Phân tích hệ thống ngân hàng trực tuyến hiện nay

Một phần của tài liệu đồ án an toàn thông tin (Trang 74)

CHƯƠNG 1 TỔNG QUAN

4.1 Phân tích hệ thống ngân hàng trực tuyến hiện nay

E-Banking là viết tắt của Electronic- Banking là tên viết tắt của dịch vụ ngân

hàng điện tử nói cung là dịch vụ ngân hàng trực tuyến hỗ trợ trên nền tảng điện thoại, máy tính có kết nối Internet hoặc mạng viễn thông giúp người sử dụng thực hiện các giao dịch tài chính online, quản lý tài khoản hằng ngày.

Đây là chức năng ngân hàng cho ngân hàng trực tuyến các ứng dụng đã được bắt nguồn từ các đối tác trong thế giới thực của nó, việc thiết kế hệ thống này và hơn nữa là bảo mật chúng đã đặt ra một thách thức hoàn toàn mới đối với các ngân hàng, nhà cung cấp dịch vụ, cơ quan quản lý, nhà phát triển phần mềm và chuyên gia bảo mật thông tin cũng như khách hàng để tuân theo sự thay đổi này. Số liệu gian lận đối với ngân hàng trực tuyến vẫn đáng báo động, khiến các ngân hàng phải liên tục tìm kiếm giải pháp bảo mật tốt nhất có thể cho các ứng dụng và hệ thống ngân hàng trực tuyến. Và đây là báo cáo mới nhất của UK Finance về E Banking năm 2021:

“Gian lận- báo cáo Sự kiện năm 2021, được tài trợ bởi LexisNexis Risk Solutions, nhấn mạnh rằng năm ngoái ngành ngân hàng đã làm việc chăm chỉ trong suốt đại dịch để bảo vệ khách hàng khỏi gian lận và truy đuổi bọn tội phạm đứng sau

nó, với hơn 1,6 tỷ bảng Anh gian lận đã dừng lại vào năm 2020 . Tuy nhiên, bọn tội phạm đã chuyển sang lừa đảo trực tuyến và sử dụng công nghệ để khai thác nỗi sợ hãi của mọi người về đại dịch Covid-19, trốn tránh hệ thống bảo mật tiên tiến của các ngân hàng và sử dụng các nền tảng kỹ thuật số để nhắm mục tiêu trực tiếp nạn nhân và lừa họ đưa tiền hoặc thông tin của họ, tránh ngân hàng. 'các biện pháp an ninh.

Chúng bao gồm các trò lừa đảo mạo danh, trong đó bọn tội phạm đóng giả là một tổ chức đáng tin cậy để lấy tiền hoặc chi tiết tài chính - ví dụ bao gồm các email lừa đảo tuyên bố đề nghị hỗ trợ của chính phủ cho những người bị ảnh hưởng bởi đại dịch và tin nhắn văn bản lừa đảo yêu cầu thanh toán để đặt vắc xin Covid-19.

Chúng tôi cũng đã thấy sự xuất hiện của tội phạm công khai quảng cáo các dịch vụ lừa đảo và lừa đảo để bán trực tuyến, bao gồm các trang web lừa đảo theo mẫu và các ứng dụng lừa đảo được xây dựng tùy chỉnh sao chép các ứng dụng ngân hàng thực. Tài chính Vương quốc Anh đang kêu gọi luật mới để làm cho các nền tảng trực tuyến chịu trách nhiệm gỡ bỏ nội dung gian lận và bảo vệ người tiêu dùng tốt hơn khỏi những trò gian lận này. Ngành ngân hàng tiếp tục phối hợp chặt chẽ với cơ quan công an để ngăn chặn hành vi lừa đảo, truy bắt các băng nhóm tội phạm gây án.”

Theo ukfinance.org.uk

Một số lượng lớn các kỹ thuật xác thực và công nghệ đã phát triển trong những năm qua, nhưng sự khác biệt các phương pháp được sử dụng bởi các ngân hàng cụ thể khác nhau rất nhiều so với kết hợp tên người dùng và mật khẩu đơn giản cho phần cứng mã thông báo bằng thẻ thông minh. Hầu hết các kỹ thuật này đã được được giới thiệu như một phản ứng để sửa chữa các lỗ hổng được phát hiện thay vì hơn là chủ động. Các kỹ thuật xác thực cơ bản bảo vệ người dùng chống lại các âm mưu gian lận đơn giản như kỹ thuật xã hội hoặc phần mềm độc hại cơ bản như lừa đảo hoặc keylogger đã bị lực lượng tội phạm khắc phục trong vài năm gần đây. Nâng cao tấn công thông qua phần mềm độc hại phức tạp như giả mạo hoặc phát lại các cuộc tấn

công là sự lựa chọn của những kẻ gian lận để đánh bại bảo mật các giải pháp vẫn được các ngân hàng sử dụng.

Điều này bao gồm mật khẩu một lần, ví dụ: giải pháp Mật khẩu dùng một lần (OTP) là mật khẩu để xác thực người dùng trong một giao dịch an toàn. Hầu hết, khái niệm này được sử dụng trong hệ thống ngân hàng và các trang web an toàn khác. Mã xác thực OTP là một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự, nhưng khác mật khẩu thông thường, mã xác thực OTP được tạo ra ngẫu nhiên không phải từ người dùng, chỉ sử dụng được một lần và sau đó khơng cịn tác dụng.

Thậm chí, thời hạn của mật khẩu OTP thường rất ngắn, có thể chỉ sau 30 giây, 60 giây hay một vài phút, nó sẽ vơ tác dụng và lại được thay thế bằng mã mới.

Hình 4.1 SMS OTP là phương thức gửi mã xác thực OTP thông qua SMS

Sau đây là sơ đồ về tổng quan về cấu trúc, các hướng đi của luồng dữ liệu, các giao dịch thuộc phạm trù của ngành ngân hàng của hệ thống ngân hàng trực tuyến được lựa chọn để xây dựng trong bản báo cáo mơn học này.

Hình 4.2 Sơ đồ và tổng quan về cấu trúc đơn giản của E-Banking System

Xác thực trong trường hợp này cũng tính đến mức độ rủi ro liên quan, dựa trên bản chất của tài sản được bảo vệ. Phần lớn các ngân hàng sẽ cung cấp một trang web cơng cộng có thể truy cập miễn phí để khách truy cập khơng xác định cho nhu cầu thông tin và tiếp thị mà không cần nhắc chi tiết xác thực. Trái ngược với rằng, quyền truy cập và sử dụng các chức năng ngân hàng trực tuyến là bị hạn chế và chỉ có sẵn cho khách hàng đã đăng ký với tư cách là người dùng cho các cơ sở này của ngân hàng. Thông thường, các ngân hàng sẽ sử dụng một phương pháp xác thực để xác minh danh tính của chính hãng người dùng và sau đó cấp quyền truy cập vào cổng ngân hàng, nhưng yêu cầu bước xác thực thứ hai cho các giao dịch tiền lạm dụng tiềm ẩn rủi ro tài chính lớn hơn. Trang web cơng cộng, chức năng xác thực và giao dịch được truy cập bằng cách liên hệ với máy chủ web tương ứng từ cơng chúng Internet. Các quy trình này cũng sẽ phụ thuộc vào cơ sở dữ liệu liên quan và nguồn dữ liệu bắt buộc như tập lệnh trang web, dữ liệu xác thực để xác minh hoặc chi tiết giao dịch và hồ sơ từ đó.

Trong khi thế giới thực ứng dụng ngân hàng trực tuyến chỉ có thể được trình bày cho đến nay các chương trình phức tạp hơn và thường được phân tán thành nhiều các nhà cung cấp bên thứ ba khơng phải chính ngân hàng. Tổ chức ngân hàng tổng thể sẽ có một mơi trường bảo mật thơng tin lớn hơn, bao gồm cả nội bộ mạng LAN, kho dữ liệu liên quan do bên thứ ba duy trì và các nhà cung cấp bên ngồi khác có khả năng tạo ra rủi ro. Trong khi một số lượng tài sản trong mơi trường này có thể trở

thành đối tượng của các cuộc tấn công định hướng mục tiêu, tài sản trong trọng tâm của ngân hàng trực tuyến bảo mật, bao gồm thơng tin xác thực cho mục đích xác thực, dữ liệu giao dịch, chi tiết cá nhân và các trang cơng khai. Các vai trị chức năng cơ bản trong hệ thống này có thể là được chỉ định tương ứng là khách truy cập, bao gồm cả người dùng chưa đăng ký và những kẻ tấn công tiềm năng, hơn nữa là những người dùng chân chính trong là khách hàng và chủ tài khoản tại ngân hàng và được chỉ định quản trị viên web với quyền quản trị bổ sung. Tồn bộ mơi trường an tồn thơng tin của ngân hàng rất lớn, bao gồm nhiều vai trị hơn, chẳng hạn như kiểm tốn viên, nhân viên có nhiều quyền và các chức năng CNTT khác.

Trong tình trạng bối cảnh bảo mật đang liên tục phát triển và rất quan trọng với phạm vi các mối đe dọa tiềm ẩn trong tương lai gần, mơ hình mối đe dọa với cơng cụ Microsoft Threat Model Tool có thể chứng minh là một cơng cụ có giá trị để quản lý rủi ro.

4.2 Xây dựng mơ hình hóa các khối đe dọa trong công cụ

Để thực tế chứng minh chức năng chung, kết quả là được mong đợi bởi và để hiển thị kết quả trực tiếp cho một ví dụ trong thế giới thực, một quy trình mơ hình hóa mối đe dọa cho trường hợp bảo mật ngân hàng trực tuyến đã được thực hiện với cơng cụ TMT. Bốn khối xây dựng hình thành quy trình mơ hình hóa mối đe dọa mà phần mềm dựa trên: phân hủy ứng dụng thông qua DFD, xác định và liệt kê các mối đe dọa bằng cách sử dụng STRIDE, các biện pháp giảm thiểu tương ứng của chúng và một phần xác minh và đảm bảo. Cải thiện tính bảo mật của các thiết kế, ghi lại hoạt động này và giảng dạy về bảo mật trong khi mọi người làm việc thông qua mơ hình mối đe dọa đã được đặt tên là các mục tiêu của quy trình.

Phù hợp với bốn khối xây dựng đã đề cập, cơng cụ TMT tn theo quy trình gồm nhiều bước, các cơng cụ khác sẽ sử dụng cách tiếp cận được thiết kế tương tự liên quan đến nhiều lớp hoạt động. Ứng dụng ngân hàng trực tuyến trước hết được phân mảnh thành các nhóm yếu tố nhỏ hơn bằng cách sử dụng DFD. Dựa trên cấu trúc đã biết của hệ thống và sử dụng các cơng cụ vẽ được cung cấp, DFD có thể được xây dựng theo cách đơn giản nhưng hiệu quả. Khơng cần phải có kinh nghiệm tạo

DFD trước đó, nhưng sẽ có lợi rất nhiều, vì các khái niệm và yếu tố được sử dụng trong sơ đồ khơng được giải thích sâu. Các phần tử có trong DFD sau đó sẽ liên quan đến các loại mối đe dọa áp dụng tương ứng của chúng theo khái niệm STRIDE, tạo ra một danh sách rộng rãi các mối đe dọa cần được phân tích, mơ tả và giảm thiểu. Mối quan hệ giữa DFD được cung cấp và danh sách các mối đe dọa được trả về nhấn mạnh yêu cầu về một DFD có độ nhạy cao thể hiện hệ thống một cách chính xác đến mức khó chấp nhận mà không quá phức tạp. Việc xác minh mơ hình mối đe dọa không phụ thuộc vào quy trình theo sau bởi cơng cụ TMT. Tuy nhiên, hai bước cuối cùng, bao gồm thông tin về môi trường của hệ thống và báo cáo cuối cùng, cung cấp một cái nhìn tổng quan tốt về các biện pháp giảm thiểu được sử dụng, thông báo cho các bên liên quan khác nhau và trực tiếp chuẩn bị phân tích dẫn đến việc xác minh mơ hình. Ở đây em xây dựng nơi lưu trữ dữ liệu ngân hàng với công nghệ Azure Key

Vault.

Azure Key Vault là một dịch vụ đám mây để lưu trữ và truy cập các secret một

cách an tồn. Secret là bất kỳ thứ gì bạn muốn kiểm sốt chặt chẽ quyền truy cập, chẳng hạn như API key, password, certificates hoặc cryptographic keys. Key Vault service hỗ trợ hai loại container: vault & managed HSM pool. Vault hỗ trợ lưu trữ phần mềm và HSM-backed keys, secrets, and certificates. Managed HSM pools chỉ hỗ trợ HSM-backed keys.

Căn cứ vào thực thể ta chọn tương ứng bên Stencils sau đó di chuyển về trang trắng giữa màn hình, nối đường dữ liệu giữa chúng, đặt tên cho các thực thể và đặt tên các đường gửi yêu cầu và trả lời và ta sẽ có kết quả như hình sau:

Hình 4.3 Hệ thống luồng dữ liệu cơ bản của ngân hàng trực tuyến

Giống như các hệ thống khác, ứng dụng ngân hàng trực tuyến có nhiều thành phần với các mức độ phức tạp bên trong, ranh giới tin cậy, đầu vào và đầu ra khác nhau. Bắt đầu vào bên trái của hình 4.3, con người tương tác với hệ thống ngân hàng trực tuyến có thể được xem như những người tương tác bên ngồi mà khơng có hoặc chỉ có quyền kiểm sốt hạn chế. Luồng dữ liệu mô tả cách dữ liệu di chuyển qua hệ thống, chuyển thông tin quan trọng như thông tin xác thực hoặc chi tiết giao dịch, cũng như các yêu cầu hoặc phản hồi đơn giản giữa một trang web công khai và khách truy cập trang web đó. Các quy trình trong hệ thống ngân hàng trực tuyến như xác thực hoặc giao dịch có thể có tính chất phức tạp và u cầu một chuỗi các quy trình đơn giản hợp lý để hồn thành nhiệm vụ đã xác định của chúng.

Các quy trình đơn giản thường có thể được tìm thấy ở cấp độ thấp hơn của hệ thống, không phải là chủ đề. Hệ thống ngân hàng trực tuyến cũng chứa một số kho dữ liệu thụ động, chứa ví dụ: xác thực, tài khoản và chi tiết giao dịch. Hơn nữa, ranh giới ủy thác có ý nghĩa quan trọng đối với ngân hàng trực tuyến, vì chức năng chung của nó yêu cầu truy cập dữ liệu quan trọng dưới dạng tài sản tài chính, cũng như thơng tin qua internet công cộng của khách truy cập. Sử dụng sự phân loại đã phác thảo của các thành phần hệ thống, DFD có thể minh họa sự tương tác giữa các phần tử, hiển

thị chuyển động của thông tin qua hệ thống và giải thích chức năng chung của hệ thống.

Các tương tác bên ngoài được đề cập, liên quan đến người dùng yếu tố hệ thống, có thể được tìm thấy trong vai trị của khách truy cập -bao gồm cả những kẻ tấn công - cũng như quản trị viên web và khách hàng (xem hình 4.3), tất cả đều có mơi trường và cấu hình hệ thống khơng xác định đằng sau ranh giới tin cậy của riêng họ với internet cơng cộng ở phía bên kia. Các bộ tương tác bên ngồi này bắt đầu một số luồng dữ liệu thông qua việc tương tác với các quy trình trung tâm của hệ thống. Khách truy cập sẽ yêu cầu nội dung web từ trang web cơng cộng, sau đó sẽ u cầu dữ liệu từ bộ lưu trữ dữ liệu trang web công cộng và sử dụng dữ liệu trả về để hiển thị thơng tin. Khách truy cập cũng có thể gửi thơng tin đăng nhập tới quy trình xác thực, quy trình này sẽ kết nối với cơ sở dữ liệu xác thực để xác minh thông tin đăng nhập do người dùng cung cấp và sau đó xác nhận tính xác thực của người dùng, điều này cho phép quy trình gán “trạng thái khách hàng chính hãng” cho trước đó khách truy cập khơng xác định. Vai trị khách hàng này có thể yêu cầu một giao dịch từ quy trình giao dịch bằng cách cung cấp một số chi tiết giao dịch nhất định ở định dạng văn bản như người nhận, số tiền và các chi tiết khác, được gọi là yêu cầu giao dịch web trong hình 4.3. Ngược lại, quy trình giao dịch có thể sẽ chuyển thơng tin này ở định dạng khác phù hợp với cơ sở dữ liệu giao dịch và do đó được gọi là yêu cầu giao dịch DB. Sau đó, cơ sở dữ liệu giao dịch sẽ phản hồi quy trình sau khi giao dịch đã được chấp thuận và xử lý, ví dụ: tùy thuộc vào đủ số dư tài khoản. Tương tự như cơ sở dữ liệu xác thực, cơ sở dữ liệu giao dịch với nội dung dữ liệu quan trọng của nó sẽ nằm sau ranh giới tin cậy, tách biệt với internet công cộng, khác với máy chủ web và lưu trữ dữ liệu cho trang web công cộng. Các ranh giới tin cậy như được vẽ trong sơ đồ có thể giúp thể hiện các mối quan hệ này và sự khác biệt về độ tin cậy một cách thích hợp. Vai trị cuối cùng, quản trị viên web sẽ có thể chỉnh sửa mã của trang web cơng cộng, sau đó là xác nhận, rất có thể bằng cách sử dụng hệ thống quản lý nội dung dựa trên web, quan trọng về bảo mật.

DFD có thể yêu cầu một số sửa đổi để đạt được tiêu chuẩn thỏa mãn, tránh một sơ đồ quá phức tạp, nhưng thể hiện chính xác các luồng dữ liệu và các thành phần. Chỉ một sơ đồ hợp lý và có ý nghĩa sẽ cho phép xác định hiệu quả các mối đe

Một phần của tài liệu đồ án an toàn thông tin (Trang 74)

Tải bản đầy đủ (PDF)

(97 trang)