Анализ защищенности систем ДБО и интернет-банкинга
TRANSCRIPT
Бабенко Алексейстарший аудитор
«Информационная безопасность 2011: противодействие внешним и внутренним угрозам»г. Алмата, 18 марта 2011 года, отель Intercontinental
Защита ДБО и интернет-банков
По данным Global Security Report 2011, Trustwave
Что интересует злоумышленника?
Пути проникновения
По данным Global Security Report 2011, Trustwave
Эволюция векторов атаки
1980199020002010
физический доступ
сетевой доступ
e-mail, приложения, Wi-Fi
клиентские приложения, мобильные технологии, социальные сети
По данным Global Security Report 2011, Trustwave
Ни у кого не может возникнуть необходимость иметь компьютер в своем доме
«»
Кен Олсон – основатель и президент корпорации Digital Equipment Corp., 1977 г
По данным Annual Security Report 2010, Cisco
Спрос рождает предложение
Нас это не касается?
По данным Global Security Report 2011, Trustwave
Нас это не касается?
Особенности систем ДБО и интернет-банкинга
• Практически неограниченный доступ к системе из сети Интернет
• Работа с платежной информацией• Большое и динамически меняющиеся
количество пользователей• Ориентировка на любой уровень ИБ-
грамотности пользователя• Собственные разработки без учета
практик безопасного программирования
Модель нарушителя
• С правами в системе:– клиент системы– оператор системы– администратор системы
• С полным отсутствием прав:– подготовленный злоумышленник– слабо подготовленный злоумышленник– злоумышленник, реализующий атаку типа
«Отказ в обслуживании».– инсайдер провайдера.
Оценка приложения
• Оценка архитектуры системы, dataflow с позиции безопасности
• Оценка безопасности конфигурации окружения системы– настройки веб-сервера, СУБД и др.
• Оценка защищённости приложения (black/grey/white box) от наиболее опасных и популярных атак:– OWASP Top 10– SANS CWE Top 25– CERT Secure Coding
Работы по анализу защищенности
Анализ уровня безопасности системы
Формирование плана
Контроль исправления найденных уязвимостей
Устранение несоответствий
— техническая документация, схемы сети— исходные коды— конфигурации системных компонентов— тестовый доступ