اخبار داخلی آرمان داده پویان

مقالات

تست نفوذ و ارزیابی امنیتی بانک‌ها و موسسات مالی

۵ شهریور ۱۳۹۸

ارزیابی امنیتی و تست نفوذ بانک‌ها و موسسات مالی

سارقان بانکی در گذشته به بانک‌ها حمله می‌کردند و اقدام به سرقت پول می‌نمودند امروز دیگر چندان با این شیوه از سرقت مواجه نیستیم، بلکه بانک‌ها هر روزه با حملات و تهدیدات سایبری روبه رو هستند. سرویس‌هایی از قبیل: ارزیابی امنیتی و تست نفوذ، پویش آسیب پذیری، سنجش مهندسی اجتماعی، ارزیابی ریسک و کشف نفوذ و پاسخگویی به حوادث از جمله راهکارهای امنیتی هستند که بانک‌ها و موسسات مالی برای محافظت هر چه بیشتر در مقابل تهدیدات سایبری و حفظ امنیت خود می‌توانند به کار گیرند.

به صورت عمومی، برای بانک‌ها و موسسات مالی می‌توان دو دسته ارزیابی امنیتی و تست نفوذ را در نظر گرفت. دسته اول ارزیابی امنیتی و تست نفوذ مشتری محور/ سازگاری محور است. دسته دوم ارزیابی امنیتی و تست نفوذ با بهره برداری از عوامل مختلفی مانند اقدام به نفوذ به شبکه می‌باشد.

تست نفوذ مشتری محور/ سازگاری

به طور مثال تقاضای بانک این است: بانک دارای یک برنامه کاربردی وب بنیان است و یکی از مشتریان بزرگش تقاضای اجرای یک تست نفوذ شخص سوم  را دارد. در این سناریو در واقع بانک یک ارزیابی آسیب پذیری بر روی برنامه کاربردی وب بنیانش می‌خواهد. شرکت ارائه دهنده خدمات تست نفوذ با استفاده از ابزار تست نفوذ و همچنین روش‌های دستی، آزمون ارزیابی امنیتی بر روی برنامه کاربردی وب بنیان بانک را انجام داده و در آخر، گزارش ارزیابی امنیتی را به همراه راهکارهای مرتبط به بانک ارائه می‌دهد. این موضوع را می‌توان یک ممیزی امنیت هم در نظر گرفت.

در این روش شرکت ارائه دهنده تست نفوذ یک گزارش کامل به همراه جزئیات و قید کردن متدهای استفاده شده، نتایج سنجش، کدهای مربوط به Proof of Concept و همچنین راهکارهای موثر برای رفع سریع و درست آسیب پذیری‌های کشف شده ارائه می‌دهد.

سنجش نفوذ پذیری شبکه

تست نفوذ شبکه

در این زمان درخواست بانک مبنی بر سنجش و بهبود وضعیت امنیت موجود بانک است و آن‌ها نیاز دارند تا یک هکر قانونی (شرکت ارائه دهنده خدمات تست نفوذ و ارزیابی امنیتی) اقدام به نفوذ به شبکه بانک نماید. این روش به عنوان Red Team exercise نیز شناخته می‌شود. این نوع از تست نفوذ در سنجش میزان آمادگی بانک در مقابل تهدیدات امنیتی بسیار موثر است. در این نوع تست نفوذ روش‌هایی که برای بهره برداری از افراد، روندها و فناوری‌ها از طرف مهاجمین ممکن است بر ضد بانک استفاده شود سنجیده خواهد شد. در این تست روش‌های مهندسی اجتماعی نیز به کار گرفته خواهد شد. این سنجش‌ها پاسخگویی و همچنین نحوه عملکرد تیم امنیت را مورد بررسی قرار می‌دهد. در ادامه دو سناریو را توضیح خواهیم داد.

مثالی از چالش امنیتی یک بانک

یک بانک درخواست افزایش میزان محافظت سرویس‌های آنلاین را در برابر تهدیدات سایبری دارد. این بانک نیاز دارد تا تمامی نقاط ضعف امنیتی برنامه کاربردی وب بنیان خود را شناخته و ریسک سواستفاده از سرویس‌های شبکه را کاهش دهد. بر اساس این نیاز بایستی کارهای زیر انجام پذیرد:

  • ارزیابی ریسک‌های امنیتی در ارتباط با برنامه‌های کاربردی وب بنیان مهم و سرویس‌های شبکه
  • ارائه راهکار برای افزایش سطح امنیت سیستم‌های اطلاعات

راهکار

یک راهکار می‌تواند این باشد:

  • تحلیل اطلاعات از منابع عمومی
  • ارزیابی آسیب‌پذیری‌ها: کشف آسیب پذیر‌ی‌ها در وب هدف و سرورهای برنامه‌های کاربردی همراه با استفاده از ابزار خودکار
  • روش‌های تست نفوذ جعبه سفید و جعبه سیاه
  • اقدام به نفوذ توسط متخصصین تست نفوذ با تجربه و دارای مدارک معتبر و مرتبط. این کار به منظور تایید آسیب‌پذیری‌های کشف شده و کشف بیشتر آسیب‌پذیری‌ها صورت می‌پذیرد. فناوری‌های استفاده شده: OSSTMM، OWASP، Offensive Security، SANS، ISSAF و ISACA

نتایج و گزارشات

  • گزارش تست نفوذ جعبه سیاه و جعبه سفید
  • یک گزارش کامل از فهرست آسیب‌پذیری‌ها و نقاط ضعف موجود در پیکربندی که می‌تواند در نقاط دسترسی شبکه مورد بهره برداری قرار گیرد.
  • ارائه پیشنهادات مطلع کردن تیم مدیریتی بانک از ریسک‌های امنیتی موجود

آرمان داده پویان با بهره گیری از متخصصان تست نفوذ و برنامه نویسی

و با بیش از یک دهه ارائه انواع خدمات امنیتی به سازمان‌ها، بانک‌ها و موسسات

انواع خدمات تست نفوذ را ارئه می‌دهد

برای مشاوره و کسب اطلاعات با کارشناسان ما تماس بگیرید

تعداد بازدید: 499


تازه ترین ها