【PConline資訊】隨著(zhù)信息技術(shù)的發(fā)展,網(wǎng)上銀行在銀行業(yè)務(wù)中的地位越來(lái)越重要,大型商業(yè)銀行、全國性股份制中小型銀行、城市商業(yè)銀行、農村信用合作社以及各村鎮銀行都在積極建設和開(kāi)展自己的網(wǎng)上銀行業(yè)務(wù),某些大銀行的網(wǎng)銀業(yè)務(wù)結算量已經(jīng)占據總業(yè)務(wù)份額的50%以上。網(wǎng)上銀行的用戶(hù)數量正在快速增長(cháng),網(wǎng)上銀行已成為銀行業(yè)金融機構的戰略性業(yè)務(wù)和利潤增長(cháng)點(diǎn),成為其品牌競爭力的必要組成部分。
由于信息技術(shù)的復雜特征,在信息技術(shù)使用過(guò)程中存在著(zhù)大量難以把控的因素,網(wǎng)上銀行作為一種先進(jìn)的信息技術(shù)利用手段,自然也會(huì )面臨各種各樣的安全威脅。近年來(lái)針對網(wǎng)上銀行的攻擊手段不斷增多,網(wǎng)上充斥的大量黑客教程也使得攻擊門(mén)檻不斷降低,網(wǎng)銀安全事件頻繁發(fā)生,導致客戶(hù)信息泄露,大量資金被盜。如何應對網(wǎng)上銀行系統面臨的安全威脅,保障網(wǎng)銀系統客戶(hù)信息和賬戶(hù)資金安全,確保網(wǎng)銀系統能夠正常穩定的為廣大客戶(hù)服務(wù),啟明星辰認為滲透測試是解決這個(gè)問(wèn)題的必要手段之一。
黑客是怎么作案成功的
從過(guò)去發(fā)生的大量與網(wǎng)銀相關(guān)的安全事件來(lái)看,攻擊者針對網(wǎng)銀系統開(kāi)展的非法攻擊主要可分為以下幾個(gè)方面。一是竊取網(wǎng)銀用戶(hù)的隱私信息,包括銀行卡號、用戶(hù)名、密碼、個(gè)人身份信息等,較常使用的攻擊手段有網(wǎng)絡(luò )釣魚(yú)、跨站攻擊、木馬等;二是獲取網(wǎng)站的操作權限,然后可進(jìn)行網(wǎng)頁(yè)篡改、木馬上傳、權限提升等操作;三是獲取服務(wù)器的操作系統權限,取得本地系統文件讀寫(xiě)能力,并可繼續向內網(wǎng)進(jìn)行探測,嚴重時(shí)甚至可能進(jìn)入網(wǎng)銀系統核心區域,給網(wǎng)銀安全帶來(lái)巨大災難。
隨著(zhù)各種自動(dòng)化工具的普及,開(kāi)展攻擊活動(dòng)所要求的個(gè)人技術(shù)水平已經(jīng)遠非過(guò)去那么嚴格,所以網(wǎng)銀系統安全防護的關(guān)鍵不是對攻擊手段的防御,而是應該及時(shí)識別和修復網(wǎng)銀系統的安全漏洞,切實(shí)加強系統自身的安全能力。這些安全漏洞有些是由于軟件的設計開(kāi)發(fā)導致,有些是因為系統配置使用有誤造成。但是安全漏洞的一大特點(diǎn)是它的隱蔽性,雖然業(yè)內已有比較成熟的信息系統安全建設指導思路,我們仍然無(wú)法確保能夠發(fā)現網(wǎng)銀系統存在的所有漏洞,更多時(shí)候我們只能在已經(jīng)遭受了攻擊之后才被動(dòng)得知漏洞存在。對于技術(shù)力量不夠雄厚的中小銀行來(lái)說(shuō),這一點(diǎn)尤其明顯。
安全要由自己做主
在開(kāi)放遼闊的網(wǎng)絡(luò )世界中,網(wǎng)上銀行就像是位于幽暗森林中央的一座城堡,無(wú)數火把高插墻頭,豺狼虎豹窺伺四周。為抵御強敵侵擾,必須高建城墻,關(guān)嚴窗格,鎖閉隧道,緊守門(mén)房。
網(wǎng)上銀行必須對自身情況有足夠的認識,準確發(fā)現安全防御體系的短板所在,及時(shí)采用相應的技術(shù)手段進(jìn)行補足,掌握網(wǎng)上銀行安全工作的絕對主動(dòng)權。切不可疏忽大意自以為保障萬(wàn)全,導致受到攻擊甚至造成巨大損失后措手不及,焦頭爛額地四處撲救。
在主動(dòng)安全防御體系的建設工作中,必須將滲透測試作為一個(gè)重要的環(huán)節,在系統建設期間、系統上線(xiàn)前、系統運行時(shí)都可對其開(kāi)展滲透相關(guān)的工作。滲透測試是指由專(zhuān)業(yè)的安全專(zhuān)家根據多年積累的安全漏洞經(jīng)驗和安全檢測工具,完全模擬黑客攻擊的思路,對網(wǎng)上銀行系統進(jìn)行非破壞性的攻擊。由于滲透測試是由銀行授權的主動(dòng)性攻擊行為,可以在確保不造成有害影響的前提下,從攻擊者視角發(fā)現網(wǎng)銀系統存在的安全風(fēng)險,并及時(shí)進(jìn)行修補。
揭開(kāi)滲透測試的神秘面紗
所謂知己知彼百戰不殆,滲透測試其實(shí)就是一個(gè)知己的過(guò)程。在攻擊者之前準確發(fā)現自身安全缺陷,并提供恰當的修補建議,這是滲透測試的基本價(jià)值所在。作為一種專(zhuān)業(yè)的安全服務(wù)手段,滲透測試活動(dòng)將充分借鑒傳統黑盒測試和白盒測試的方法,評估網(wǎng)上銀行系統的應用服務(wù)、通信協(xié)議等的潛在安全風(fēng)險,直觀(guān)反映網(wǎng)上銀行系統所面臨的安全現狀。
滲透測試與常規的安全服務(wù)有所不同,滲透測試工作的成果難以準確度量,項目質(zhì)量往往取決于測試人員的攻防技能水平,自動(dòng)化工具僅僅作為過(guò)程中的一種輔助手段。滲透測試常用手段主要有信息搜集、端口掃描、口令猜測、遠程溢出、本地溢出、腳本測試和權限提升等,在每個(gè)階段都有相應的專(zhuān)業(yè)手法和利用工具,以保證測試結果的全面和準確。
同時(shí),為了更深入的發(fā)掘滲透測試工作的作用,啟明星辰結合多年來(lái)的滲透測試實(shí)施經(jīng)驗,目前已開(kāi)發(fā)出了一套成體系的基于業(yè)務(wù)邏輯的滲透測試方法。測試人員詳細梳理業(yè)務(wù)流程,將信息技術(shù)分解為承載和傳輸業(yè)務(wù)數據的一個(gè)個(gè)節點(diǎn),采用串聯(lián)和繞過(guò)節點(diǎn)等思路分析信息系統存在的弱點(diǎn),并準確評價(jià)弱點(diǎn)的嚴重程度,從而改進(jìn)傳統滲透測試方法僅關(guān)注技術(shù)自身的疏漏。通過(guò)從業(yè)務(wù)視角推進(jìn)滲透測試活動(dòng),更深入全面地發(fā)揮滲透測試工作的價(jià)值。
滲透測試服務(wù)必須專(zhuān)業(yè)
由于滲透測試本質(zhì)上是一種攻擊性活動(dòng),為了防止滲透測試對網(wǎng)銀系統造成未預見(jiàn)的不良損害,必須制定嚴格的測試流程,采用可控制的、非破壞性的滲透方法,與客戶(hù)進(jìn)行充分的溝通和準備,并在執行過(guò)程中把握每一個(gè)步驟的信息輸入輸出,保證網(wǎng)銀系統的可用性和穩定性。啟明星辰以人工滲透為主的滲透測試方法,可以保證整個(gè)滲透測試過(guò)程都在完全可控和隨時(shí)調整的范圍之內。下圖所示是一個(gè)簡(jiǎn)化的滲透測試實(shí)施流程。
啟明星辰作為國內信息安全領(lǐng)域的領(lǐng)航企業(yè),擁有成熟專(zhuān)業(yè)的攻防實(shí)驗室和自主研發(fā)的漏洞掃描系統,可以為滲透測試提供強大的團隊和技術(shù)支持。啟明星辰具有豐富的安全服務(wù)實(shí)施經(jīng)驗,結合業(yè)界著(zhù)名的OSSTMM與OWASP測試框架組合成的最佳操作實(shí)踐,已經(jīng)為金融、電信、政府等多個(gè)行業(yè)的多家單位成功提供了滲透測試服務(wù),并且從實(shí)踐中總結和提高,形成了一套專(zhuān)門(mén)針對網(wǎng)上銀行系統的安全測試方法,將繼續為網(wǎng)上銀行安全保障工作提供專(zhuān)業(yè)服務(wù)和支持。