Ict-dienstverlener BT zet ethische hackers in voor de beveiliging van financiële organisaties. Het bedrijf introduceert een reeks gecertificeerde beveiligingstests waarbij de hackers proberen gaten te vinden in de beveiliging van financiële instellingen. Volgens de dienstverlener is dat de beste manier om te controleren of banken, verzekeraars en andere financieel dienstverleners opgewassen zijn tegen de steeds veranderende aanvalsmethoden van internetcriminelen.
BT: ‘De schat aan waardevolle en gevoelige persoonlijke data waarover financiële organisaties, zoals retail- en investeringsbanken en verzekeringsmaatschappijen, beschikken, maakt hen tot één van de meest aantrekkelijke doelen voor kwaadwillende hackers en cyber-criminelen.’ De dienstverlener stelt dat beveiligingsrisico’s de afgelopen jaren zijn toegenomen doordat steeds meer consumentgerichte financiële diensten online worden aangeboden en elektronische handel toeneemt.
‘Onze dienst Assure Ethical Hacking for Finance maakt gebruik van volwassen technieken die lijken op die van kwaadwillende aanvallers. De dienst bestaat uit diverse tests gericht op de verschillende ingangen tot ict-systemen van banken en andere als zwak beschouwde plekken van een organisatie’, licht de dienstverlener toe. De hackers onderzoeken onder meer de kansen van phishing, zwakke plekken in mobiele apparaten en hardware (van laptops tot printers), interne en externe netwerken, databases en complexe enterprise resource planning (erp) systemen.
BT test en verifieert niet alleen systemen die toegang hebben tot het netwerk, maar onderzoekt ook de risico’s van menselijk falen, door bijvoorbeeld social engineering te gebruiken om te testen hoe medewerkers bestaande richtlijnen toepassen.
Database dumps
Volgens de dienstverlener borduurt de nieuwe dienst voort op de ervaring die de afgelopen twintig jaar is opgedaan binnen de nauwe samenwerking met grote financiële instellingen in de Verenigde Staten. BT: ‘Daarbij lukte het onze ethische hackers om database dumps van tienduizenden burgerservice- en creditcard nummers uit te voeren, reverse engineering toe te passen bij bedrijfseigen encryptie, enorme aantallen geldige cadeaukaarten met betalingsgegevens van andere test accounts aan te maken, admin-accounts te creëren door een medewerker eenvoudigweg een e-mail te laten openen, remote access sessies te omzeilen en zo toegang met verhoogde rechten te krijgen tot systemen – inclusief daaropvolgende getunnelde sessies naar het bedrijf -, het overboeken van fondsen tussen onbevoegde testaccounts en het binnenhalen van volledige accountinformatie van alle gebruikers door aanvallen op machine-naar-machine (M2M) communicatie.’
Starhack
De nieuwe dienst Ethical Hacking voldoet aan de ‘Simulated targeted attack and response’ (Star)-dienst. BT was één van de eerste bedrijven ter wereld die geaccrediteerd werd door Crest om Star-diensten te mogen leveren.
Crest ontwikkelde de Star-certificering in samenwerking met de Bank of England, de Britse overheid en de industrie. Het doel is om gecontroleerde, op maat gemaakte en op inlichtingen gebaseerde cyber securitytesten te kunnen leveren. Star integreert geavanceerde penetratietesten en dreigingsinformatiediensten om bedrijfskritische cyber beveiligingsdreigingen nog nauwkeuriger te kunnen simuleren.