Внешний аудит безопасности банковской системы
Во время внешнего аудита безопасности банковской системы проводится поиск уязвимостей в самописном и кастомном программном обеспечении банка, тестирование сетевой инфраструктуры на предмет слабых мест, поиск ошибок в конфигурации сетевых устройств, проверка адекватности и эффективности средств защиты информации от внешнего нарушителя. Помимо этого проводится анализ бизнес-процессов и документации.
Наши специалисты могут проводить тестирование на проникновение в трех форматах: «черный», «серый» и «белый ящик», выбор формата проведения зависит от пожеланий заказчика.
В формате «черный ящик» заказчик предоставляет только внешние домены, доступные из сети интернет. Далее наши специалисты осуществляют поиск связанных IP-адресов, сайтов и подсетей дочерних фирм, предприятий, сервисов компании-заказчика.
«Серый ящик» – заказчик на свое усмотрение предоставляет вводные данные о структуре компании, но не дает полное описание всей структуры компании и ее дочерних предприятий.
«Белый ящик» – заказчик до начала работ предоставляет следующую информацию об элементах инфраструктуры, входящих в границы проекта:
- список IP-адресов (диапазонов IP-адресов) целевых систем;
- список доменных имен целевых систем;
- описание конфигурационных особенностей целевых систем, если это может оказать значение для хода и результата исследования.
Этапы внешнего аудита:
— определение требований к аудиту. Определение режима проведения аудита, направления проверки, ее глубины. Эффективнее проводить комплексную проверку (всей компании), но в случае, если ограничено время/ресурсы/финансы, то проверить можно только отдельные подразделения компании;
— сбор и систематизация данных. В режиме «белого» и «серого ящика» сотрудники исполнителя изучают полученные о заказчика данные, а в режиме «черного ящика» ищут информацию о системе компании в открытых источниках;
— работы по проверке безопасности. Пул работ обсуждается с заказчиком и в итоге зависит от пожеланий и требований заказчика и возможностей исполнителя. В него могут входить:
— анализ защищенности инфраструктуры:
- анализ защищенности внешнего периметра: сканирование на наличие известных уязвимостей, логов, бэкапов, паролей в открытом виде;
- анализ защищенности корпоративной сети: проверка корректности работы IDS, разграничения прав пользователей, тестирование внутренних ресурсов (известные CVE, брутфорс) и др.;
- анализ защищенности беспроводных сетей;
- имитация DDoS-атаки для проверки устойчивости системы;
- тестирование методами социальной инженерии;
— анализ защищенности приложений:
- сканирование на наличие известных уязвимостей;
- анализ API;
- проверка корректности конфигурации;
- анализ защищенности соединении и сессий;
- участие в цикле безопасной разработки;
— исследование программного обеспечения:
- reverse engineering;
- анализ исходного кода ПО;
— формирование отчета по результатам проведенного аудита. В отчете исполнитель описывает использованные в ходе аудита методы исследования и инструменты, затем перечисляет обнаруженные уязвимости, с указанием уровня опасности и дает рекомендации по их устранению и по повышению уровня защищенности в целом.
По окончании аудита заказчик получает полное представление о защищенности системы и информацию о том, как исправить имеющиеся недостатки.