黑客是怎么作案成功的
從過去發生的大量與網銀相關的安全事件來看,攻擊者針對網銀系統開展的非法攻擊主要可分為以下幾個方面。一是竊取網銀用戶的隱私信息,包括銀行卡號、用戶名、密碼、個人身份信息等,較常使用的攻擊手段有網絡釣魚、跨站攻擊、木馬等;二是獲取網站的操作權限,然后可進行網頁篡改、木馬上傳、權限提升等操作;三是獲取服務器的操作系統權限,取得本地系統文件讀寫能力,并可繼續向內網進行探測,嚴重時甚至可能進入網銀系統核心區域,給網銀安全帶來巨大災難。
隨著各種自動化工具的普及,開展攻擊活動所要求的個人技術水平已經遠非過去那么嚴格,所以網銀系統安全防護的關鍵不是對攻擊手段的防御,而是應該及時識別和修復網銀系統的安全漏洞,切實加強系統自身的安全能力。這些安全漏洞有些是由于軟件的設計開發導致,有些是因為系統配置使用有誤造成。但是安全漏洞的一大特點是它的隱蔽性,雖然業內已有比較成熟的信息系統安全建設指導思路,我們仍然無法確保能夠發現網銀系統存在的所有漏洞,更多時候我們只能在已經遭受了攻擊之后才被動得知漏洞存在。對于技術力量不夠雄厚的中小銀行來說,這一點尤其明顯。
安全要由自己做主
在開放遼闊的網絡世界中,網上銀行就像是位于幽暗森林中央的一座城堡,無數火把高插墻頭,豺狼虎豹窺伺四周。為抵御強敵侵擾,必須高建城墻,關嚴窗格,鎖閉隧道,緊守門房。
網上銀行必須對自身情況有足夠的認識,準確發現安全防御體系的短板所在,及時采用相應的技術手段進行補足,掌握網上銀行安全工作的絕對主動權。切不可疏忽大意自以為保障萬全,導致受到攻擊甚至造成巨大損失后措手不及,焦頭爛額地四處撲救。
在主動安全防御體系的建設工作中,必須將滲透測試作為一個重要的環節,在系統建設期間、系統上線前、系統運行時都可對其開展滲透相關的工作。滲透測試是指由專業的安全專家根據多年積累的安全漏洞經驗和安全檢測工具,完全模擬黑客攻擊的思路,對網上銀行系統進行非破壞性的攻擊。由于滲透測試是由銀行授權的主動性攻擊行為,可以在確保不造成有害影響的前提下,從攻擊者視角發現網銀系統存在的安全風險,并及時進行修補。
揭開滲透測試的神秘面紗
所謂知己知彼百戰不殆,滲透測試其實就是一個知己的過程。在攻擊者之前準確發現自身安全缺陷,并提供恰當的修補建議,這是滲透測試的基本價值所在。作為一種專業的安全服務手段,滲透測試活動將充分借鑒傳統黑盒測試和白盒測試的方法,評估網上銀行系統的應用服務、通信協議等的潛在安全風險,直觀反映網上銀行系統所面臨的安全現狀。
滲透測試與常規的安全服務有所不同,滲透測試工作的成果難以準確度量,項目質量往往取決于測試人員的攻防技能水平,自動化工具僅僅作為過程中的一種輔助手段。滲透測試常用手段主要有信息搜集、端口掃描、口令猜測、遠程溢出、本地溢出、腳本測試和權限提升等,在每個階段都有相應的專業手法和利用工具,以保證測試結果的全面和準確。
同時,為了更深入的發掘滲透測試工作的作用,啟明星辰結合多年來的滲透測試實施經驗,目前已開發出了一套成體系的基于業務邏輯的滲透測試方法。測試人員詳細梳理業務流程,將信息技術分解為承載和傳輸業務數據的一個個節點,采用串聯和繞過節點等思路分析信息系統存在的弱點,并準確評價弱點的嚴重程度,從而改進傳統滲透測試方法僅關注技術自身的疏漏。通過從業務視角推進滲透測試活動,更深入全面地發揮滲透測試工作的價值。
滲透測試服務必須專業
由于滲透測試本質上是一種攻擊性活動,為了防止滲透測試對網銀系統造成未預見的不良損害,必須制定嚴格的測試流程,采用可控制的、非破壞性的滲透方法,與客戶進行充分的溝通和準備,并在執行過程中把握每一個步驟的信息輸入輸出,保證網銀系統的可用性和穩定性。啟明星辰以人工滲透為主的滲透測試方法,可以保證整個滲透測試過程都在完全可控和隨時調整的范圍之內。下圖所示是一個簡化的滲透測試實施流程。
啟明星辰作為國內信息安全領域的領航企業,擁有成熟專業的攻防實驗室和自主研發的漏洞掃描系統,可以為滲透測試提供強大的團隊和技術支持。啟明星辰具有豐富的安全服務實施經驗,結合業界著名的OSSTMM與OWASP測試框架組合成的最佳操作實踐,已經為金融、電信、政府等多個行業的多家單位成功提供了滲透測試服務,并且從實踐中總結和提高,形成了一套專門針對網上銀行系統的安全測試方法,將繼續為網上銀行安全保障工作提供專業服務和支持。
推薦閱讀
CSDN數據泄露案告破 網站被行政警告處罰>>>詳細閱讀
本文標題:欲保網銀安全 先做專業滲透測試
地址:http://www.brh9h.cn/a/11/20120322/43250.html
網友點評
精彩導讀
科技快報
品牌展示