ATM Sikkerhed

ATM Penetrationstest
FortConsult udfører avancerede penetrationstest på ATM-løsninger i den finansielle sektor. I de fleste tilfælde er vores tests med til at identificere alvorlige sikkerhedsbrister i pengeautomaternes konfigurationer og tilhørende processer. FortConsult tester pengeautomater med vores BPT metodologi (Business Penetration Test), som simulerer rigtige angreb på ATM-løsninger. Dette omfatter omhyggeligt designede målrettede angreb, der kombinerer fysiske og logiske angrebsvektorer, samt gør brug af social engineering teknikker. Disse angrebssimulationer er udarbejdet på baggrund af FortConsults omfattende research om de nyeste trusler, trends og angrebsscenarier indenfor ATM-sikkerhed.

ATM sikkerhed betragtes ofte som et komplekst område af it-sikkerhedschefer, der har tendens til at fokusere på fysiske risici og sætte logiske svagheder i operativsystemer og applikationslag til side. I mellemtiden mener FortConsult, at ATM-sikkerhed er et forretningsområde, der ofte savner holistiske sikkerhedsvurderinger. Vores ATM sikkerhedstests tager udgangspunkt i denne forståelse, og søger dermed at male et holistisk (og dermed realistisk) billede af din ATM-opsætning.

Fysisk styring
Banker har ofte en antagelse om, at uønsket fysisk adgang til deres pengeautomater er stærkt begrænset. FortConsult beviser imidlertid regelmæssigt, at uautoriseret adgang til pengeautomaters CPU ofte kan opnås uden det store besvær for angriberen.

Logisk Styring
Med fysisk adgang til pengeautomatens CPU kan angriberen omgå autentificeringsmekanismer og få uautoriseret adgang til ATM-platformen og muligvis endda kreditkortdata, uden at banken opdager indbruddet. I nogle tilfælde er FortConsult ligeledes i stand til at udvide den uautoriserede adgang fra pengeautomaten til bankens netværk og back-end servere ved at bruge den kompromitterede pengeautomat som angrebsplatform.

Processer, der er associerede med tredjepartsudbydere kan omfattes af vores ATM test for at identificere logiske svagheder i tillidsforholdene, som en angriber kan udnytte for at kompromittere en pengeautomat.

ATM-økosystemet
ATM-løsninger og netværk danner komplekse økosystemer, der består af utallige leverandører og ansvarsområder, både internt og eksternt for bankens organisation. Kompleksiteten af dette system og de tilhørende roller og ansvarsområder, der er adspredte på tværs af forskellige virksomheder, resulterer i at sikkerhedsrisici ofte bliver overset. Med sine software opdateringer, patches til operativsystemet, platform hardening og netværk, bliver selve ATM-applikationen ofte sårbar over for angreb.

PCI DSS
ATM-miljøet er også en del af PCI DSS scopet. Dog er kun en lille del af hackerangreb i virkeligheden omfattet af PCI DSS og PA DSS. I januar 2013 udgav PCI SSC retningslinjerne for ATM-sikkerhed. FortConsults metodologi for ATM-penetrationstest er udviklet i henhold til dette dokument.

Klar besked om ATM-sikkerhed
Da vi mener, at ATM-sikkerhed er for kritisk til at blive designet og testet af konsulenter uden dokumenteret indsigt i ATM-økosystemet, stiller vi eksperter til rådighed, der kan teste miljøet fra mange forskellige perspektiver. Blandt de sikkerhedstests, som vi normalt udfører, er:

ATM Lockdown Test Test af dine risiko-reduktion og hardening procedurer, der kontrollerer, om de er stærke nok til at eliminere risikoen for at installere ondsindet software.
ATM Malware Analyse Forensic undersøgelse af hvordan dine pengeautomater blev smittet, samt en analyse af malwarens egenskaber, oprindelse og detekteringsmetoder.
ATM Incident Response Rådgivning om håndtering af en formodet komromittering, hvor vi stiller eksperter til rådighed i selve respons-processen.
ATM Certification PA-DSS, PIN, P2PE til leverandører, LINK og PCI-DSS.
ATM Software Testing Test af betalings- og andre applikationer på pengeautomaten, samt kommunikationen med backend systemer.
ATM Penetration Testing Simulation af et angreb fra angriberens udgangspunkt, der viser hvordan komromittering af pengeautomaten er mulige ved brug af forskellige angrebsvektorer, deriblandt fysiske angreb, social engineering, softwarefejl, netværksangreb, samt bypass af alarme og detekteringsteknikker. Disse tests kan udføres i både implementeringsfasen såvel som review af nuværende opsætning.
Windows Security Design Flytning til Windows 10 platformen er en klar forbedring af ATM sikkerheden. Imidlertid har Microsofts arkitektur et helt nyt design, og derfor skal mange nye koncepter tages i betragtning.
ATM Vendor Responsibilities Mapping ATM økosystemet består af et stort antal leverandører, der påvirker den operationelle sikkerhed. Der opstår ofte store brister mellem det ønskede eller nødvendige sikkerhedsniveau og det faktiske, på grund af leverandører, der prioriterer sikkerhed lavere end banken.

 

Du kan hente en pdf-udgave af servicebeskrivelsen her.

Address

FortConsult A/S
Svanevej 12
2400 Copenhagen NV
Denmark

Phone: +45 7020 7525
Email. info@fortconsult.net

PCI Certificates

Part of NCC Group