網(wǎng)上銀行的用戶數(shù)量正在快速增長,網(wǎng)上銀行已成為銀行業(yè)金融機構(gòu)的戰(zhàn)略性業(yè)務(wù)和利潤增長點�,成為其品牌競爭力的必要組成部分。由于信息技術(shù)的復(fù)雜特征�,在信息技術(shù)使用過程中存在著大量難以把控的因素,網(wǎng)上銀行作為一種先進的信息技術(shù)利用手段�����,自然也會面臨各種各樣的安全威脅。近年來針對網(wǎng)上銀行的攻擊手段不斷增多�����,網(wǎng)上充斥的大量黑客教程也使得攻擊門檻不斷降低����,網(wǎng)銀安全事件頻繁發(fā)生��,導(dǎo)致客戶信息泄露�,大量資金被盜。如何應(yīng)對網(wǎng)上銀行系統(tǒng)面臨的安全威脅����,保障網(wǎng)銀系統(tǒng)客戶信息和賬戶資金安全,確保網(wǎng)銀系統(tǒng)能夠正常穩(wěn)定的為廣大客戶服務(wù)���,啟明星辰認為滲透測試是解決這個問題的必要手段之一���。
黑客是怎么作案成功的
從過去發(fā)生的大量與網(wǎng)銀相關(guān)的安全事件來看,攻擊者針對網(wǎng)銀系統(tǒng)開展的非法攻擊主要可分為以下幾個方面�。一是竊取網(wǎng)銀用戶的隱私信息,包括銀行卡號�����、用戶名、密碼�����、個人身份信息等����,較常使用的攻擊手段有網(wǎng)絡(luò)釣魚、跨站攻擊��、木馬等;二是獲取網(wǎng)站的操作權(quán)限���,然后可進行網(wǎng)頁篡改�����、木馬上傳�����、權(quán)限提升等操作;三是獲取服務(wù)器的操作系統(tǒng)權(quán)限�,取得本地系統(tǒng)文件讀寫能力�,并可繼續(xù)向內(nèi)網(wǎng)進行探測���,嚴重時甚至可能進入網(wǎng)銀系統(tǒng)核心區(qū)域,給網(wǎng)銀安全帶來巨大災(zāi)難����。
隨著各種自動化工具的普及�����,開展攻擊活動所要求的個人技術(shù)水平已經(jīng)遠非過去那么嚴格�����,所以網(wǎng)銀系統(tǒng)安全防護的關(guān)鍵不是對攻擊手段的防御����,而是應(yīng)該及時識別和修復(fù)網(wǎng)銀系統(tǒng)的安全漏洞,切實加強系統(tǒng)自身的安全能力�����。這些安全漏洞有些是由于軟件的設(shè)計開發(fā)導(dǎo)致�����,有些是因為系統(tǒng)配置使用有誤造成。但是安全漏洞的一大特點是它的隱蔽性��,雖然業(yè)內(nèi)已有比較成熟的信息系統(tǒng)安全建設(shè)指導(dǎo)思路�����,我們?nèi)匀粺o法確保能夠發(fā)現(xiàn)網(wǎng)銀系統(tǒng)存在的所有漏洞����,更多時候我們只能在已經(jīng)遭受了攻擊之后才被動得知漏洞存在。對于技術(shù)力量不夠雄厚的中小銀行來說���,這一點尤其明顯�。
安全要由自己做主
在開放遼闊的網(wǎng)絡(luò)世界中����,網(wǎng)上銀行就像是位于幽暗森林中央的一座城堡,無數(shù)火把高插墻頭��,豺狼虎豹窺伺四周�。為抵御強敵侵擾,必須高建城墻����,關(guān)嚴窗格��,鎖閉隧道��,緊守門房�����。
網(wǎng)上銀行必須對自身情況有足夠的認識��,準(zhǔn)確發(fā)現(xiàn)安全防御體系的短板所在��,及時采用相應(yīng)的技術(shù)手段進行補足,掌握網(wǎng)上銀行安全工作的絕對主動權(quán)����。切不可疏忽大意自以為保障萬全,導(dǎo)致受到攻擊甚至造成巨大損失后措手不及��,焦頭爛額地四處撲救��。
在主動安全防御體系的建設(shè)工作中�,必須將滲透測試作為一個重要的環(huán)節(jié),在系統(tǒng)建設(shè)期間���、系統(tǒng)上線前����、系統(tǒng)運行時都可對其開展?jié)B透相關(guān)的工作。滲透測試是指由專業(yè)的安全專家根據(jù)多年積累的安全漏洞經(jīng)驗和安全檢測工具���,完全模擬黑客攻擊的思路���,對網(wǎng)上銀行系統(tǒng)進行非破壞性的攻擊。由于滲透測試是由銀行授權(quán)的主動性攻擊行為����,可以在確保不造成有害影響的前提下,從攻擊者視角發(fā)現(xiàn)網(wǎng)銀系統(tǒng)存在的安全風(fēng)險��,并及時進行修補����。
揭開滲透測試的神秘面紗
所謂知己知彼百戰(zhàn)不殆,滲透測試其實就是一個知己的過程�。在攻擊者之前準(zhǔn)確發(fā)現(xiàn)自身安全缺陷,并提供恰當(dāng)?shù)男扪a建議��,這是滲透測試的基本價值所在�����。作為一種專業(yè)的安全服務(wù)手段,滲透測試活動將充分借鑒傳統(tǒng)黑盒測試和白盒測試的方法����,評估網(wǎng)上銀行系統(tǒng)的應(yīng)用服務(wù)、通信協(xié)議等的潛在安全風(fēng)險����,直觀反映網(wǎng)上銀行系統(tǒng)所面臨的安全現(xiàn)狀。
滲透測試與常規(guī)的安全服務(wù)有所不同���,滲透測試工作的成果難以準(zhǔn)確度量���,項目質(zhì)量往往取決于測試人員的攻防技能水平�����,自動化工具僅僅作為過程中的一種輔助手段��。滲透測試常用手段主要有信息搜集�����、端口掃描��、口令猜測、遠程溢出����、本地溢出、腳本測試和權(quán)限提升等�,在每個階段都有相應(yīng)的專業(yè)手法和利用工具,以保證測試結(jié)果的全面和準(zhǔn)確�����。
同時��,為了更深入的發(fā)掘滲透測試工作的作用��,啟明星辰結(jié)合多年來的滲透測試實施經(jīng)驗���,目前已開發(fā)出了一套成體系的基于業(yè)務(wù)邏輯的滲透測試方法�。測試人員詳細梳理業(yè)務(wù)流程����,將信息技術(shù)分解為承載和傳輸業(yè)務(wù)數(shù)據(jù)的一個個節(jié)點,采用串聯(lián)和繞過節(jié)點等思路分析信息系統(tǒng)存在的弱點���,并準(zhǔn)確評價弱點的嚴重程度�,從而改進傳統(tǒng)滲透測試方法僅關(guān)注技術(shù)自身的疏漏。通過從業(yè)務(wù)視角推進滲透測試活動��,更深入全面地發(fā)揮滲透測試工作的價值���。
滲透測試服務(wù)必須專業(yè)
由于滲透測試本質(zhì)上是一種攻擊性活動�,為了防止?jié)B透測試對網(wǎng)銀系統(tǒng)造成未預(yù)見的不良損害��,必須制定嚴格的測試流程����,采用可控制的、非破壞性的滲透方法��,與客戶進行充分的溝通和準(zhǔn)備���,并在執(zhí)行過程中把握每一個步驟的信息輸入輸出�,保證網(wǎng)銀系統(tǒng)的可用性和穩(wěn)定性���。啟明星辰以人工滲透為主的滲透測試方法,可以保證整個滲透測試過程都在完全可控和隨時調(diào)整的范圍之內(nèi)��。下圖所示是一個簡化的滲透測試實施流程��。
啟明星辰作為國內(nèi)信息安全領(lǐng)域的領(lǐng)航企業(yè),擁有成熟專業(yè)的攻防實驗室和自主研發(fā)的漏洞掃描系統(tǒng)���,可以為滲透測試提供強大的團隊和技術(shù)支持�����。啟明星辰具有豐富的安全服務(wù)實施經(jīng)驗��,結(jié)合業(yè)界著名的OSSTMM與OWASP測試框架組合成的最佳操作實踐�����,已經(jīng)為金融��、電信����、政府等多個行業(yè)的多家單位成功提供了滲透測試服務(wù)��,并且從實踐中總結(jié)和提高�����,形成了一套專門針對網(wǎng)上銀行系統(tǒng)的安全測試方法,將繼續(xù)為網(wǎng)上銀行安全保障工作提供專業(yè)服務(wù)和支持��。
