Главная страница Hi-tech Информационная безопасность в банковской сфере

Информационная безопасность в банковской сфере

16.11.2019

penetrationtest Пентест (penetrationtest, пенетрейшн тест, тестирование на проникновение) – это анализ системы на наличие уязвимостей, метод оценки безопасности информационной системы путем моделирования атаки злоумышленников. «Правильное» тестирование на проникновение показывает, в каком состоянии находятся системы управления информационной безопасностью на практике, и в дальнейшем полученная информация может использоваться для их совершенствования.

Кому нужен пентест?

В России требование проводить тестирование на проникновение закреплено в нескольких положениях Банка России, а именно: 382-П, 683-П и 684-П. Причем последнее оказывает действиена некредитные финансовые организации.

  • В соответствии с п. 2.5.5.1 Положения № 382-П, Банк России требует обеспечить ежегодное тестирование на проникновение и анализ уязвимостей. информационной безопасности объектов информационной инфраструктуры.
  • Согласно п. 3.2 Положению № 683-П ЦБ также требует обеспечить ежегодный пентест и анализ уязвимостей.
  • В соответствии п.5.4 Положению № 684-П некредитные финансовые организации должны осуществлять тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Пентест дает наиболее полную картину о состоянии системы информационной безопасности, выявляет уязвимости в системе безопасности внешнего и внутреннего периметра сети, дает представление о работе отделов информационной безопасности, позволяет выработать план действий по устранению найденных уязвимостей. Таким образом, тестирование на проникновение – важный элемент обеспечения информационной безопасности банков.

Объекты тестирования на проникновение

Чаще всего в роли объектов исследований выступают: системы управления базами данных, сетевое оборудование, сетевые службы и сервисы (например, электронная почта), средства защиты информации, прикладное программное обеспечение, серверные и пользовательские операционные системы. Главной же особенностью проведения пентеста в банках является то, что основная цель состоит не только в получении доступанад контроллером домена, но также и в получении доступа к платежной системе банка.

Внешний и внутренний пентест

Тестирование на проникновение может быть внешним и внутренним. При проведении внутреннего пентеста проверяется наличие уязвимостей изнутри. Специалист получает физический доступ к сети или рабочему месту, при этом «этичный» хакер может как обладать правами рядового пользователя, так и не обладать ими вообще.

«Иногда даже доступ пользователя не нужен – достаточно просто компьютерной розетки для подключения ноутбука»,— отмечает Евгений Царев (RTM Group).

Внешний пентесттакже немаловажен. Он состоит из трех ключевых этапов: сбор информации, поиск уязвимостей и эксплуатация уязвимостей.

Источниками информации на первом этапе проведения внешнего пентеста, как правило, являются сайты и веб-серверы. Анализируется как информация, находящееся в общем доступе, так и информация, переданная заказчиком. В некоторых случаях анализу так же подвергается конфиденциальная информация, полученная от третьих лиц.

Второй этап – поиск уязвимостей. Для этого применяются специальные программы-сканеры. Наиболее популярные - XSpider, OpenVAS, Nessus, Maxpatrol.

Третий этап, эксплуатация уязвимостей, проводится только с согласия заказчика. Это связано с тем, что пентестеру нельзя допустить причинение ущерба инфраструктуре заказчика.

Особым направлением внешнего пентеста является социальная инженерия. Рассылка зараженных писем является ее наиболее применяемым и популярным видом. Результаты такой рассылки помогают не только понять, насколько эффективно работают антивирусные средства и инструменты мониторинга трафика, но и выявляют, насколько ответственно подходят сотрудники к получению таких писем. Зачастую сами сотрудники банка являются одновременно и важнейшей частью системы защиты, и ее слабейшим элементом. Одно лишь открытие зараженного письма может послужить поводом для внутреннего разбирательства и основанием для обучения сотрудников требованиям информационной безопасности. 

Классические уязвимости

«Наиболее распространенными уязвимостями являются не технические бреши, а слабые пароли. Также часто встречаются уязвимости терминальных серверов и применение устаревших операционных систем»,— рассказывает ведущий эксперт RTMGroup Федор Музалевский.

По мнению экспертов, пентест следует проводить регулярно, лишь в этом случае данная процедура сможет показать свою максимальную эффективность. Это связано с тем, что сегодня IT-сфера стремительно развивается, в том числе каждый день появляются новые уязвимости и эксплоиты, инфраструктура и условия функционирования информационных систем подвержены стремительным изменениям.

Результаты пентеста

По результатам проведенного пентеста экспертами предоставляется отчет о проделанной работе. На законодательном уровне форма и содержание такого отчета не регулируются, а это значит, что формат определяется самим экспертом.

По словамЕвгения Царева экспертаRTMGroup: «Подробное описание выполненных действий – вот мерило честности и квалификации специалиста, проводившего пентест».

Как результат,пентест позволяет выявить уязвимые места в организационной системе информационной безопасности и устранить их, прежде чем злоумышленники смогут ими воспользоваться и нанести серьезный ущерб организации. Поэтому тестирование на проникновение является необходимой составляющей обеспечения информационной безопасности как банков, так и любой другой организации.

Теги:

Комментарии

Добавить комментарий

:
:
:
НАВИГАЦИЯ
ВАШЕ МНЕНИЕ

Какое значение для России имеет 19 съезд партии «Единая Россия»?

1. Едросы повернулись к народу. Только не уточнили, каким местом...
2. На съезд пришел Владимир Путин и сказал судьбоносные слова: терзать и трясти чиновников-едросов.
3. Партия «Единая Россия» ведет Россию прежним курсом.
4. На 20-м съезде «ЕР» должны разоблачить культ личности (если найдется личность).
5. Партия «Единая Россия» очень хочет победить на грядущих выборах, значит, ещё усилятся репрессии.
6. Весь этот съезд: пи... пи... пи...
7. А что можно ждать России от политического трупа?
 

Всего проголосовало
14 человек
Прошлые опросы

▴ Открытый прямой эфир Дождя

Наши проекты

Издательский Дом "Водолей" - купить книгу или заказать издание своей

Суды и выборы - информационный сайт о выборах в Приморье с 1991 года