Enviar pesquisa
Carregar
Основные проблемы безопасности систем ДБО
•
2 gostaram
•
944 visualizações
D
Digital Security
Seguir
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 15
Baixar agora
Baixar para ler offline
Recomendados
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
Digital Security
Клиент банка под атакой
Клиент банка под атакой
Digital Security
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSS
Digital Security
защита по для банкоматов
защита по для банкоматов
Expolink
Олег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБС
ArtemAgeev
Использование мобильных устройств руководителями. Опыт Банка ВТБ
Использование мобильных устройств руководителями. Опыт Банка ВТБ
ИнтерТраст
Основы PA-DSS
Основы PA-DSS
Digital Security
Lic.i banking
Lic.i banking
Tatiana_Boris
Recomendados
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
Digital Security
Клиент банка под атакой
Клиент банка под атакой
Digital Security
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSS
Digital Security
защита по для банкоматов
защита по для банкоматов
Expolink
Олег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБС
ArtemAgeev
Использование мобильных устройств руководителями. Опыт Банка ВТБ
Использование мобильных устройств руководителями. Опыт Банка ВТБ
ИнтерТраст
Основы PA-DSS
Основы PA-DSS
Digital Security
Lic.i banking
Lic.i banking
Tatiana_Boris
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?
Expolink
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Expolink
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательством
КРОК
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Expolink
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
SelectedPresentations
Softline: Информационная безопасность
Softline: Информационная безопасность
Softline
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
Digital Security
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
DefconRussia
Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
Essential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data Centers
Nikolay Romanov
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
ebuc
Тенденции на рынке инфобезопасности (IDC)
Тенденции на рынке инфобезопасности (IDC)
Sergey Polovnikov
McAfee Database Security
McAfee Database Security
Andrei Novikau
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Yulia Sedova
Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.
Expolink
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation Guide
Digital Security
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
Check point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасности
Expolink
Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности
Expolink
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
VirtSGR
Mais conteúdo relacionado
Mais procurados
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?
Expolink
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Expolink
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательством
КРОК
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Expolink
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
SelectedPresentations
Softline: Информационная безопасность
Softline: Информационная безопасность
Softline
Mais procurados
(7)
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательством
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Softline: Информационная безопасность
Softline: Информационная безопасность
Semelhante a Основные проблемы безопасности систем ДБО
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
Digital Security
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
DefconRussia
Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
Essential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data Centers
Nikolay Romanov
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
ebuc
Тенденции на рынке инфобезопасности (IDC)
Тенденции на рынке инфобезопасности (IDC)
Sergey Polovnikov
McAfee Database Security
McAfee Database Security
Andrei Novikau
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Yulia Sedova
Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.
Expolink
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation Guide
Digital Security
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Expolink
Check point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасности
Expolink
Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности
Expolink
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
VirtSGR
безопасность использования электронной подписи
безопасность использования электронной подписи
Alexander Kolybelnikov
WEBSENSE TRITON APX
WEBSENSE TRITON APX
DialogueScience
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
MUK
Комплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угроз
Denis Bezkorovayny
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Positive Hack Days
Semelhante a Основные проблемы безопасности систем ДБО
(20)
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
Uisg itgov 7_top10
Uisg itgov 7_top10
Uisg itgov 7_top10
Uisg itgov 7_top10
Essential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data Centers
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Тенденции на рынке инфобезопасности (IDC)
Тенденции на рынке инфобезопасности (IDC)
McAfee Database Security
McAfee Database Security
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation Guide
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Check point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
безопасность использования электронной подписи
безопасность использования электронной подписи
WEBSENSE TRITON APX
WEBSENSE TRITON APX
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Комплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угроз
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Mais de Digital Security
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Digital Security
Application Security and PA DSS Certification
Application Security and PA DSS Certification
Digital Security
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
Digital Security
На пути к PCI соответствию
На пути к PCI соответствию
Digital Security
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
Digital Security
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSS
Digital Security
Безопасность бизнес-приложений
Безопасность бизнес-приложений
Digital Security
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложений
Digital Security
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
Digital Security
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
Digital Security
Mais de Digital Security
(10)
Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
Application Security and PA DSS Certification
Application Security and PA DSS Certification
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
На пути к PCI соответствию
На пути к PCI соответствию
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSS
Безопасность бизнес-приложений
Безопасность бизнес-приложений
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложений
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
Основные проблемы безопасности систем ДБО
1.
Основные проблемы безопасности
систем ДБО Алексей Синцов Ведущий аудитор Digital Security © 2002—2010 , Digital Security
2.
Основные проблемы
безопасности систем ДБО Cистемы ДБО Модели: Банк-клиент • Клиентское ПО Интернет-клиент • Браузер Мобильный клиент • ПО/Браузер/СМС АТМ клиент • Банкомат/Терминал © 2002—2010, Digital Security 2
3.
Основные проблемы
безопасности систем ДБО Интернет клиент Где могут быть проблемы? Клиентская часть ПО - Безопасность ActiveX - Безопасность работы ПО с ЭЦП Серверная часть системы - Серверное ПО системы ДБО - ПО обслуживающих серверов (ОС, СУБД, Веб-сервер) © 2002—2010, Digital Security 3
4.
Основные проблемы
безопасности систем ДБО Безопасность клиентской части Интернет-Банка С точки зрения злоумышленника, пользователь Интернет-Банка является более простой и удобной целью атаки, чем сам банк: Пользователь защищен слабее банка Пользователей гораздо больше – выше шансы успешной атаки Результат атаки: получение доступа к любым операциям со счетами клиента и ключам ЭЦП Но: • ответственность клиента • ущерб репутации банка © 2002—2010, Digital Security 4
5.
Основные проблемы
безопасности систем ДБО Безопасность серверной части Интернет-Банка Внешний нарушитель Атакует внешний периметр и программное обеспечение Интернет-Банка Внешний нарушитель – пользователь интернет-банка Имеет счет (привилегированный пользователь) Атакует приложение, используя свою учетную запись Результат атаки: компрометация базы данных, получение доступа к банковской тайне, компрометация клиентов, получение доступа ко всем счетам, отказ в обслуживании © 2002—2010, Digital Security 5
6.
Основные проблемы
безопасности систем ДБО Слабые места Банк-Клиентов Клиентская часть ActiveX Браузер Человеческий фактор Иное ПО Слабая защита корпаративной сети в целом Серверная часть WEB приложения Программное обеспечение сервисов. Например, веб-сервер Архитектура Инсайд © 2002—2010, Digital Security 6
7.
Основные проблемы
безопасности систем ДБО Откуда угрозы? Интернет ДМЗ © 2002—2010, Digital Security 7
8.
Основные проблемы
безопасности систем ДБО WEB Популярные ошибки: Инъекция SQL Межсайтовый скриптинг Ошибки бизнес логики Особенности: Вся защита на WEB. В БД – один пользователь В БД, как правило, нет шифрования © 2002—2010, Digital Security 8
9.
Основные проблемы
безопасности систем ДБО Ошибка Cross-Site-Scripting © 2002—2010, Digital Security 9
10.
Основные проблемы
безопасности систем ДБО ActiveX Ошибки ActiveX: переполнение буфера Ошибки ActiveX : небезопасные методы Ошибки IE Ошибки Acrobat Reader Ошибки Flash © 2002—2010, Digital Security 10
11.
Основные проблемы
безопасности систем ДБО Ошибки ActiveX Переполнение буфера в стеке Небезопасный метод © 2002—2010, Digital Security 11
12.
Основные проблемы
безопасности систем ДБО USB-Token? Не у всех есть Подмена документа Троян может все то, что может пользователь Вывод: USB - Token не панацея © 2002—2010, Digital Security 12
13.
Основные проблемы
безопасности систем ДБО USB-Token. . . © 2002—2010, Digital Security 13
14.
Основные проблемы
безопасности систем ДБО Тестируем защищённость 1. Сегментация/фильтрация 2. Демоны/сервисы 3. Парольная политика 4. Управление ключами 5. Защищенность ПО БК 6. Защищенность клиента 7. Защищенность БД 8. Анализ логики/архитектуры Защита не должна быть только на уровне ПО БК © 2002—2010, Digital Security 14
15.
Спасибо
за внимание! © 2002—2010, Digital Security 15
Baixar agora