ЖАНРЫ

Безопасность карточного бизнеса : бизнес-энциклопедия

Доронин А. М.

Шрифт:

В СМТ на основе анализа подобных выявляемых схем необходимо создать правила анализа транзакций, отслеживающие использование карт в регионах с высокой вероятностью компрометации данных (и ПИН-кодов). Если затем карта обнаруживается в регионе предполагаемого использования поддельной карты, то происходит срабатывание правила и, в зависимости от его настройки, могут быть установлены ограничения по операциям в автоматическом режиме.

Выявление мошеннических операций в сети Интернет

В сети Интернет существует множество сервисов, предоставляющих услуги, оплата за которые может осуществляться по реквизитам банковской карты (например, PayPal, AOL, iTunes). При этом для проверки действительности карты при подписке на сервисы осуществляется операция на небольшую сумму по номеру карты и сроку действия. В случае успеха процесс регистрации и подписки продолжается.

Злоумышленники могут воспользоваться такими сервисами для проверки действительности карт, реквизиты или данные которых им удалось получить. Такое тестирование карты обычно называют «пробивкой» или «прозвоном». Возможны следующие сценарии поведения злоумышленника.

1. Данные магнитной полосы или реквизиты карты скомпрометированы. Проводится несанкционированная операция «пробивки» номера карты и срока действия для проверки ее статуса. В случае успеха реквизиты используются для проведения операций без присутствия карты (например, в Интернете) либо для изготовления поддельной карты для покупок в ТСП в случае наличия данных магнитной полосы.

2. Данные магнитной полосы скомпрометированы. Изготавливается поддельная карта для проведения операций в ТСП. Проводятся операции в ТСП и «пробивки» для постоянного контроля действительности карты.

Следует отметить, что в последнее время «пробивка» используется мошенниками для проверки статуса карт со скомпрометированными данными магнитной полосы и/или ПИН-кодом.

Практика выявления точек «пробивки» позволяет формировать в СМТ списки терминалов и эквайреров, по которым могут осуществляться несанкционированные операции проверки статуса карт. Правила анализа транзакций по точкам «пробивки» позволяют выявлять как факты компрометации данных, так и подбор номеров карт и мошенническое тестирование заблокированных по причине компрометации карт.

* * *

В области противодействия мошенничеству в платежной системе банковских карт (ПСБК) оценка рисков может быть осуществлена количественно, поскольку мошенничество в ПСБК всегда связано с несанкционированными операциями по банковскому счету с использованием банковской карты как инструмента доступа к нему. Количественная оценка возможна на основе собираемой статистики по фактам компрометация данных платежных карт и мошенничеству в ПСБК. Мониторинг транзакций по банковским картам должен обеспечивать анализ всех авторизационных и клиринговых операций по банковским картам в ПСБК и принятие решений по подозрительным на предмет мошенничества операциям с целью уменьшения рисков. Система мониторинга транзакций (СМТ) является инструментом уменьшения рисков, связанных с проведением мошеннических операций по банковским картам, и должна быть составной частью комплексного подхода к обеспечению безопасности ПСБК.

Основные направления обеспечения информационной безопасности корпоративной системы как фундамента безопасности карточного бизнеса

Основные принципы защиты рабочих станций сотрудников банка

В зависимости от того, в каких технических условиях проходит работа сотрудников, которые имеют доступ к информации о клиентах и их картах, способы защиты персональных рабочих компьютеров могут и должны быть различными. К техническим условиям мы относим в первую очередь способы защиты периметра информационной системы (набор инструментов, поставщик решений, внутренние регламенты). При этом высокий статус вендоров решений по безопасности может создавать впечатление, что все надежно защищено, но на практике ситуация выглядит иначе. Часто любой из сотрудников банка имеет физическую возможность войти на любой компьютер под своей учетной записью. Поскольку не все сотрудники хранят свои служебные документы на сетевых дисках, где им положено быть, или хотя бы в своем профиле, а на локальных дисках в общедоступных папках, то к этим документам потенциально имеют доступ все сотрудники. Конечно, можно просто запретить сотрудникам внутренним приказом хранить документы на локальных дисках и уповать на их добросовестность. Но как быть, если в открытом виде хранятся не только документы, а еще и файлы конфигураций или файл «мои пароли. txt»? Чем это грозит? Как это учитывать, если доступ к очень важным системам дается по связке «логин + пароль» с привязкой к статическому IP-адресу? Опять издавать приказы и надеяться, что их будут строго выполнять?

Подходы к решению задачи защиты рабочих станций могут быть разными, но большинство специалистов-практиков склоняются к стандартным способам технической реализации. Например, посредством такой утилиты Windows, как «Объект групповой политики» (GPO — Group Policy Object), можно принудительно закрыть другим сотрудникам возможность входа на компьютеры сотрудников, которые работают с данными клиентов. При этом надо учитывать, что USB-токены не являются панацеей (как в данном случае, так и в случае использования их при проведении платежей). Возможность туннелировать трафик USB на компьютер злоумышленника остается всегда, пока сам токен включен в компьютер, и не секрет, что многие специалисты просто оставляют ключ в USB-порту на весь рабочий день.

Следующая важная мера — программное обеспечение, не используемое на компьютере, должно быть удалено или отключено, таким образом будет закрыто множество уязвимых мест [83] .

Многое из того, что следовало бы сделать, чтобы максимально (полностью не получится никогда) обезопасить рабочие станции сотрудников, можно придумать и самому, для этого всего лишь необходимо исходить из принципа «минимальных привилегий» пользователя для организации доступа, а также здравого смысла во время технической реализации. Использовать настройки поумолчанию не рекомендуется никогда, и это не зависит от того, к чему применяется данное утверждение. Если есть техническая возможность поменять в конфигурационных файлах порты — сделайте это (например, на продакшн-серверах SSH перемещается с 22-го порта на 2002, если он не занят), если сотрудники поддержки могут дойти до компьютера пользователя, например, работают в одном офисе — на компьютере пользователя можно как минимум включить встроенный файрвол на блокировку всех входящих соединений без исключения. Почему без исключений? Да просто потому, что техническая возможность ICMP-туннеля [84] на компьютер жертвы, т. е. сотрудника, также есть, поэтому, не закрыв пресловутый пинг [85] из-за возможности мониторить, включен ли компьютер (или еще хуже — сервер), может обернуться открытым шеллом [86] с возможностью полного управления с компьютера злоумышленника. Что уж говорить про другие незакрытые возможности удаленного воздействия. Можно также использовать уже проверенные временем и постоянно дорабатываемые международные Best practice, которые всегда можно найти на сайте CIS (www.cisemrityorg), причем не только для Windows всех мастей, но и сетевого оборудования, веб-серверов, UNIX, Apple, Check-Point, Oracle и многое другое, даже для прикладного ПО, например Firefox или Opera. Поскольку все приведенные на сайте рекомендации достаточно хорошо и полно описаны, думается, нет смысла их дублировать.

83

На сайте(данный ресурс поддерживается компанией Positive Technologies) продемонстрировано, сколько различных подходов можно найти для реализации такого рода уязвимостей.

84

ICMP-туннель — скрытый канал для передачи данных, организованный между двумя узлами, использующий IP-пакеты с типом протокола ICMP (обычно e^o request, e^o reply). ICMP-туннель используется для обхода запретов на передачу информации на межсетевых экранах.

85

Ping — утилита для проверки соединений в сетях на основе TCP/IP.

86

Shell — интерпретатор команд операционной системы.

Подытоживая, основные принципы можно описать следующим образом:

• сегментация — все компьютеры сотрудников процессинга в отдельной подсети (еще лучше, если за отдельным файрволом);

• GPO — отдельные, более жесткие настройки ПК, контролируемые через групповые политики, особенно это касается политики паролей к учетным записям;

• антивирусное программное обеспечение;

• все установленное ПО, как на компьютере пользователя, так и на сервере, должно нести функциональную нагрузку, а если что-то не востребовано для выполнения конкретных служебных задач — смело удаляем;

• IP-фильтрация всего трафика. Это, конечно, не очень серьезная защита, но некоторую сложность для потенциальных злоумышленников все-таки составит;

• своевременные обновления. Думаю, не лишним будет сказать, что если до официального выхода патча какой-либо уязвимости о ней могут знать единицы, то после выхода патча — все знают, а значит, воспользоваться брешью в безопасности ОС или ПО могут попробовать многие;

• и последнее по счету, но не по важности — регулярное испытание на проникновение (пен-тест) и аудит как хостов внутри сети, так и периметра.

О последнем пункте расскажем чуть подробнее.

Пен-тест — это «испытание на проникновение», другими словами, когда мы ничего не знаем в том хосте, который начинаем сканировать, и пытаемся получить информацию о версии операционной системы, открытых портах, службах на этих портах и т. д., получив такую информацию, мы получаем в свои руки огромное количество потенциальных лазеек, использовав которые можем получить привилегированные права к системе. Дабы обезопасить себя от реальных проникновений, лучше определить уязвимые места самому, чем это сделает кто-то за нас.

Поделиться с друзьями: