Внешний аудит безопасности банковской системы

Во время внешнего аудита безопасности банковской системы проводится поиск уязвимостей в самописном и кастомном программном обеспечении банка, тестирование сетевой инфраструктуры на предмет слабых мест, поиск ошибок в конфигурации сетевых устройств, проверка адекватности и эффективности средств защиты информации от внешнего нарушителя. Помимо этого проводится анализ бизнес-процессов и документации.

Наши специалисты могут проводить тестирование на проникновение в трех форматах: «черный», «серый» и «белый ящик», выбор формата проведения зависит от пожеланий заказчика.

В формате «черный ящик» заказчик предоставляет только внешние домены, доступные из сети интернет. Далее наши специалисты осуществляют поиск связанных IP-адресов, сайтов и подсетей дочерних фирм, предприятий, сервисов компании-заказчика.

«Серый ящик» – заказчик на свое усмотрение предоставляет вводные данные о структуре компании, но не дает полное описание всей структуры компании и ее дочерних предприятий.

«Белый ящик» – заказчик до начала работ предоставляет следующую информацию об элементах инфраструктуры, входящих в границы проекта:

  • список IP-адресов (диапазонов IP-адресов) целевых систем;
  • список доменных имен целевых систем;
  • описание конфигурационных особенностей целевых систем, если это может оказать значение для хода и результата исследования.

Этапы внешнего аудита:

— определение требований к аудиту. Определение режима проведения аудита, направления проверки, ее глубины. Эффективнее проводить комплексную проверку (всей компании), но в случае, если ограничено время/ресурсы/финансы, то проверить можно только отдельные подразделения компании;

— сбор и систематизация данных. В режиме «белого» и «серого ящика» сотрудники исполнителя изучают полученные о заказчика данные, а в режиме «черного ящика» ищут информацию о системе компании в открытых источниках;

— работы по проверке безопасности. Пул работ обсуждается с заказчиком и в итоге зависит от пожеланий и требований заказчика и возможностей исполнителя. В него могут входить:

— анализ защищенности инфраструктуры:

  • анализ защищенности внешнего периметра: сканирование на наличие известных уязвимостей, логов, бэкапов, паролей в открытом виде;
  • анализ защищенности корпоративной сети: проверка корректности работы IDS, разграничения прав пользователей, тестирование внутренних ресурсов (известные CVE, брутфорс) и др.;
  • анализ защищенности беспроводных сетей;
  • имитация DDoS-атаки для проверки устойчивости системы;
  • тестирование методами социальной инженерии;

— анализ защищенности приложений:

  • сканирование на наличие известных уязвимостей;
  • анализ API;
  • проверка корректности конфигурации;
  • анализ защищенности соединении и сессий;
  • участие в цикле безопасной разработки;

— исследование программного обеспечения:

  • reverse engineering;
  • анализ исходного кода ПО;

— формирование отчета по результатам проведенного аудита. В отчете исполнитель описывает использованные в ходе аудита методы исследования и инструменты, затем перечисляет обнаруженные уязвимости, с указанием уровня опасности и дает рекомендации по их устранению и по повышению уровня защищенности в целом.

По окончании аудита заказчик получает полное представление о защищенности системы и информацию о том, как исправить имеющиеся недостатки.

Прокрутить вверх