Banker's Review Online - Ένθετο Information Security: Η ασφάλεια στον τραπεζικό κλάδο

Πέμπτη, 22 Αυγούστου 2019

ΔΙΑΦΗΜΙΣΗ

Operations and IT

Ένθετο Information Security: Η ασφάλεια στον τραπεζικό κλάδο

14 Ιανουαρίου 2011 | 11:17 Γράφει η Αγγελική  Κορρέ Topics: Security,Special Reports

Information Security: Η ασφάλεια στον τραπεζικό κλάδο

Ποιες είναι οι βασικές προκλήσεις που αντιμετωπίζουν σήμερα οι τραπεζικοί οργανισμοί στην προσπάθειά τους να προστατεύσουν την πληροφορία; Ερευνα των MWR Labs καταγράφει τις περιοχές αυτές που χρήζουν προσοχής, καθώς και τα σημεία αυτά που μπορεί να «παραγνωρίζονται» ενώ δεν θα έπρεπε.

Πηγή: MWR InfoSecurity/ επιμέλεια: Αγγελική Κορρέ, akorre@boussias.com 

Σύμφωνα με την έρευνα, οι βασικότεροι κίνδυνοι που σχετίζονται με την ασφάλεια της πληροφορίας στον τραπεζικό κλάδο περιλαμβάνουν: κυβερνο-επιθέσεις, Data Loss Prevention και Identity & Access Management. Αυτοί οι κίνδυνοι περιλαμβάνονται σε βασικές τραπεζικές τεχνολογίες και στον τρόπο που αυτές χρησιμοποιούνται από το front line της τράπεζας.

ΤΡΑΠΕΖΙΚΕΣ ΕΦΑΡΜΟΓΕΣ: ΤHREAT MODELING
Βασικές προκλήσεις: κυβερνο-επιθέσεις

Οταν βλέπουμε ταινίες, ξέρουμε ότι όπου υπάρχει ένα ξύλινο κιβώτιο γεμάτο χρυσά νομίσματα, κάπου κοντά θα υπάρχουν πειρατές. Παρομοίως, όπου υπάρχει ένα θησαυροφυλάκιο τράπεζας θα υπάρχουν και ληστές. Δεν αποτελεί έκπληξη, λοιπόν, ότι όπου υπάρχουν τραπεζικές λύσεις που βασίζονται στο ΙΤ, θα υπάρχει το αντίστοιχο του παραδοσιακού κλέφτη κάπου στον κυβερνοχώρο. Δεν είναι, λοιπόν, να απορεί κανείς που οι τράπεζες επενδύουν σημαντικά ποσά σε τεχνολογίες ασφάλειας, αλλά και στις δοκιμές αυτών για να διασφαλίσουν ότι οι όποιες επιθέσεις δεν θα επιτύχουν.

Με δεδομένη την αξία των περιουσιακών στοιχείων στα τραπεζικά περιβάλλοντα, είναι σημαντικό να διασφαλιστεί ότι όλες οι απειλές θεωρούνται σαν μια κακόβουλη οντότητα που μπορεί να ξοδέψει σημαντικούς πόρους για να κερδίσει πρόσβαση σε αυτά.

Οι μέθοδοι που μπορούν να χρησιμοποιηθούν για τις επιθέσεις στα τραπεζικά συστήματα θα πρέπει να αξιολογούνται κατά τον καθορισμό των ενεργειών που θα χρησιμοποιηθούν για τις δοκιμές ασφάλειας των τραπεζικών συστημάτων και εφαρμογών. Χωρίς μια τέτοια προσέγγιση, οι δοκιμές ασφάλειας δεν μπορούν να παρέχουν το επίπεδο ασφάλειας και σιγουριάς που απαιτείται από το business.

Ποιες είναι οι απειλές;
Υπάρχει ένας μεγάλος αριθμός απειλών που σχετίζεται με πολύπλοκες επιχειρηματικές διαδικασίες που βασίζονται σε IT components:
• Μη καταγεγραμμένες ή άγνωστες εισαγωγές στα συστήματα που δεν προστατεύονται από security controls
• Ακούσια επίπεδα πρόσβασης να παραχωρούνται σε νόμιμους χρήστες μέσω φορέων επιθέσεων που δεν έχουν συνυπολογιστεί στο μοντέλο ασφάλειας.

Τι βρήκε η έρευνα;
Τα ευρήματα της έρευνας δείχνουν ότι οι δοκιμές ασφάλειας αυτών των περιβαλλόντων δεν αναγνωρίζουν απαραίτητα όλους τους φορείς επιθέσεων που μπορούν να οδηγήσουν σε σημαντικές οικονομικές απώλειες. Το παραπάνω μπορεί να οφείλεται στην έλλειψη λεπτομερών διαδικασιών threat modeling ή στη μη τήρησή τους. Είναι σημαντικό τα οικονομικά συστήματα και οι διαδικασίες να υπόκεινται στο κατάλληλο threat modeling, ώστε οι δοκιμές και οι ενέργειες ασφάλειας να μπορούν με ακρίβεια να αναγνωρίσουν πού απαιτούνται controls για να προστατευτούν τα περιουσιακά στοιχεία που επεξεργάζονται αυτά τα συστήματα.

Πηγή: MWR InfoSecurity/ επιμέλεια: Αγγελική Κορρέ, akorre@boussias.com 

Σύμφωνα με την έρευνα, οι βασικότεροι κίνδυνοι που σχετίζονται με την ασφάλεια της πληροφορίας στον τραπεζικό κλάδο περιλαμβάνουν: κυβερνο-επιθέσεις, Data Loss Prevention και Identity & Access Management. Αυτοί οι κίνδυνοι περιλαμβάνονται σε βασικές τραπεζικές τεχνολογίες και στον τρόπο που αυτές χρησιμοποιούνται από το front line της τράπεζας.

ΤΡΑΠΕΖΙΚΕΣ ΕΦΑΡΜΟΓΕΣ: ΤHREAT MODELING
Βασικές προκλήσεις: κυβερνο-επιθέσεις

Οταν βλέπουμε ταινίες, ξέρουμε ότι όπου υπάρχει ένα ξύλινο κιβώτιο γεμάτο χρυσά νομίσματα, κάπου κοντά θα υπάρχουν πειρατές. Παρομοίως, όπου υπάρχει ένα θησαυροφυλάκιο τράπεζας θα υπάρχουν και ληστές. Δεν αποτελεί έκπληξη, λοιπόν, ότι όπου υπάρχουν τραπεζικές λύσεις που βασίζονται στο ΙΤ, θα υπάρχει το αντίστοιχο του παραδοσιακού κλέφτη κάπου στον κυβερνοχώρο. Δεν είναι, λοιπόν, να απορεί κανείς που οι τράπεζες επενδύουν σημαντικά ποσά σε τεχνολογίες ασφάλειας, αλλά και στις δοκιμές αυτών για να διασφαλίσουν ότι οι όποιες επιθέσεις δεν θα επιτύχουν.

Με δεδομένη την αξία των περιουσιακών στοιχείων στα τραπεζικά περιβάλλοντα, είναι σημαντικό να διασφαλιστεί ότι όλες οι απειλές θεωρούνται σαν μια κακόβουλη οντότητα που μπορεί να ξοδέψει σημαντικούς πόρους για να κερδίσει πρόσβαση σε αυτά.

Οι μέθοδοι που μπορούν να χρησιμοποιηθούν για τις επιθέσεις στα τραπεζικά συστήματα θα πρέπει να αξιολογούνται κατά τον καθορισμό των ενεργειών που θα χρησιμοποιηθούν για τις δοκιμές ασφάλειας των τραπεζικών συστημάτων και εφαρμογών. Χωρίς μια τέτοια προσέγγιση, οι δοκιμές ασφάλειας δεν μπορούν να παρέχουν το επίπεδο ασφάλειας και σιγουριάς που απαιτείται από το business.

Ποιες είναι οι απειλές;
Υπάρχει ένας μεγάλος αριθμός απειλών που σχετίζεται με πολύπλοκες επιχειρηματικές διαδικασίες που βασίζονται σε IT components:
• Μη καταγεγραμμένες ή άγνωστες εισαγωγές στα συστήματα που δεν προστατεύονται από security controls
• Ακούσια επίπεδα πρόσβασης να παραχωρούνται σε νόμιμους χρήστες μέσω φορέων επιθέσεων που δεν έχουν συνυπολογιστεί στο μοντέλο ασφάλειας.

Τι βρήκε η έρευνα;
Τα ευρήματα της έρευνας δείχνουν ότι οι δοκιμές ασφάλειας αυτών των περιβαλλόντων δεν αναγνωρίζουν απαραίτητα όλους τους φορείς επιθέσεων που μπορούν να οδηγήσουν σε σημαντικές οικονομικές απώλειες. Το παραπάνω μπορεί να οφείλεται στην έλλειψη λεπτομερών διαδικασιών threat modeling ή στη μη τήρησή τους. Είναι σημαντικό τα οικονομικά συστήματα και οι διαδικασίες να υπόκεινται στο κατάλληλο threat modeling, ώστε οι δοκιμές και οι ενέργειες ασφάλειας να μπορούν με ακρίβεια να αναγνωρίσουν πού απαιτούνται controls για να προστατευτούν τα περιουσιακά στοιχεία που επεξεργάζονται αυτά τα συστήματα.


MIDDLEWARE: Ο ΠΑΛΜΟΣ ΕΝΟΣ ΟΡΓΑΝΙΣΜΟΥ
Βασικές προκλήσεις: Data Loss Prevention

Τι έχετε κάνει σήμερα που περιλαμβάνει το middleware; Συγχωρήστε αν η απάντησή σας είναι «τίποτα».

Στην πραγματικότητα, όμως, αν έχετε κάνει οτιδήποτε που να αφορά μία ηλεκτρονική συναλλαγή τότε είναι σχεδόν σίγουρο
ότι το middleware έχει διαδραματίσει κάποιο ρόλο σε αυτό.

Το middleware αποτελεί, ίσως, τον παλμό των τραπεζικών συστημάτων, καθώς διαχειρίζεται οτιδήποτε, από μεταφορές χρημάτων μέχρι συναλλαγές μετοχών. Ολοι, λοιπόν, οι χρηματοοικονομικοί οργανισμοί χρειάζονται οι πληροφορίες να μεταφέρονται ανάμεσα στα διαφορετικά συστήματα και εφαρμογές αποδοτικά και με ασφάλεια. Για να συμβεί αυτό χρησιμοποιείται μια σειρά από τεχνολογίες, που συλλογικά ονομάζουμε middleware, οι οποίες αποτελούν θεμελιώδες component της ικανότητας μιας εταιρείας να διεξάγει τις επιχειρηματικές της δραστηριότητες. Μία επίθεση εναντίον αυτού του συστατικού μπορεί να έχει τεράστια και σημαντική επίδραση, καθώς αυτά τα συστήματα, συνήθως, επεξεργάζονται τεράστιους όγκους δεδομένων.

Middleware επιθέσεις
Η συγκεκριμένη μελέτη εξέτασε τους κινδύνους που συνδέονται με το middleware και ερεύνησε τις βασικές τεχνολογίες που χρησιμοποιούνται από το χρηματοοικονομικό κλάδο. Η εστίαση της έρευνας αφορούσε τις μεθόδους που μπορούν να χρησιμοποιηθούν στις επιθέσεις εναντίον αυτών των τεχνολογιών και τους κινδύνους που αυτό μπορεί να επιφέρει.

Ποιες είναι οι απειλές;
Δεν αποτελεί έκπληξη το γεγονός ότι, με δεδομένη τη σπουδαιότητα των πληροφοριών που περνάνε μέσα από τα στρώματα του middleware, υπάρχει ένας μεγάλος αριθμός απειλών που σχετίζονται με αυτό:
• Η τεχνολογία δεν είναι εξοικειωμένη με security testers, με αποτέλεσμα να μην αναγνωρίζονται τα ζητήματα ασφάλειας
• Η ικανότητα αναχαίτισης μηνυμάτων που υπόκεινται επεξεργασίας από αυτά τα components έχουν ως αποτέλεσμα την έκθεση σε κίνδυνο ευαίσθητων δεδομένων
• Οι μέθοδοι της αποθήκευσης των δεδομένων σε αυτά τα components μπορεί να οδηγήσει σε μεταβολή των συναλλαγών
• Μπορεί να επηρεαστεί η διαθεσιμότητα πολλαπλών βασικών συστημάτων όταν τα συστήματα δεν υπόκεινται σε κατάλληλους ελέγχους.

Τι βρήκε η έρευνα
Τα ευρήματα της έρευνας αποκάλυψαν ότι μία μεγάλη ποικιλία κινδύνων που σχετίζονται με ζητήματα ασφάλειας στην τεχνολογία middleware δεν αντιμετωπίζονται από τους οργανισμούς, με αποτέλεσμα να εκτίθενται σε μεγάλο κίνδυνο. Αυτό συμβαίνει, κυρίως, εξαιτίας της έλλειψης κατανόησης της σημασίας των middleware τεχνολογιών και των μεθόδων μέσω των οποίων μπορούν να αποτελέσουν στόχο επιθέσεων.

Είναι σημαντικό οι τεχνολογίες middleware να αποτελέσουν αντικείμενο επιθεώρησης από ειδικούς με γνώση της επίδρασης στην επιχείρηση και στις λειτουργίες της. Είναι σημαντικό, επίσης, τα αποτελέσματα των ελέγχων να χρησιμοποιούνται για να καθοδηγήσουν τα σχέδια του risk mitigation που με ακρίβεια αντανακλούν την κρισιμότητα αυτών των τεχνολογιών.

ΚΥΒΕΡΝΟ-ΠΟΛΕΜΟΣ: ΣΤΟΧΕΥΜΕΝΟ ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ
Βασικές προκλήσεις: κυβερνο-επιθέσεις

Η έλευση του Internet Banking έφερε μαζί της το malware και τα Trojans, σκοπός των οποίων ήταν να διευκολύνουν την κλοπή χρημάτων από τους πελάτες.

Πρόκειται για ένα ζήτημα που αντιμετωπίζει ο τραπεζικός κλάδος και το οποίο έχει πάρει μεγάλη δημοσιότητα, για την αντιμετώπιση του οποίου υπάρχουν λύσεις στην αγορά. Ωστόσο, πρόκειται τελικά για ένα ευρύτερο ζήτημα για την προστασία απέναντι σε στοχευμένο malware σε βασικά components που χρησιμοποιούνται στις επιχειρηματικές διαδικασίες.

Ενώ οι επιθέσεις εναντίον των πελατών των τραπεζών συνήθως διεξάγονται απομακρυσμένα μέσω του Διαδικτύου, άλλα components μπορεί να κινδυνεύουν ακόμα και από πηγές που απολαμβάνουν εμπιστοσύνης. Σε μία περίπτωση που φέτος τράβηξε τα φώτα της δημοσιότητας, ο Rodney Reed Caverly δήλωσε ένοχος στην κατηγορία ότι εγκατέστησε κακόβουλο λογισμικό στα ATM της Bank of America και το χρησιμοποίησε για την υπεξαίρεση χρημάτων. Αυτά τα παραδείγματα επισημαίνουν ξεκάθαρα ότι η παρουσία κακόβουλων προγραμμάτων σε υπολογιστικά συστήματα, είτε βρίσκονται στην κατοχή της τράπεζας, είτε στην κατοχή των πελατών της, μπορεί να κοστίσει σημαντικά χρηματικά ποσά.

Κατ’ επέκταση, είναι σημαντικό οποιοδήποτε σύστημα διαχειρίζεται ευαίσθητα δεδομένα, όπως το ATM ή ο προσωπικός υπολογιστής του πελάτη, να προστατεύεται από malware ή άλλες εφαρμογές που επιδιώκουν να το υποκλέψουν. Δεν πρόκειται για καινούργια πρόκληση, αλλά απαιτεί τόσο γενικές όσο και συγκεκριμένες λύσεις προκειμένου να αντιμετωπιστεί - και υπάρχει στην αγορά πληθώρα εταιρειών που ισχυρίζονται ότι το έχουν πετύχει.

Επιθέσεις σε λύσεις ασφάλειας
Η έρευνα των MWR Labs εξέτασε κατά πόσο μια μεγάλη γκάμα λύσεων τρίτων εταιρειών έχουν σχεδιαστεί για να προστατεύσουν τα συστήματα retail banking, όπως τα ATMs, ή αν τα συστήματα των χρηστών να υπονομευθούν ή να ακυρωθούν από τους επιτιθέμενους.

Ποιες είναι οι απειλές;
Υπάρχει ένας μεγάλος αριθμός απειλών που σχετίζονται με την εγκατάσταση κακόβουλου λογισμικού, όπως το malware σε συστήματα που διαχειρίζονται ευαίσθητα δεδομένα:
• Ανάκτηση ευαίσθητων πληροφοριών από key presses, το display του συστήματος ή το traffic του δικτύου
• Η συλλογή πληροφοριών και η συνεχιζόμενη πρόσβαση του επιτιθέμενου στα συστήματα μέσω ενός κρυφού καναλιού επικοινωνίας.

Τι βρήκε η έρευνα;
Τα ευρήματα της έρευνας αποκάλυψαν ότι η χρήση προϊόντων και λύσεων τρίτων εταιρειών για την προστασία των συστημάτων έναντι των κοινών τεχνικών που χρησιμοποιούνται από το malware που στοχεύει στο χρηματοοικονομικό κλάδο είναι ένα βασικό συστατικό ενός μοντέλου ασφάλειας.

Ωστόσο, το λογισμικό τρίτων εταιρειών από μόνο του δεν είναι απρόσβλητο από τα είδη τρωτότητας που εμφανίζονται σε άλλα προϊόντα. Επιπλέον, είναι σημαντικό οι πραγματικοί μηχανισμοί προστασίας που ισχυρίζονται οι προμηθευτές να είναι σχεδιασμένοι, ώστε να παρέχουν την απαιτούμενη προστασία έναντι όλων των αναγνωρισμένων απειλών του συστήματος.

Είναι, επίσης, σημαντικό όλες αυτές οι λύσεις να ελέγχονται και τα όποια τρωτά σημεία του λογισμικού αντιμετωπίζονται από τον προμηθευτή. Αν και το παραπάνω φαίνεται μια άμεση και στρωτή λύση, συχνά παρατηρείται το φαινόμενο η διαχείριση αυτών των σχέσεων να μην είναι αποτελεσματική.

Συχνά, οι προμηθευτές εφαρμόζουν το γράμμα και όχι το πνεύμα των εκ του συμβολαίου υποχρεώσεών τους, γεγονός που μπορεί να οδηγήσει σε επιπλέον κόστος και καθυστερήσεις στη διασφάλιση ότι το λογισμικό που παρέχουν είναι ασφαλές. Είναι, λοιπόν, απαραίτητη η ύπαρξη ενός αποτελεσματικού σχεδίου για τη διαχείριση αυτών των ζητημάτων.

NEOI ΦΟΡΕΙΣ ΕΠΙΘΕΣΕΩΝ: MOBILE BANKING
Βασικές προκλήσεις: κυβερνο-επιθέσεις/ Identity & Access Management

Ποιος δεν έχει σήμερα ένα smartphone; Η υιοθέτηση των smartphones από τους καταναλωτές είναι ραγδαία, και πολλές εταιρείες, συμπεριλαμβανομένων των τραπεζών, αναζητούν τρόπους αλληλεπίδρασης με τους καταναλωτές μέσω των συγκεκριμένων πλατφορμών. Εχουμε ήδη δει στην παγκόσμια αγορά εφαρμογές online banking για smartphones, έστω και με περιορισμένες δυνατότητες.

Για παράδειγμα, η Bank of America έχει αναπτύξει μία mobile εφαρμογή που επιτρέπει την πληρωμή λογαριασμών ή τη μεταφορά χρημάτων αν το setup τους είναι μέσω άλλου καναλιού. Ωστόσο, οι πιέσεις των καταναλωτών για να αποκτήσουν τη δυνατότητα να χρησιμοποιούν το smartphone για μια ευρεία γκάμα οικονομικών συναλλαγών ολοένα αυξάνονται.

Αυτό συμβαίνει, γιατί όσο η τεχνολογία εξελίσσεται, οι χρηματοοικονομικοί οργανισμοί πρέπει να ακολουθούν την επικαιρότητα με την πιο σύγχρονη τεχνολογία προκειμένου να ανταποκριθούν στις ανάγκες των πελατών και να παρέχουν εύκολη πρόσβαση στις υπηρεσίες τους. Ωστόσο, η πρόκληση εδώ είναι ότι τα smartphones έχουν διαφορετικά μοντέλα ασφάλειας και αυτό πρέπει να συνυπολογιστεί στην αποτίμηση των κινδύνων αυτών των τεχνολογιών και λύσεων.

Ποιες είναι οι απειλές;
Πολλές από τις απειλές που αντιμετωπίζουν οι πλατφόρμες των προσωπικών υπολογιστών εκτείνονται και στα smartphones, αλλά με κάποιους επιπλέον τομείς ιδιαίτερων προβλημάτων.
• Υποκλοπή των δεδομένων που υποβάλλονται στις mobile οικονομικές εφαρμογές, συμπεριλαμβανομένων των usernames και των κωδικών πρόσβασης
• Τροποποίηση των δεδομένων που εμφανίζονται από τις εφαρμογές - για παράδειγμα πληροφορίες μετοχών
• Κίνδυνοι ευαίσθητων φωνητικών δεδομένων, συμπεριλαμβανομένων key tones και συνομιλιών.

Τι βρήκε η έρευνα;
Το προφίλ των απειλών είναι πιθανότατα χαμηλότερο από των PC based πλατφόρμων, κυρίως γιατί υπάρχουν άφθονες ευκαιρίες στα PCs για τους απατεώνες. Είναι, όμως, αναπόφευκτο ότι τα smartphones θα αποτελούν ολοένα και πιο ελκυστικό στόχο καθώς η διεύρυνση της υιοθέτησης αυτών των τεχνολογιών αυξάνει τον αριθμό των πιθανών στόχων για κάθε νέα επίθεση.

Οι έλεγχοι ασφάλειας (security controls) δεν είναι εξίσου δυνατοί ανάμεσα στις διάφορες mobile πλατφόρμες και είναι όλες πιθανοί στόχοι επιθέσεων, αν δεν είναι σωστά σχεδιασμένες. Επιπλέον, η αρχιτεκτονική κάποιων mobile πλατφόρμων καθιστά ευκολότερο το να υποστούν επίθεση σε σχέση με τα PCs και θα πρέπει να αποτελέσουν μέρος της στρατηγικής ενός οργανισμού για τη mobile τεχνολογία.

ΠΡΟΣΒΑΣΗ ΜΕ ΠΡΟΝΟΜΙΑ: USB ΣΥΣΚΕΥΕΣ
Βασικές προκλήσεις: Data Loss Prevention

Αν κάνετε ένα search για τους όρους "USB" και "ασφάλεια" τα αποτελέσματα δεν θα αποτελέσουν έκπληξη για όσους εργάζονται στον κλάδο του Information Security κάποια χρόνια.

Πρόκειται για ένα συνδυασμό ιστοριών τρόμου που μιλάνε για απώλεια δεδομένων, ξεσπάσματα ιών και "σκουληκιών" (worms) και μιας σειράς λύσεων που υποστηρίζουν ότι προσφέρουν προστασία. Δεν προξενεί, λοιπόν, απορία το γεγονός ότι η εύρεση λύσης για αυτά τα προβλήματα είναι πολύ ψηλά στη λίστα προτεραιοτήτων των οργανισμών. Οι στρατηγικές Data Loss Prevention είμαι μία από τις βασικές προκλήσεις και η διαχείριση των πανταχού παρόντων σήμερα USB συσκευών είναι βασικό κομμάτι αυτών των στρατηγικών.

Κάθε απειλή που δυνητικά μπορεί να ακυρώσει την επένδυση σε Data Loss Prevention θα πρέπει να αντιμετωπιστεί σαν μία βασική περιοχή ανησυχίας και προβληματισμού. Το mantra που επαναλαμβάνουν οι ανά τον κόσμο επαγγελματίες της ασφάλειας των πληροφοριών είναι ότι δεν πρέπει ποτέ ο οργανισμός να βασίζεται και να εμπιστεύεται το χρήστη. Είναι σημαντικό, όμως, αυτή η διαπίστωση να μην αντιμετωπιστεί απλώς ως ένα κλισέ και θα πρέπει να ληφθεί σοβαρά υπόψη, περισσότερο ίσως από οποιαδήποτε άλλη συμβουλή στην προσπάθεια προστασίας οποιουδήποτε είδους asset.

Εξαιτίας του τρόπου με τον οποίο λειτουργούν, οι λύσεις που αναπτύσσονται για να παρέχουν προστασία απέναντι στην απώλεια δεδομένων δεν είναι άτρωτες από αναξιόπιστους χρήστες.

Οπως οι υπολογιστές και τα laptops που συνήθως προστατεύονται από αυτές τις λύσεις Data Loss Prevention, μία μεγάλη ποικιλία τεχνολογιών που χρησιμοποιούνται στον τραπεζικό κλάδο, συμπεριλαμβανομένων των ATMs και των HSMs, σήμερα διαθέτουν θύρες USB. Στους περισσότερους οργανισμούς, τουλάχιστον μια ομάδα ανθρώπων διαθέτει το επίπεδο πρόσβασης αυτό που τους επιτρέπει να συνδέσουν μία συσκευή σε αυτές τις θύρες.

Ποιες είναι οι απειλές;
Υπάρχει μία σειρά από απειλές που σχετίζονται με την πρόσβαση στα peripherals, συμπεριλαμβανομένων των παρακάτω:
• Απώλεια ευαίσθητων δεδομένων από συσκευές USB
• Παράκαμψη των περιορισμών που επιβάλλονται από τις λύσεις Data Loss Prevention
• Επιθέσεις εναντίον του υποκείμενου Λειτουργικού Συστήματος (Operating System) μέσω μιας κακόβουλης συσκευής USB.

Τι βρήκε η έρευνα;
Οι παραδοσιακές απειλές, όπως η ανάκτηση δεδομένων από συσκευές USB και smartcards, είναι καταγεγραμμένες και κατανοητές από όλους. Ωστόσο, άλλες απειλές αντιμετωπίζονται λιγότερο αποτελεσματικά από τα security controls. Οποιοδήποτε σύστημα επιτρέπει τη σύνδεσή του με συσκευές USB είναι δυνητικά εκτεθειμένο σε κινδύνους με αποτέλεσμα να διακυβεύεται και η ασφάλεια της υποκείμενης υποδομής.

Το παραπάνω αποδείχτηκε μέσα από την αναγνώριση των τρωτών σημείων στο driver software που χρησιμοποιείται στα υποκείμενα Λειτουργικά Συστήματα. Είναι, λοιπόν, σημαντικό, τα μοντέλα ασφάλειας να αναγνωρίζουν την απειλή που μπορεί να προκύψει από ένα χρήστη με πρόσβαση σε USB interface. Αυτές οι επιθέσεις μπορούν να κάνουν τα τρέχοντα μέτρα ασφάλειας αναποτελεσματικά και κατ’ επέκταση να ακυρώσουν τις επενδύσεις υλοποίησής τους.

Το συμπέρασμα λοιπόν είναι ότι οι λύσεις Data Loss Prevention, οι οποίες είναι σχεδιασμένες να παρέχουν προστασία απέναντι στους κινδύνους που προκύπτουν από τη χρήση USB τεχνολογίας, δεν είναι πάντα αποτελεσματικές έναντι όλων των απειλών και πρέπει να υπόκεινται σε ελέγχους, δοκιμές και επιθεώρηση.

ΤΕΧΝΟΛΟΓΙΕΣ ΑΣΦΑΛΕΙΑΣ: SMARTCARDS
Βασικές προκλήσεις: Identity & Access Management

Η χρήση των smartcards θα λύσει μία ευρεία ποικιλία προκλήσεων τις οποίες αντιμετωπίζει σήμερα ο κλάδος του ΙΤ. Στο κάτω κάτω, για να εμπιστευτούμε τη χρήση τους σε χρεωστικές και πιστωτικές κάρτες, θα πρέπει να είναι ασφαλείς. Είναι αλήθεια ότι έχει επενδυθεί σημαντικός χρόνος και προσπάθεια για την ανάπτυξη ασφαλών smartcard λύσεων, καθώς και στην έρευνα για την υλοποίησή τους.

Και παρόλο που ο δρόμος αυτός δεν είναι χωρίς εμπόδια και οι επιθέσεις που σχεδιάζονται είναι ολοένα και πιο «έξυπνες» και εφευρετικές, όσον αφορά στη συγκεκριμένη τεχνολογία έχουμε φτάσει σε ένα καλό επίπεδο.

Ωστόσο, σε αυτή τη «βιασύνη» να προστατεύσουμε τα δεδομένα μας στις smartcards, έχουμε σε μεγάλο βαθμό ξεχάσει να προστατεύσουμε τα συστήματα που επεξεργάζονται τα δεδομένα αυτά. Αν αναλογιστούμε πού η ανάγνωση των δεδομένων από τις smartcards περνάει από επεξεργασία, αρχίζουμε να συνειδητοποιούμε ότι μπορούμε μόνο με.. «δική μας ευθύνη» να αγνοήσουμε αυτή την πηγή επιθέσεων.

Είτε χρησιμοποιούμε μια smartcard για να συνδεθούμε με τον υπολογιστή μας, τη χρησιμοποιούμε για να κάνουμε ανάληψη χρημάτων σε ένα ATM ή για να ξεκλειδώσουμε κλειδιά σε ένα HSM, τα δεδομένα περνάνε βαθιά στην καρδιά των πιο ευαίσθητων συστημάτων του τραπεζικού κλάδου.

Ποιες είναι οι απειλές;
Υπάρχει μεγάλη ποικιλία απειλών που συνδέονται με τα περιφερειακά συστήματα, συμπεριλαμβανομένων αυτών που υποστηρίζουν τις έξυπνες κάρτες και τα USB. Κάποιες από αυτές είναι οι παρακάτω:
• Ανάκτηση ευαίσθητων πληροφοριών από μία κάρτα ή αντιγραφή δεδομένων σε μία άλλη κάρτα
• Παράκαμψη των ελέγχων που επιβάλλονται από το λογισμικό που επεξεργάζεται τα δεδομένα από τις έξυπνες κάρτες
• Επιθέσεις απέναντι σε back-end συστήματα μέσω κακόβουλων smartcards.

Τι βρήκε η έρευνα;
Η προστασία των δεδομένων που βρίσκονται στις smartcards, ενώ δεν υλοποιείται πάντα σωστά, είναι παραδοσιακά μια περιοχή καλά τεκμηριωμένη και κατανοητή. Ωστόσο, άλλες απειλές που υπάρχουν εξαιτίας του ότι αυτές οι συσκευές δεν είναι αρκετά μελετημένες ή δεν υπάρχει αρκετή προστασία από αυτές.

Από τη στιγμή που παρέχεται φυσική πρόσβαση στο smartcard reader σε ένα χρήστη, οποιαδήποτε τρωτότητα έχει αναγνωριστεί μπορεί εύκολα να αποτελέσει αντικείμενο εκμετάλλευσης. Η έρευνα έδειξε ότι ένα μικρό υποσύνολο λύσεων χρησιμοποιείται για την ανάγνωση δεδομένων από τις smartcards και δεν είναι τόσο «δυνατές» απέναντι σε επιθέσεις όσο μπορεί να νομίζουμε.

Είναι, λοιπόν, σημαντικό, τα μοντέλα ασφάλειας που καταρτίζονται να αναγνωρίζουν τους κινδύνους που προκύπτουν από ένα χρήστη με φυσική πρόσβαση σε ένα smartcard interface, καθώς και το ότι οι λύσεις τις οποίες εμπιστευόμαστε τόσο πολύ θα πρέπει να υπόκεινται σε αυστηρούς ελέγχους και δοκιμές.

ΕΣΩΤΕΡΙΚΕΣ ΑΠΕΙΛΕΣ: ΤΑ ΑΤΜ
Βασικές προκλήσεις: Κυβερνο-επιθέσεις

Τον περασμένο Μάρτιο, ο Andrew Ashley και ο Nimesh Bhagat καταδικάστηκαν για αδικήματα που σχετίζονται με τη δημιουργία ψεύτικων στοιχηματικών κουπονιών. Αυτό το συγκεκριμένο σχήμα αποκαλύφθηκε όταν ένας ταμίας πρόσεξε ένα κερδισμένο κουπόνι των 600 λιρών Αγγλίας για ένα στοίχημα των 10 λιρών με πιθανότητες 35 προς 1.

Οι παραπάνω δύο που εμπλέκονται στη συγκεκριμένη απάτη εργάζονταν ως εργολάβοι Πληροφορικής στο καζίνο που ενεπλάκη και χρησιμοποίησαν τα συστήματα του καζίνο για τη δημιουργία ψεύτικων κουπονιών στοιχήματος.

Η παραπάνω περίπτωση διαφωτίζει μία περιοχή αυξανόμενου ενδιαφέροντος?εργαζόμενοι και εργολάβοι με προνομιούχα πρόσβαση στα συστήματα που άμεσα παρέχει την ευκαιρία για τη διάπραξη κλοπής ή απάτης. Συχνά, οι κίνδυνοι εδώ μελετούνται ως προς το ποιος έχει πρόσβαση σε επίπεδο συστήματος, ωστόσο θα έπρεπε να συνυπολογίζεται και η αυξημένων προνομίων πρόσβαση.

Τα ATM είναι σήμερα ένα σημαντικό περιουσιακό στοιχείο για τις τράπεζες και συχνά δεν βρίσκονται σε εγκαταστάσεις της εταιρείας, αλλά σε δημόσιους χώρους, όπως σταθμοί τρένων ή εμπορικά κέντρα. Ως τέτοια, οποιαδήποτε έκθεση σε κίνδυνο θα έχει τεράστια επίδραση στη φήμη της τράπεζας.

Ποιες είναι οι απειλές;
Σήμερα οι τράπεζες αντιμετωπίζουν μια σειρά επιθέσεων εναντίον των ATMs, συμπεριλαμβανομένων των παρακάτω:
• Επιθέσεις από χρήστη του συστήματος από την πλευρά του πελάτη
• Κίνδυνος από χρήστη με νόμιμη, φυσική πρόσβαση (π.χ. μηχανικοί ή υποστηρικτικό προσωπικό)
• Απειλές που βασίζονται στο δίκτυο, όπως ιοί ή κακόβουλες επιθέσεις.

Τι βρήκε η έρευνα;
Τα ευρήματα της έρευνας καταδεικνύουν ότι η τεχνολογία που αναπτύσσεται σε κρίσιμα περιβάλλοντα ασφάλειας δεν είναι απαλλαγμένη από τρωτά σημεία και αστοχίες.

Οι περισσότερες λύσεις που έχουν αναπτύξει οι τράπεζες είναι είτε ελλιπείς και δεν λαμβάνουν υπόψη όλα τα σχετικά είδη επιθέσεων ή δεν είναι αρκετά ισχυρά για να αντισταθούν στις απειλές που αντιμετωπίζουν. Είναι υπαρκτά τα σενάρια όπου ATMs δεν είναι σε θέση να «αντέξουν» όλες τις σχετικές απειλές, με αποτέλεσμα ο οργανισμός να εκτίθεται σε σημαντικούς κινδύνους.

Είναι σημαντικό, οι οργανισμοί να ελέγχουν τις λύσεις τους για να διασφαλίσουν ότι όλοι οι φορείς επιθέσεων αντιμετωπίζονται μέσω κατάλληλων ελέγχων, συμπεριλαμβανομένων μιας ασφαλούς υποκείμενης πλατφόρμας και vendor supplied software προϊόντων. Οπως έδειξε η έρευνα, ακόμα και όταν οι κατάλληλοι έλεγχοι συμπεριλαμβάνονται στον σχεδιασμό δεν παρέχουν την προστασία που αναμένεται από αυτούς.

Banker's Review (T. 019)
« 1 2 3 4 ... 7 »

Έχετε άποψη;
Ο σχολιασμός των άρθρων προϋποθέτει την Είσοδο σας στο Banker's Review Online.
ΔΙΑΦΗΜΙΣΗ

Δείτε ακόμη...

Οι πιο δημοφιλείς ειδήσεις σήμερα

Αυτοί που διάβασαν αυτό διάβασαν επίσης

Τα πιο δημοφιλή Topics

Οι πιο δημοφιλείς ειδήσεις σε αυτήν την ενότητα

Οι πιο δημοφιλείς ειδήσεις σε άλλες ενότητες

ΔΙΑΦΗΜΙΣΗ
ΔΙΑΦΗΜΙΣΗ

Συνεντεύξεις / Πρόσωπα

 
ΔΙΑΦΗΜΙΣΗ

Topics

Συγχωνεύσεις και εξαγορές

Private banking

Πιστωτική κρίση

Credit Risk management

Enterprise risk management

Best work place

Multichannel Strategy

Innovation

International Banking

Outsourcing

©2019 Boussias Communications, all rights reserved. Κλεισθένους 338, 153 44 Γέρακας, info@boussias.com, Τ:210 6617777, F:210 6617778