Интернет-банкинг оценки соображений безопасности
Aug 05, 2008 в банковской сфере и EFTPoS, безопасность
Мне было предложено какое-то время назад, какие вещи могут быть рассмотрены при просмотре Интернет-банкинга.
Ниже приведен список вещей, которые могли бы быть рассмотрены. Она была просто свалка мозг и как таковая не может быть полной.
Нельзя недооценивать значение стандарта для вашей инфраструктуры, конфигурация сайта, базы данных конфигурации двигателя / архитектура, постановка обстановки и развития / качества окружающей среды.
Некоторые мысли:
- Многие не блокировки счета после Х "не входы, как правило, это делается для хорошего обслуживания клиентов, но оставляет систему уязвимой.
- И все остальные вещи Ожидается для удаленного сеанса (принудительный пароль изменений, старение и т.д.))
- Инструменты, такие, как Брут можно использовать для грубой силой взломать проверку подлинности сессий.
- Многие разрешить сессии последовательность номеров будет увеличено, что позволяет авторизованным пользователям просматривать другой клиент сессии.
- Это может быть сервер стороне, на стороне клиента, основанные Cookie и т.д.
- Получить-то проверить, развития методологии и код используется.
- Строки запроса к базе данных могут быть помещены в тестовую запись полей, что позволяет таблице свалок в браузере.
- Проверить все страницы служил надежности и содержат аутентификации пользователя флаги.
- Заказчиком данных не может быть отдельно, это должно быть проверено.
- Заказчиком данных, не должен проживать на веб-сервере.
- Аутентификация базы данных / система данных не должен проживать на веб-сервер.
- В базах данных, должны храниться на частном / полуприцеп-частные сети.
- Различные сегменты на основной банковской системы.
- Webserver должна быть двойной homed или эквивалент (VLAN некоторые методы хороши)
- Отдельные частные и государственные сетевые карты, мониторинг / резервное копирование / Администрация
- Инфраструктура комплекс мер явно отрицает входящего / исходящего портов, частных IP мониторинг И вырваться из сети.
- На все данные, сегрегация пунктов правил обеспечения находятся в месте, которое оценивает движение, хотя этот момент.
- Все данные о клиентах, где это возможно следует, заимствованных из безопасных обратно на конец базой данных.
- Это может быть постановка обстановки. т.е. не основной банковской системы.
- Это обычно позволяет операциях, как в реальном масштабе времени с клиентом.
- Многие операции могут быть batched на практике. (внутренние или внешние к берегу)
- Обеспечение подходящего правила были определены меры по межсетевым экранам.
- Там должны быть въездному и выездному правила брандмауэров и фильтрующих маршрутизаторов.
- Не допускайте каких-либо инфраструктуры на передний край к возможным удаленное административных соединений. (Telnet и т.д.)
- Использовать последовательный порт консоли для подключения к серверу и обратно в конце терминал-сервер.
- Ищите сегрегации / постановка на содержание сети заказчика от основной банковской системы
- Убедитесь в том, что отдельные развития / ОК / производственной среде системы и пригодны процесс на месте.
- Услуги, не используются системы являются активными
- Они должны быть отключены.
- Порт сканирование поддержки инфраструктуры (маршрутизаторов / коммутаторов) и сервера (ов).
- Расследованию причин все открытые порты.
- Не использовать основной шлюз для надежного партнера доступа (очистка / РАН / и т.д.)
- У всех стандартных что IIS проверок и проверок NT (Примеры скриптов, управления изменениями, ямочный ремонт методологии и т.д.)
- Обеспечить отказ в обслуживании меры предосторожности были приняты во внимание для всех инфраструктуры и серверного оборудования.
- Проверить адекватность процедуры эскалации используется.
- Смотри в режиме реального времени мониторинга и оповещения.
- Посмотрите на матрицу ответственности.
- Посмотрите на владение вопросов.
- Рассмотрим вверх перевозчика (ов) уязвимости (отказ в обслуживании, подмену IP, DNS взлома и т. д.)
- Рассмотрим социальной инженерии заказчика, административных, партнер счета / системы / инфраструктуры.
- Helpdesk процедур и политики и / или альтернативных технологий (Caller ID, IP шлюза и т.д.).
- Использование паролей динамичных, где это возможно (SecureID, TACACS и т.д.).
- Использование зашифрованных туннелей, где необходимо (IPSec, брандмауэр 1, и т.д.)
- Рассмотрим глядя на другого клиента аутентификации методов совершенствования существующих методов.
- Цифровые Cert, IP адрес заблокирован на счет и т.д.
- Рассмотреть вопрос об использовании CVV или КППВ в банк выпустил карты.
- Рассмотрим, как Паролею распределяются / изменила для клиентов.
- Обычный текст, электронную почту, телефон и т.д.
- Может быть изменены пароли в сети?
- Есть дополнительная аутентификация, используемых между разделами услуги, как только авторизованным?
- Рассмотрим то, что клиент имеет доступ к некогда подлинности.
- Посмотри на SWIFT, РТГ, межбанковские переводы, доступ к кредитным карточкам и т.д.
- Если злоумышленнику получить в то, что можно сделать?
- Использование методов для обеспечения страниц, клиент подробности не кэшированных на провайдера или клиента системы.
- Эти флаги, которые могут быть установлены в пределах страницы.
- Обычно SSL кэшируется, но некоторые прокси-продавцов были играть с методами это сделать.
- Кэширование SSL-страниц на клиента система может быть включен в некоторых браузерах.
- Май банкам использовать Java (или аналогичный) апплет для всех заказчиков взаимодействие, ограничивая кэширование всех вопросов.
- Обеспечение бумажных и по линии ответственности, имеются положения, которые рассматриваются все осуществляется районах.
- Обеспечить в рамках клиент зарегистрироваться процессе банковского ответственности снижается.
- Я видел заявления, как "использовать эту систему на свой страх и риск, ответственности за какие-либо ответственность или претензия будет не ... ..."
- Не очень заказчика целенаправленную, но вот что их правового департамента рекомендуется.
Все вышеперечисленное можно осуществить безопасность и / или эксплуатации на соответствие банковской системы.
Другие вещи для рассмотрения следующих вопросов:
- Внешние развития и поддержки приложений.
- Владение и управление аппаратно-приложений
- Издательские центры по новым содержанием (внутренний / частного / доверять сеть или Интернет)
- Топология интерфейса. Т. е. архитектура безопасности документе должны быть созданы и управляются надлежащим образом.
- Ограничиваются ЗС испытаний, когда были внесены изменения в окружающей среде? т.е. комплексного ЗС в процесс управления изменениями.
- База данных доступа. Является ли это буферный или он проживает в основной банковской системы.
- Какие объекты предоставляются? Прямой дебет + Кредитная карта + SWIFT + ... .... Рассмотрим различные сценарии для вашей атаки в зависимости от особенностей.
- Какие другие услуги распределяются внутри сегмента сети, что Интернет-банкинг служба запущена. Может ли это быть использованы для компромисса Интернет Банкинг сайте. напр. различных поддержка / бизнес / развитие организации с различной стратегии в области безопасности / профили.
- Рассмотрим все внешние вспомогательные услуги в тебе AP. Посмотрите на внутренний / внешний DNS отравления возможностей, связанных с ретрансляцией почты и т.д. Что делать в ИПС они используют в ПКС любую возможность для доступа к системам поддержки или услуг, которые могут повлиять на интернет-банкинга.
- В зависимости от размера банка, многие организации не используют один и тот же группы поддержки для развития инфраструктуры и приложений. Как результат внешних подключений к инфраструктуре может быть предоставлена по внешней поддержки организации для управления инфраструктурой.
- Посмотрите на бизнес-пользователей и методов аутентификации и пути (на стороне клиента сертификаты, надежного кода, Smart Card и т.д.). Рассмотрим два фактора аутентификации пользователей и современные методы идентификации. напр. Какой ваш любимый питание в дополнение к нормальным имена пользователей и пароли. У системного администрирования персонала использовать динамические пароли (SecureID, и т.д.)?
- Смотрите, если Интернет-банк направляет заявку на электронную почту пользователей, которые могут содержать интересную информацию.
- Улучшение доступа к применению в целом могут быть получены после доступа к системе. т.е. получить законные счета в системе. Я обнаружил, что некоторые выборки / Администрация экраны были ограничены только авторизованным пользователям.
- Рассмотрим социальной инженерии Помощь иметь учетную запись паролем.