Вход Регистрация
Подписка

Зачем банку SIEM

03.10.2016

В последнее время тема кибератак на банки мелькает на страницах СМИ с завидным постоянством: этой весной публичными стали истории Металлинвестбанка (с его счетов было похищено 200 млн рублей), банка «Таатта» (похищено 100 млн рублей), Русского Международного банка (похищено 500 млн рублей)

С октября 2015-го по март 2016 года FinCERT зафиксировал 21 атаку. Банкам удалось «отбить» у злоумышленников только 1,6 из 2,87 млрд рублей. Схема краж была такова: по электронной почте отправлялось «невидимое» для антивирусов вредоносное ПО. Далее с помощью SMB-запросов сканировалась локальная сеть для заражения других машин, на которые потом загружался ботнет-клиент с функцией удаленного управления. Что можно противопоставить такой атаке?

Система класса SIEM (Security Information and Event Management), например, с помощью дополнительных средств может отметить, что несколько сотрудников получили одинаковые вложения. Если с их компьютеров одновременно начнут уходить SMB-запросы (протокол для доступа к сетевым ресурсам в Windows), то это вызовет подозрения. Сопоставление этих событий могло бы помочь детектировать атаку. Но можно подождать и загрузки ботов на зараженные ПК. Сам факт того, что с нескольких компьютеров по HTTP кто-то «отстучался» одинаковыми запросами, а содержимое веб-страницы, куда заходили боты, было нехарактерно для конкретного человека, позволяет поднять тревогу. Вспомним историю банка «Кузнецкий», когда злоумышленники от имени сотрудника, ответственного за отмену транзакций, в автоматическом режиме отменили около 3 тыс. операций. Сумма ущерба составила порядка 470 млн рублей. Даже если SIEM-система пропустила бы все шаги злоумышленников при входе в инфраструктуру Банка, то количество операций по отмене транзакции (это редкая и не самая элементарная операция и не может выполняться ежесекундно) — явная аномалия. И сигнал тревоги поступил бы уже после первых из них.

СПРАВКА
СТО БР ИББС 2.5 указывает, что банки должны обладать средствами мониторинга ИБ для отслеживания и регистрации событий ИБ, их агрегации и корреляции. Второй национальный стандарт ожидается в конце 2017 года (ГОСТ Р ХХХХХ–201Х «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер защиты информации»). Он предпишет финансовым организациям иметь средства сбора доказательств для расследования финансовых преступлений.

Для идентификации подобных событий в банке должны быть системы обнаружения, такие как IDS или средства анализа трафика, но только SIEM на ранней стадии сможет связать все эти события в единую цепочку. При этом не нужно объяснять необходимость SIEM-системы: инциденты ИБ, как бы мы ни желали обратного, происходят, их необходимо расследовать, и нужные данные мы сможем найти только в системах класса SIEM — не говоря уже о многочисленных требованиях регуляторов и стандартов (как зарубежных, так и отечественных), в рамках которых SIEM необходима.

Почему SIEM кладут на полку

Большинство крупных организаций, в том числе и банков, сегодня оснащено обширным списком средств защиты. Но массовость атак и их успешность свидетельствуют о том, что SIEM-системы оказываются неэффективными. По статистике Mandiant средний период между компрометацией инфраструктуры и обнаружением злоумышленника составляет 146 дней, а максимальный срок, зафиксированный нами, — семь лет. Получается, что разрыв между сроком компрометации инфраструктуры и временем обнаружения атаки недопустимо велик. Почему же все так плохо? Причин этому несколько.

Во-первых, надо понимать, что целенаправленные атаки (APT) не обнаруживаются средствами защиты сходу. Они выявляются только через множество разрозненных некритичных событий, выстраиваемых в цепочку. А в случае с классическими SIEM-системами ее приходится выстраивать для каждой отдельной системы и инфраструктуры. Это колоссальные затраты на создание и поддержку правил в актуальном состоянии.

Во-вторых, типичный SIEM отличается сложностью и трудозатратностью внедрения: нужны интеграция и обеспечение взаимодействия со множеством систем. SIEM часто напоминает автомобиль, половину времени простаивающий в сервисе: его надо постоянно «дотюнивать» вслед за конфигурационными изменениями (едва ли не ежедневными) в IT-инфраструктурах. В этом кроется одна из причин того, почему буквально через один-два года после внедрения они просто «кладутся на полку».

Работа системы основана на сборе данных обо всем, что происходит в рамках инфраструктуры. Поэтому нельзя обойти вниманием вопрос подключения источников информации, а их число может исчисляться десятками. Этот длительный и крайне трудозатратный процесс. Практически ни одна SIEM-система не обеспечивает достаточное покрытие источников «из коробки». И это тоже одна из причин их слабой эффективности. Подключение всех существующих источников заказчика в рамках проекта внедрения, как и подключение новых в рамках последующей технической поддержки, без перекладывания этих задач на заказчика или на интегратора — уникальная ситуация.

Мы все поменяли

Систему MaxPatrol SIEM отличают гибкость и адаптивность к изменяющейся инфраструктуре: все имеющиеся и получаемые данные — конфигурация узла и его настройки, установленное ПО, сетевая активность, логи — унифицируются и выстраиваются вокруг каждого из активов с учетом их расположения и взаимосвязей (актив — любой элемент инфраструктуры, сетевой узел, идентифицируемый по различным признакам). Система постоянно обогащается данными из новых событий, сканирований, сетевого трафика и от агентов на конечных точках, благодаря чему в MaxPatrol SIEM выстраивается виртуальная модель инфраструктуры предприятия, актуальная в любой момент времени. MaxPatrol SIEM «понимает» любую инфраструктуру, автоматически подстраиваясь под изменения, а все эти данные используются в правилах корреляции.

Концепция MaxPatrol SIEM предусматривает возможность передачи экспертизы заказчику. Для этого мы внедряем базу знаний Positive Technologies Knowledge Base (PTKB) — высокоуровневый постоянно пополняемый набор данных, основанный на нашем 15-летнем опыте проведения тестов на проникновение и аудитов защищенности. Связка системы с PTKB позволит получать новые данные об известных моделях атак и паттернах поведения хакеров, учитывать новые уязвимости и эксплойты, автоматически обновлять правила корреляции. При этом новые правила корреляции, построенные на унифицированных активах, автоматически накладываются на инфраструктуру заказчика, не требуя ручной настройки.

В результате для эффективной эксплуатации SIEM компании не обязательно иметь в штате обширную команду аналитиков, а управление из единого интерфейса позволяет решать типовые задачи силами даже одного эксперта.

СПРАВКА
Возможности системы MaxPatrol SIEM уже оценили в ряде банков, коммерческих и государственных структур. С ее помощью была обнаружена деятельность ряда APT-групп посредством анализа различных событий из логов антивирусов. Есть в копилке системы и опыт выявления квалифицированных внутренних мошенников на основе анализа сетевого взаимодействия между подразделениями компании. При правильной настройке система дополняет антифрод-решения и может в прямом смысле слова спасти деньги и деловую репутацию кредитной организации.

Реклама



03.10.2016
Эта статья была разослана 1406 on-line подписчикам bosfera.ru
Материалы альянса финансовых медиа:
Разговоры финансистов

АДРЕСА БЛАГОТВОРИТЕЛЬНОСТИ
Перейти в Раздел
Вверх