¿Por qué los bancos no son pirateados?

Creo que es justo decir que la idea de que cualquier organización grande es totalmente inmune a los ataques ha demostrado ser falsa en los últimos cinco años. Todos, desde estados nacionales a través de grandes corporaciones, consultorías de seguridad y otras compañías preocupadas por la seguridad, han tenido violaciones.

Una de las razones por las que un banco no se ha convertido en un "caos completo" como usted lo atribuye a una combinación de las medidas de seguridad que tienen para reaccionar ante los ataques, el tamaño y la complejidad de sus sistemas y la Motivaciones de las personas que tienen los recursos para atacarlos de manera efectiva.

Si piensas en las personas que están más motivadas para atacar los sistemas bancarios, los delincuentes quieren robarles dinero. Desde su perspectiva, no hay razón para causar el caos, quieren entrar, robar cosas y escapar sin ser notados, si es posible.

Para obtener un beneficio rápido, es más fácil ir tras los usuarios finales. Por eso hay tantos ataques de phishing y troyanos que roban contraseñas.

Las operaciones bancarias de internet tienden a estar bien aseguradas. Los entornos de oficina internos lo son menos, aunque tienden a tener un buen AV. Esto detiene a los usuarios de metasploit ocasionales, aunque un atacante avanzado con ataques de día cero podría comprometer fácilmente una estación de trabajo interna a través del navegador y proceder a un ataque importante.

Espero que en este momento, tanto la NSA como los chinos tengan hacks a gran escala en muchos bancos del mundo. Pero no serían tan burdos como para limpiar el banco. Es mucho más valioso sentarse en silencio y cosechar datos. Si decidieran limpiar el banco, habría copias de seguridad, pero sería increíblemente difícil reanudar las operaciones diarias, es decir, semanas, incluso con equipos de contratistas de crack. El banco sería destruido comercialmente.

Leí que durante la Segunda Guerra del Golfo, EE. UU. pudo haber hecho esto a los bancos iraquíes, pero tomaron la decisión estratégica de no hacerlo.

Es un mundo aterrador por ahí :)

Cuando uno asegura una caja, coloca varias capas de defensas, por lo que algún "pirata informático" derrotaría una protección, las consecuencias inmediatas serán limitadas, y para cuando se derrote la siguiente capa de protección, se espera que su acción sea detectada y neutralizado.

Esto es para un cuadro simple. Ahora, con un banco que es una de las instituciones internacionales más grandes, el cuerpo principal del sistema financiero, usted simplemente multiplica estas capas a nivel de toda la empresa y restringe al mínimo la interacción dentro de ellas, y para cada interacción define procedimientos muy estrictos. Al imponer eso, el mayor impacto potencial tiene esta interacción, la mayoría de las personas deben participar (en dichos dominios, el principio de cuatro ojos) se aplica ampliamente).

Al distribuir ampliamente las responsabilidades y los datos, usted distribuye el poder, de modo que cuando una parte del banco es pirateada (o si un empleado se vuelve contra el sistema) proporciona muy poco poder, por lo que la restauración de respaldo y la cancelación de acceso Lo más probable es que aniquile los daños.

Sin embargo, ningún sistema puede tomarse como 100% seguro, y es por eso que lo que describe simplemente sucede de vez en cuando. Por ejemplo, aquí en Francia, hace solo unos años, un comerciante derrotó estas protecciones y causó una pérdida de 4.9 billones de dólares a su banco (consulte Jérôme Kerviel ; es interesante notar que el peligro más crítico no son los piratas informáticos externos como se puede pensar, sino los empleados internos ...), y sí, como dijiste, fue un "caos gigantesco".

Entonces, para responder a su pregunta, los bancos realmente son pirateados, como cualquier otro sistema de información, pero con suerte debido a su tamaño, esto no sucede muy a menudo.

Vamos a refutar una idea errónea: los bancos son pirateados , son (más) más controlados que la compañía promedio. Desde mi experiencia como evaluador de penetración, no es inusual que los bancos y las empresas financieras tengan sistemas vulnerables, pero hay elementos que los hacen más difíciles de atacar con éxito.

En primer lugar, los bancos generalmente respetan el principio de privilegio mínimo , reduciendo a las personas con permiso para realizar ciertas tareas (críticas o no) a un grupo limitado. Esta práctica reduce efectivamente las capacidades de phishing y también proporciona un perímetro específico cuando surge un problema (por ejemplo, ataque, fraude).

Además, las leyes específicas de los países a menudo requieren que los bancos supervisen y registren actividades en sus sistemas, lo que dificulta la realización de un ataque sin ser detectado en un corto período de tiempo. También considere que los rastros de dinero pueden seguirse y detenerse (dentro de ciertos límites) si se considera fraudulento.

Finalmente, los bancos generalmente realizan varias evaluaciones de seguridad de sus aplicaciones críticas, especialmente las expuestas en Internet y utilizadas por sus clientes. Esto efectivamente reduce el riesgo de ser hackeado, pero no elimina el riesgo por completo.

Al final, ningún sistema es completamente seguro y el factor humano puede ser el eslabón débil. Sin embargo, en un entorno altamente controlado, como el que se encuentra en las compañías bancarias, la eficacia de los ataques (externos e internos) se ve mitigada por la severa seguridad implementada.

Aunque suena extraño para alguien que se enfoca solo en los aspectos técnicos de piratear un banco, una de las razones por la que los bancos están más seguros que muchas organizaciones es que tienen un conjunto integral de políticas de seguridad de la información. Estas políticas guían a la organización a través de muchas áreas que ayudan a proteger a sus clientes.

Un buen ejemplo es una política que define exactamente quién debe tener acceso a qué información. Al asegurarse de que solo las personas en el departamento X puedan editar las cuentas, limitan la capacidad de un atacante que podría estar tratando de ingeniarse socialmente para ingresar a las cuentas. Otra política podría ser que todas las contraseñas tengan más de 16 caracteres, y otra podría decir que las personas con acceso a efectivo pueden no tener acceso a los sistemas, etc. Podrían tener políticas sobre firewalls, dispositivos IDP, dispositivos USB, teléfonos inteligentes, Wi-Fi. Autenticación Fi, etc. Un banco puede tener docenas o incluso cientos de estas políticas.

Todo es parte de una estrategia global llamada "defensa en profundidad". Del mismo modo en que no llamaría seguro a un banco simplemente porque su verja está bloqueada, no confía solo en los cortafuegos para detener a los atacantes.

El recurso crítico que garantiza la seguridad de los bancos es, sorprendentemente, nada técnico. :)

Lo más importante es que los bancos mantienen grandes departamentos de seguridad interna con un número considerable de especialistas en seguridad. Los bancos son más o menos las únicas organizaciones que son capaces de pagar la factura de este tipo de operación.

El resto es bastante simple: los tipos de seguridad interna realizan auditorías y pruebas de seguridad constantemente. De hecho, el fraude bancario instigado por los empleados es muy común (docenas de casos por año por banco), pero rara vez escuchamos estas cosas, porque normalmente los individuos de seguridad identifican el fraude rápidamente, los daños se revierten y los delincuentes son expulsados ( de una manera bastante silenciosa, para no estropear la reputación del banco).

Para resumir, la tecnología aún no está lista para resolver problemas sociales, por lo que aún se necesitan grandes batallones y buenos disparos para mantener la seguridad adecuada.

Es bastante difícil robar un banco, mientras que piratear un banco puede ser relativamente más fácil, además de brindarte la ventaja obvia de salirse con la suya. Solo para aclarar, los bancos tienen analistas de seguridad y comités que deciden el marco de la seguridad de los servidores o del sitio web. Como resultado, a menos que sea Jonathan James o el propio Sr. McAfee, necesitará un equipo o grupo de hackers dedicados, información privilegiada y una gran parte de la incompetencia de parte del banco para siquiera pensar en hackear un banco. Si lo consigue, salga con la suya, puede retirarse y pasar el resto de su vida de manera segura en un ático en Brasil o en la Isla de Man.

Robo en el banco de Bangladesh

650 Millones de libras

13 millones de dólares

En consecuencia, los bancos son hackeables con recursos adecuados, pero extorsionar el dinero a usuarios estúpidos sería un método más fácil de ganar dinero en los veranos.

Los bancos generalmente compran grandes sistemas para prevenir este tipo de ataques y descubren vulnerabilidades con solo hacer clic en un botón (por ejemplo, Qualys). El dinero no es un problema cuando se trata de bancos. La mayoría de ellos no necesitan personal altamente calificado para defender sus sistemas.