W dużej mierze nie różni się to od bezpieczeństwa wszystkich systemów webowych.
- Odpowiednie nagłówki http: cors, csp, same-site itp.
- Bezpieczeństwo pakietów z których się korzysta, odporność na xss.
- Walidacja danych wejściowych
- Prepared statements, parameterized queries
- Odporność na RCE
- Tematyka szyfrowania: od podpisywania jwt po szyfrowanie nośników danych
- Odpowiedni design infrastruktury pod kątem dostępu do sieci, PKI
- Rozumienie bezpieczeństwa jako proces: regularne audyty, testy.
- Stosowanie monitoringu i firewalli
- Ochorna przed atakami apt
Oprócz tego rozwiązania klasyczne dla banków:
- 2FA
- Zaufane kanały dostępu/jednorazowy dostęp
- Customowy monitoring - transakcje na koncie, czasy sesji, logowania, monitorowanie ip
- Zgodność oprogramowania banków z PSD2
- Cała masa procedur związanych z komunikacją z klientem
- Jeszcze większa masa procedur bezpieczeństwa dla pracowników na poszczególnych szczeblach
W chwili obecnej skuteczne ataki bezpośrednio na banki są rzadkością: duża liczba banków to spółki i mają obowiązek informować o takich incydentach, jeśli atak mógłby wpłynąć na rentowność podmiotu.
Z kolei mega popularne są teraz ataki na klientów: dzwonienie i podszywanie się za pracowników banków, strony udające bankowe czy tzw Thrid-party payment procesor, złośliwe oprogramowanie wysyłane mailami.
Dużo znajdziesz na niebezpieczniku, Z3S i sekuraku. Temat rzeka, przemyśl czy chcesz dotykać