей в стандартном серверном ПО (например, BS-Client или iBank) за счет использования внешних систем обеспечения ИБ, а также организационных мер.

Работы, проводимые в рамках аудита безопасности системы ДБО:

Проведение работ по сбору актуальной информации об исследуемой системе и инфраструктуре. Цели проведения – выявление критичных информационных активов и оценка ущерба от возможных инцидентов информационной безопасности.

  • 1. Аудит организационно-распорядительной документации, интервьюирование сотрудников
  • 2. Аудит инфраструктуры и процессов

Проведение глубокого технического аудита инфраструктуры, процессов связанных с обеспечением информационной безопасности. Цель - повышение осведомленности о реальных процессах, протекающих в организации, проверка выполнения требований информационной безопасности.

  • 3. Тест на проникновение «черный ящик» для инфраструктуры ДБО

Проведение качественного теста на проникновение через внешний периметр сети и внутренние ресурсы организации. Проведение выборочных атак на персонал организации методами социальной инженерии. Цели проведения – выявить актуальные угрозы, связанные с автоматизированными атаками мало и средне мотивированных Злоумышленников с использованием доступных технических средств.

  • 4. Тест на проникновение «серый ящик» для приложения ДБО

Проведение целенаправленного глубокого теста на проникновение с использованием легитимных учетных записей ДБО. Цели проведения – выявить уязвимости, которыми могут воспользоваться высоко‑мотивированные злоумышленники и инсайдеры.

  • 5. Тест на проникновение «белый ящик» для приложения ДБО

Проведение аудита безопасности кода ДБО. Работы проводятся для систем ДБО, которые разработаны специально под организацию, либо для кастомизированных промышленных продуктов. Цели проведения – оценить качество разработанного кода и степень уязвимости приложения к атакам злоумышленников, выявить и устранить уязвимости критичных областей ДБО.

Основные принципы

  • 1. Ориентированность на тренды развития кибер-преступности.
Построение адекватной и полной модели угроз для системы ДБО является решающим фактором при реализации принципа разумной достаточности в системе безопасности. Неадекватная модель угроз может привести либо к нецелевому расходу средств, либо к незащищенности от некоторых угроз. И то и другое недопустимо. Именно поэтому все наши проекты начинаются с оценки адекватности и, в случае необходимости, корректировки существующей в банке модели угроз.
  • 2. Рассмотрение системы ДБО не только как технологии, но как совокупности технологии, процессов и персонала.
Знаменитое "Кадры решают всё!" как нельзя лучше подходит для характеристики роли регламентов и их исполнителей в системе ДБО. Хорошо известны случаи, когда хищение денежных средств удавалось избежать именно благодаря действиям сотрудников службы безопасности Банка. Поэтому для наших проектов мы предлагаем включать в область исследований оценку процессов обслуживания систем ДБО.
  • 3. Периодичность в переоценке актуальных угроз.
Лозунг "развитие технологий в наши дни идет семимильными шагами" таит в себе предупреждение любой службе безопасности крупной организации. Для того, чтобы вовремя среагировать на изменение угроз и не стать реактивным в борьбе со злоумышленниками, необходимо периодически проводить переоценку адекватности и полноты существующих мер обеспечения безопасности.

В результате выполненных работ Заказчик получает полное представление об имеющихся уязвимостях и «слабых местах» всей инфраструктуры ДБО, возможностях их использования, а также о вероятных последствиях их реализации.

Высокий уровень экспертизы позволяет также предложить рекомендации по устранению выявленных уязвимостей и совершенствованию процессов, которые существенно повысят уверенность Банка в безопасности используемых систем ДБО.