20 июля 2017, 16:12
Количество просмотров 207

17 моментов безопасности

Несмотря на заоблачный уровень киберпреступности, соответственно высокий уровень технологичности современных средств защиты от угроз позволяет банкам обеспечить высокий уровень защищенности банкоматов при поддержании столь же высокого уровня клиентской доступности сети устройств самообслуживания.
17 моментов безопасности

Константин Хоткин, вице-президент по продажам ЗАО «Эн.Си.Ар», NCR A/O»


В настоящее время известно о множестве видов атак на банкоматы, которые можно условно разделить на физические, логические, а также комбинации этих двух видов. К наиболее актуальным логическим (т. е. не связанным с применением грубой силы) атакам, по данным NCR, в настоящее время относятся:

  • Black box атаки;
  • Атаки с использованием вредоносного ПО;
  • Атаки с использованием известных уязвимостей ПО.

Для защиты от атак банкам рекомендуется использовать комплекс организационно-технических мер, включающий следующие:

1. Безопасные физические условия эксплуатации банкомата. Например, отдельно стоящие банкоматы не следует устанавливать в местах круглосуточного неконтролируемого доступа без использования дополнительных мер физической защиты.

2. Внедрение эффективной политики управления паролями, включая пароль на BIOS и пароль к учетным записям операционной системы банкомата. Политика должна предполагать регулярные изменения используемых паролей.

  • Все стандартные/заводские пароли должны быть изменены.

3. Доступ к внесению изменений в BIOS должен быть защищен уникальным паролем. Средствами BIOS должна быть запрещена загрузка с внешних носителей.

  • Существуют средства удаленной реализации данной рекомендации.

4. Используемые соединения должны быть зашифрованы. В ранних версиях протокола TLS были обнаружены уязвимости, которые можно использовать для взлома протокола, поэтому следует использовать только версии TLS 1.2 и выше.

5. Использование актуальных версий ПО, находящегося на поддержке производителя. Оперативное тестирование и внедрение выпускаемых обновлений ПО, в первую очередь – обновлений безопасности.

6. Брандмауэр операционной системы должен быть включен и настроен на блокирование любых входящих и исходящих подключений, не требующихся для штатной работы банкомата.

7. Неиспользуемые модули операционной системы, службы и приложения должны быть удалены.

8. Использование эффективной защиты от вредоносного ПО, основанной на принципе «белых списков» с централизованным сервером управления.

  • Данным способом могут также быть реализованы, в частности, защита оперативной памяти, защита от атак нулевого дня, а также мониторинг действий сотрудников сервисных служб и оповещения об угрозах.

9. Использование шифрования жесткого диска с удаленной аутентификацией.

10. Функция автозапуска операционной системы должна быть отключена.

11. Запуск доверенного ПО должен происходить с использованием учетной записи с минимально возможными привилегиями.

12. Разграничение доступа к системным ресурсам посредством создания отдельных учетных записей для разделения ролей обслуживающего персонала по функциональным и технологическим признакам – например, установщик, инженер и т. п.

17 моментов безопасности - рис.113. Шифрование соединения между системным блоком и диспенсером.

14. Использование средства безопасного удаленного распространения ПО.

15. В процессе первоначальной инсталляции ПО необходимо физически отключать кабель Ethernet от системного блока (или запрещать сетевой адаптер в операционной системе) до полного завершения процесса инсталляции и активирования системы контроля «белых списков».

Читайте также:

16. Следует избегать ситуации, когда полевой инженер будет устанавливать какие-либо обновления ПО и приходить с какими-либо внешними носителями на банкомат. В идеальной ситуации полевой инженер должен иметь доступ только к сервисному меню устройства (без возможности загрузки с внешних носителей). Устройства типа «внешний носитель» в идеале тоже должны быть запрещены для подключения к банкомату в рабочем режиме. В случае крайней необходимости устройства типа «внешний носитель» должны быть разрешены только на запись в строго определенные каталоги на уровне политик операционной системы. Устанавливаемые таким образом обновления должны проверяться на наличие доверенной цифровой подписи, установка должна производиться без отключения системы «белых списков».

17. Все необходимые подписанные апдейты ПО должны устанавливаться централизованно с сервера безопасности на регулярной основе. При этом журналы установки апдейтов также незамедлительно должны передаваться на сервер безопасности. Журналы работы ПО также следует собирать централизованно.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube