Безопасность банкоматов

FortConsult выполняет продвинутые тесты на проникновение на банкоматах. В большинстве случаев, мы находим серьезные недостатки безопасности в процессах и настройках банкомата. FortConsult тестирует банкоматы с нашей методологией BPT (англ. - Business Penetration Test), с помощью которой мы имитируем настоящие нападения на банкоматы. Сюда входят тщательно разработанные направленные нападения, которые сочетают различные векторы атак, в том числе физические и логические, а так же социальную инженерию. Эти имитации нападений разработаны в результате тщательных исследований FortConsult о новейших угрозах, тенденциях и сценариях нападений на банкоматы.

Большинство менеджеров по ИТ-безопасности считают безопасность банкоматов сложной областью и, как правило, уделяют больше внимания физическим рискам, часто забывая опасность логических слабостей в операционных системах и аппликациях банкоматов. Тем временем, FortConsult считает, что в области банкоматов часто не хватает целостных оценок безопасности. Наши тесты банкоматов основаны на этой вере: мы всегда стремимся рисовать целостную (то есть реалистичную) картину Вашей ATM-среды.

Физические управления
Многие банки принимают как должное, что физический доступ к их банкоматам эффективно ограничен. Однако, FortConsult неоднократно иллюстрирует, как мало усилий часто требуется для того, чтобы получить неразрешенный доступ к процессору банкомата, который управляет интерфейсом пользователя и устройством транзакций.

Логические управления
С физическим доступом к процессору банкомата, злоумышленник способен обойти механизмы аутентификации, и таким образом получить несанкционированный доступ к платформе банкомата. С этим доступом, злоумышленник может красть данные кредитных карт, которые хранятся в файловых системах или памяти, при этом оставаясь незамеченным. Кроме того, как это часто демонстрирует FortConsult, доступ может быть расширен от банкомата до сети банка и back-end серверов, с помощью взломанного банкомата в качестве платформы атаки. Процессы управления, связанные с внешними поставщиками часто являются ключом для злоумышленника, и могут быть включены в сферу нашего теста для выявления логических недостатков в доверительных отношениях, которые злоумышленник может эксплуатировать для взлома банкомата.

Экосистема банкомата
Банкомат и сеть банка составляют собой сложную экосистему, частью которой являются различные поставщики и ответственные лица, как внутренние, так и внешние по отношению к банку. Из-за сложности этой экосистемы и ее распределенных ролей и обязанностей, которые разбросаны по разным организациям, безопасность часто упускается из виду. Одна только аппликация банкомата требует особое внимание и часто уязвима к атакам. Эти атаки не всегда особенно продвинутые или сложные, и поэтому часто не включаются в стандартные тесты на проникновение.

PCI DSS
Среда банкоматов также входит в сферу PCI DSS. Тем не менее, всего лишь часть реальных хакерских нападений полностью покрывается PCI DSS и PA-DSS. PCI SSC выпустил документ «Руководство безопасности банкоматов" в январе 2013 года. Методология тестирования на проникновение FortConsult ссылается в том числе на этот документ. 

Прямой Разговор о ATM-безопасности
Так как мы считаем, что безопасность банкоматов слишком важна, чтобы быть разработана и тестирована людьми без особой экспертизы в экосистеме банкоматов, мы нанимаем экспертов, которые способны тестировать эту среду с разных точек зрения.

 

Свяжитесь с нами для более подробной информации о тестировании банкоматов.

Контакты

FortConsult A/S
Svanevej 12
2400 Copenhagen NV
Даниа
Тел. +45 7020 7525

E-mail: info@fortconsult.net
www.fortconsult.net

PCI сертификаты

Part of NCC Group