Финансовая сфера

Банковское обозрение


  • Компании Qrator Labs и Wallarm исследовали аспекты ИБ в финансовом секторе
16.06.2016

Компании Qrator Labs и Wallarm исследовали аспекты ИБ в финансовом секторе

Целью исследования Qrator Labs и Wallarm, проведенного компанией 42Future, и представленного журналистам в Москве 15 июня 2016 года, было изучить масштаб угрозы DDoS-атак и атак на уязвимости приложений в российском финансовом секторе (банки и платежные системы), а также оценить уровень защищенности внешнего сетевого периметра организаций


 

Работы в рамках настоящего исследования проводились в формате опроса. Респондентам предлагалось ответить на вопросы анкеты. Опрос проводился среди представителей банков и платежных систем, работающих в России. Было опрошено 138 и 12 платежных систем. В выборку были включены в том числе некоторые банки из рейтинга топ-100 по размеру активов. В опросе участвовали руководители IT-подразделений, их заместители, а также руководители департаментов, отвечающих за вопросы информационной безопасности.

В качестве участников дискуссии и докладчиков выступили: генеральный директор Qrator Labs Александр Лямин, генеральный директор компании ОНСЕК, разработчика Wallarm, Иван Новиков, руководитель департамента информационной безопасности группы QiWi Кирилл Ермаков, а также Алексей Кислицын, руководитель управления информационной безопасности Банка Тинькофф.

Результаты исследования

В силу высокого приоритета данной задачи банки и платежные системы исторически уделяют много внимания вопросам ИБ и даже в кризисные периоды не сокращают свои затраты по этому направлению. Глобально расходы финансового сектора на ИБ растут на 3-4% в год (оценка PwC). По данным настоящего опроса около трети респондентов увеличили в 2015 году свой ИБ-бюджет, и еще 44% сохранили его в прежнем объеме.

100% опрошенных компаний подтверждают, что осуществляют контроль за сетевым периметром. Но, по мнению экспертов Wallarm, это не дает никакой гарантии защиты от взлома: плохо внедренные меры защиты позволяют атакующими использовать приложения, как самый простой способ для «пробоя» периметра и развития атаки внутри сети организации. Однако, полученный в ходе исследования результат, позволяет говорить о достижении российскими организациями определенного уровня зрелости в вопросах ИБ и управления рисками. В условиях цифровой экономики и формирования платформ промышленного интернета эта мера является минимально необходимой для выживания бизнеса.

В отрасли сформировалось четкое понимание, что киберпреступления — это серьезная угроза, которую нельзя сводить к рядовой технологической проблеме. 61% респондентов считают, что в случае инцидента ИБ (в зависимости от его масштаба и серьезности) повышается риск отзыва лицензии. Уже известно, что три банка, перенесших кибератаки, были лишены лицензий — в том числе, как отмечал регулятор, в связи с этими инцидентами.

Финансовые учреждения опасаются утечек персональных данных пользователей и других конфиденциальных данных в результате успешного взлома сервисов на сетевом периметре, что помимо прочего может грозить отзывом сертификации (PCI DSS).

Более трети опрошенных не рассматривают такой риск как первое и главное последствие киберпреступления, предполагая, что сначала идут репутационные и финансовые издержки. Однако абсолютно все респонденты уверены, что непредотвращенные инциденты ИБ сегодня означают серьезные потери для бизнеса.

«Бумажная безопасность» мешает развитию реальной

В компаниях понимают, что подходы к обеспечению ИБ должны трансформироваться в соответствии с быстрыми изменения ситуации на рынке. Это соответствие определяет не только защищенность бизнеса, но и возможности его дальнейшего развития. 77% респондентов разделяют мнение, что устаревшие требования к безопасности мешают внедрению новых технологий и подходов к развитию ИТ-инфраструктуры.

Дополнительное подтверждение зрелости организаций финансового сектора в вопросах ИБ — привлечение внешнего аудита. Его проведение подтверждают более 80% респондентов. Стандарт ЦБ рекомендует проводить аудит ИБ ежегодно, с целью проверки выполнения требований регулирования, либо проверки надежности и защищенности используемых решений. При этом в планах Центробанка, заметно ужесточающего надзор в сфере ИБ — перевести стандарт СТО БР ИББС в формат ГОСТа, сделав его обязательным.

По результатам проведенного аудита 19% опрошенных говорят о выявлении недостаточной эффективности защиты. Формально это может означать повышение риска отзыва лицензий у данной группы респондентов. Выше отмеченное увеличение расходов на ИБ (на 27%) выглядит в этой ситуации закономерным шагом для решения обозначившейся проблемы.

На чем можно сэкономить?

Половина респондентов обнаруживали благодаря аудиту, что эксплуатация решений обходится слишком дорого. Это открывает возможности для оптимизации затрат, на которую ориентирован сегодня весь российский бизнес.

По опыту, возможная оптимизация расходов в области ИБ относится к аппаратным решениям, когда заказчик недооценивает необходимость в дальнейшей донастройке и поддержке.

Кроме того, системы обеспечения безопасности дают слишком много событий. У служб ИБ часто ограничены ресурсы, в результате, события безопасности не обрабатываются или обрабатываются недостаточно эффективно и не полностью.

По мнению Wallarm, даже в случаях внедрения центров реагирования — SOC (Security Operation Center) — на базе дорогостоящих продуктов класса SIEM (Security information and event management), проблема реагирования на большое число срабатываний не решается должным образом. Ключевая особенность, которую признает рынок: в сетях общего доступа, таких как Интернет, атакующие могут создавать столько событий безопасности, сколько захотят. При этом, защитные меры в виде блокировок по IP адресам или подсетям практически неэффективны против современных автоматизированных средств для атак.

Почти треть респондентов также ответила, что заявленные характеристики оборудования продуктов информационной безопасности не соответствуют реальности.

«Будучи ограниченными в возможностях масштабирования, компаниям приходится идти на компромисс и защищать только часть приложений или определенную часть трафика» — отметил Иван Новиков.

DDoS-атаки стали настоящим бичем для банков

Более трети респондентов отмечают, что не сталкивались в 2015 году с инцидентами ИБ. Тут нужно учитывать традиционную закрытость и чувствительность именно банковской отрасли к публичному признанию фактов киберпреступлений. Однако большинство уже готово подтвердить зафиксированные атаки. Игроки осознают важность реального отражения ситуации с тем, чтобы более эффективно развивать стратегии кибербезопасности и бороться с мошенниками общеотраслевыми усилиями. К открытому обсуждению проблемы, размеров потерь и конкретных схем атак активно призывает и Центробанк.

Наиболее часто компании финансового сектора сталкиваются сегодня с DDoS-атаками. Об этом говорит почти четверть респондентов. По-прежнему это средство недобросовестной конкурентной борьбы, которое можно применять результативно и со все меньшими затратами (от 5 долларов в час). В то же время DDoS-атаки часто используются для отвлечения внимания и проведения других типов атак — например, взлома сайта или веб-приложений. О том, что такого рода комплексные атаки становятся трендом, также говорилось в совместном исследовании «Тренды 2015 года в области интернет-безопасности в России и в мире», сделанном Qrator Labs и Wallarm по итогам 2015 года.

Попытки взлома приложений и сервисов на сетевом периметре отметил 17% респондентов. В реальности цифра гораздо выше, считают специалисты Wallarm: практически каждый публичный ресурс хотя бы раз в месяц подвергается автоматизированным (часто не направленным на конкретную цель) атакам на публичные уязвимости.

Атаки на инфраструктуру сети

В последние два года Qrator Labs в своих отчетах по исследованиям рыночных тенденций обращает внимание на новую угрозу — атаки на инфраструктуру сети, рассматривая их, как перспективный вектор. Более половины (58%) опрошенных экспертов подтверждают, что риски такого рода уже представляют собой опасность, и угроза будет расти.

Однако 40% все еще находятся в неведении, отрицая критичность атак на инфраструктуру сети или протоколы маршрутизации. Впрочем, такая ситуация типична для восприятия новых угроз. Кроме того, среди респондентов высказывались оптимистичные предположения, что несмотря на серьезность угрозы, предпринимается достаточное количество мер для ее предотвращения — и соответственно, ее критичность снижается.

99% респондентов действительно подтверждают, что предпринимают контрмеры против атак такого типа. Можно предположить, что в ряде случаев они считают, что такие контрмеры предприняты. В том числе, рассчитывая на средства защиты, обеспечиваемые провайдером связи. Однако в отсутствие специальных и последовательных шагов самой организации для противодействия атакам на инфраструктуру уровень ее защищенности нельзя считать достаточным.

Что используется сейчас для защиты группы QiWi и Тинькофф Банка?

Большинство респондентов (69%) считают самым эффективным средством противодействия операторское решение по защите от DDoS. Однако по мнению экспертов Qrator и Wallarm сегодня этот метод устаревает.

«Решение на стороне оператора уже не может обеспечить защиту от целых классов атак. К тому же такие средства практически никогда не поставляются в комплекте с интегрированным WAF (Web Application Firewall), обеспечивающим защиту от хакерских атак. Аналогично устаревают с точки зрения реальной эффективности решения CPE», — утверждает Александр Лямин.

С экспертом согласился Кирилл Ермаков. По его словам, «Наш бизнес — это высокотехнологичная система интернет-платежей. Сетевая безопасность — один из самых главных аспектов, который влияет на работу всей компании. Мы используем целый комплекс для защиты от угроз извне, и постоянно его совершенствуем. На мой взгляд облачное решение для фильтрации трафика на сегодняшний день является самым оптимальным способам противодействия одной из наиболее опасных угроз — DDoS-атакам. Правильнее всего использовать такой инструмент в комплексе с решениями для защиты от хакерских атак, которые часто производятся одновременно с DDoS-атаками».

В итоге QiWi, владеющая крупнейшей платежной системой в России, опробовала все классы решений пока не остановилась на геораспределенной облачной сети фильтрации трафика.

Алексей Кислицын, не стал лукавить и вспомнил интернет-блэкаут в своем банке весной 2014 года, случившийся из-за DDoS-атаки. Как известно, стоимость проведения подобных атак колеблется в пределах 3 тыс. долларов, а вот ущерб был оценен в несколько десятков миллионов рублей. Поэтому для защиты от подобных угроз банк тоже выбрал облачные механизмы стороннего сервис-провайдера.

Вы до сих пор уверены, что все ваши данные при вас?

Возвращаясь к исследованию, оказалось, что 54% опрошенных уверены, что не пропускают трафик через внешнее решение. На самом деле зеркальная копия трафика отправляется в ЦОД оператора практически всегда.

Это делается для анализа и обнаружения атак самим оператором. Кроме того, «выжимки» из мета-данных об этом трафике зачастую направляются оператором вендору того решения, которое он использует. Для оператора это критически важная активность, т.к. атака на отдельного клиента может задеть других клиентов или вовсе «забить» весь канал оператора на определенном участке сети.

«В связи с развитием сетевых технологий и технологий виртуализации сетей, становится все сложнее обозначить периметр сетевой безопасности корпоративной сети. Это несет дополнительные риски и требует переосмысления политик безопасности. Корпоративная сеть перестает быть четко очерчена границами физических устройств, и превращается в совокупность сервисных макросегментов, каждый из которых обозначается собственным периметром безопасности», — говорит Александр Лямин.

Исследование показало, что на рынке сформировалось понимание того, как работают фильтры трафика. 55% сталкивались с ложными срабатываниями подобных решений, но осознают неизбежность таких событий. В итоге этот фактор не особенно влияет на принятие решения о покупке инструмента для фильтрации. Скорее на этот выбор влияет SLA — число false positive (ложных срабатываний), но эта гипотеза пока ждет подтверждения.

По мнению экспертов Qrator Labs, действительно, ложные срабатывания неизбежны при использовании любых решений фильтрации трафика. Но при выборе решения показатель количества таких ситуаций не стоит недооценивать. Для бизнеса отфильтрованный клиент может означать потенциальные финансовые потери.

Соответственно, при выборе решения рекомендуется учитывать процент false positive характерный для конкретного продукта наряду с остальными важными характеристиками: скорость реакции на атаку (время обнаружения и нейтрализации атаки), качество техобслуживания, способность противостоять сложным комплексным атакам.

В качестве одного из выводов, было отмечено, что В отрасли понимают основные риски и последствия инцидентов ИБ: 61% опрошенных говорят, что проблемы с безопасностью могут привести к отзыву банковской лицензии. Наиболее частый тип инцидентов ИБ, с которым сталкиваются банки и платежные организации — DDoS-атаки. Об этом сообщает 24% опрошенных.

При этом, для противодействия наиболее распространенной угрозе (DDoS-атакам) используются по большей части устаревающие и недостаточно эффективные средства. Поэтому современные реалии требуют пересмотра подходов к ИБ, опирающихся на понятие периметра безопасности корпоративной сети. Сетевая виртуализация и другие современные сетевые технологии размыли границы сетевого периметра.






Новости Новости Релизы