Penetration Testing ตู้ ATM
Penetration Testing ตู้ ATM แบบครบวงจร ครอบคลุมฮาร์ดแวร์ ซอฟต์แวร์ เฟิร์มแวร์ การสื่อสารเครือข่าย และความปลอดภัยทางกายภาพ
ATM และ Cash Deposit Machine เป็นกรณีที่พิเศษในเชิง Cybersecurity เพราะเป็นอุปกรณ์ภาคสนามที่จัดการเงินสด รับบัตร มักใช้ระบบปฏิบัติการอายุหลายสิบปี และตั้งอยู่ในสถานที่ที่เข้าถึงทางกายภาพได้ ซึ่ง Threat Model ต้องครอบคลุมการดัดแปลงทางกายภาพ การยึดระบบซอฟต์แวร์ การเจาะเครือข่าย และกระบวนการปฏิบัติงานรอบการจัดการ Cassette และ Key Management
โครงการมักดำเนินการบน ATM ทดสอบที่เป็นตัวแทนในห้องปฏิบัติการของเรา หรือในสภาพแวดล้อมธนาคารที่ควบคุมได้ ขอบเขตครอบคลุม Hardware-Level Testing เช่น Card Reader, PIN Pad และ Cash Dispenser การวิเคราะห์ Software และ Firmware การทดสอบ Network และ Transaction Layer รวมถึงการทบทวนกระบวนการปฏิบัติงาน Findings เชื่อมโยงกับข้อกำหนดของหน่วยงานกำกับดูแลธนาคารในภูมิภาค และความคาดหวังของ PCI PIN / PTS
ความเสี่ยงที่ต้องพิจารณา
ATM มักใช้ซอฟต์แวร์ที่มีอายุการใช้งานยาวนานผิดปกติ
ATM ที่ใช้งานจริงจำนวนมากอาจยังมีระบบปฏิบัติการที่ไม่ได้รับการสนับสนุนแล้ว รอบการ Patch ถูกจำกัดด้วยตาราง Release ของ Vendor และช่วงเวลาปฏิบัติงาน
หน่วยงานกำกับดูแลในระดับภูมิภาคให้ความสนใจในประเด็นนี้โดยเฉพาะ
ธนาคารแห่งประเทศไทย MAS และ OJK ล้วนเผยแพร่ข้อคาดหวังเกี่ยวกับการทดสอบความปลอดภัยของตู้ ATM สำหรับธนาคารที่ให้บริการช่องทางดังกล่าว การรับรองจากผู้จำหน่ายอุปกรณ์เพียงอย่างเดียวมักไม่เพียงพอ
สิ่งที่เราทดสอบ
ฮาร์ดแวร์ & Physical
- Card readers
- Cash dispensers
- PIN pads
- ความปลอดภัยทางกายภาพและตัวเครื่อง
- Environmental และ Operational Security
ซอฟต์แวร์ & เครือข่าย
- ATM software และ firmware
- Transaction processing systems
- Network communication
- การโจมตีแบบ Skimming, Tampering และมัลแวร์
- Network intrusion
ช่องโหว่ที่เรามักพบจากการทดสอบในลักษณะนี้
ข้อมูลที่นำเสนอเป็นกลุ่มช่องโหว่ที่ที่ปรึกษาของเรามักพบจากการทดสอบในลักษณะเดียวกัน ความรุนแรงและความถี่จะแตกต่างกันตามสภาพแวดล้อมและระดับความพร้อมของแต่ละองค์กร
ความต้านทานการงัดแงะและตัวเครื่อง
การออกแบบฝาครอบหัวอ่านบัตรที่เอื้อต่อการติดตั้งอุปกรณ์ดักข้อมูล ล็อคตัวเครื่องที่สามารถทำลายได้ และอินเทอร์เฟซบำรุงรักษาที่เปิดเผย
ช่องโหว่ใน Software Stack
แอปพลิเคชัน ATM ที่สามารถหลีกเลี่ยงได้ผ่านการหลุดออกจากโหมด kiosk ส่วนประกอบของระบบปฏิบัติการที่ไม่ได้รับการแพตช์ และช่องทางการอัปเดตที่ไม่มั่นคงปลอดภัย
เครือข่ายและธุรกรรม
การป้องกันการสื่อสารระหว่าง Host กับ ATM ที่อ่อนแอ ข้อความธุรกรรมที่ยอมรับการโจมตีแบบ Replay และการเคลื่อนที่แนวข้างจากเครือข่ายเข้าสู่กลุ่มอุปกรณ์ ATM
แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ
ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม
การกำหนดขอบเขต
กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย
การดำเนินการ
การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน
การตรวจสอบความถูกต้อง
ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล
การรายงาน
รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข
สรุปผลและการทดสอบซ้ำ
การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข
อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ
ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก
ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน