Для поддержки защищенности инфраструктуры необходимо получать актуальные данные о составе сети (оборудовании, ПО, доступных сервисах) и обнаруженных уязвимостях. При этом своевременное выявление уязвимостей — только полдела. Необходимо грамотно выстроить весь процесс управления уязвимостями (vulnerability management, VM) — от актуализации данных о составе IT-инфраструктуры, классификации и оценки активов до приоритизации и обработки выявленных уязвимостей, а также контроля за их устранением. О том, почему важно иметь полную видимость инфраструктуры, какие возможности дает совместное использование SIEM и VM и чем выгоден такой подход банкам, рассказал продакт-менеджер Positive Technologies Роман Сергеев.

— Роман, финансовую отрасль принято считать одной из самых защищенных. Тем не менее атаки на банки все равно происходят. В чем вы видите причины? Привычные инструменты SOC, например SIEM-системы, перестали отвечать современным угрозам? Почему? Чего сейчас не хватает? 

— Финансовые институты все еще недостаточно хорошо защищены от атак типа APT¹. Злоумышленники успешно реализуют недопустимые для этого сектора события — получают доступ к АРМ КБР², системам управления банкоматной сетью, карточному процессингу. Согласно результатам наших пентестов, в большинстве случаев причина успешного развития атаки — это несоблюдение базовых правил ИБ.

Что касается инструментов SOC, то недостаточно просто внедрить какое-либо решение. Команде ИБ необходимо иметь навыки работы с ним, опыт выявления современных техник атак (в том числе сложных целенаправленных атак), что позволит своевременно распознать подозрительные действия, а также опыт реагирования на инциденты — чтобы уметь остановить злоумышленников.

Отсутствие опасных уязвимостей не является сегодня показателем высокого уровня защищенности. Невозможность причинения критически значимого ущерба от кибератак — новый краеугольный камень защиты компаний. При построении системы безопасности необходимо отталкиваться от событий, которые компания считает недопустимыми для своей деятельности, определять, какие ключевые бизнес-процессы и системы с ними связаны, и основные усилия направлять на защиту этих систем.

— Какие вызовы сейчас стоят перед банками? Назовите основные тренды в атаках на кредитно-финансовый сектор.

— В 2020 году мы зафиксировали более 100 атак на финансовые компании, что превосходит общее число атак за 2019 год (их было 92). В 64% атак использовался фишинг: это основной метод проникновения в локальную сеть финансовых организаций; еще в 15% случаев использовался хакинг. Вредоносное ПО (ВПО) применялось в 66% атак — по большей части это были шпионское ПО (34% атак с использованием ВПО), шифровальщики (27%) и банковские трояны (17%). 

Стоит отметить, что число атак шифровальщиков в отношении финансовых организаций выросло, как и в других отраслях. Бизнес шифровальщиков приносит существенный доход преступникам и не требует особых затрат, к тому же поставлен на поток. Для распространения ВПО злоумышленники ищут известные уязвимости на периметре. Результаты наших пентестов, проведенных в финансовых организациях, свидетельствуют о низком уровне защищенности: в семи из восьми компаний внешний злоумышленник смог бы проникнуть в локальную сеть из интернета. 

— Как внедрение новых практик IT меняет банковскую отрасль?

— Привычный IT-ландшафт компаний меняется. Изменились архитектуры бизнес-приложений для решения задач неограниченного горизонтального масштабирования сервисов. Произошел переход на микросервисные архитектуры, который повлек за собой специализацию хранилищ данных. Ужесточились бизнес-требования по доступности сервисов в режиме 24/7. Активно внедряются новые DevOps-практики, а для предоставления услуг все чаще используют облачные сервисы. На IT-ландшафт также влияет удаленный формат работы сотрудников, которые продолжают трудиться вне офиса. С подобными переменами в той или иной степени неизбежно столкнется любая российская компания. 

Банки стремительно внедряют новые технологии. С одной стороны, это необходимо для привлечения новых клиентов и предоставления им более качественных продуктов и услуг, иными словами — в целях дальнейшей монетизации. С другой стороны, банкам нужно своевременно выполнять все более жесткие требования регулятора, например требования ГОСТ Р 57580.1-2017³, а также модернизировать свои внутрибанковские процессы. Вследствие этого кредитно-финансовые учреждения стали пионерами внедрения новых практик ИБ. В результате всех этих преобразований ситуация с прозрачностью инфраструктуры, которая и ранее не была видимой на 100%, еще больше ухудшилась. Как правило, в компаниях не могут точно ответить даже на относительно простой вопрос о количестве сетевых узлов в локальной сети. Более того, часто от разных источников внутри одной компании приходят противоречащие друг другу сведения.

Сколько сотрудников пользуются сервисами на периметре? Сколько из них имеют права их использовать? Чем различаются два этих списка? Какие учетные записи в домене являются локальными администраторами на заданном наборе узлов? А какие узлы имеют доступ к management-интерфейсам средств защиты и активного сетевого оборудования? На эти и другие более сложные вопросы в компаниях и вовсе не ответят, так как у службы ИБ об этом нет данных.

Способность дать полные и точные ответы на вопросы о том, что, где и зачем происходит в защищаемой инфраструктуре, — одна из основных задач ИБ, независимо от профиля бизнеса компании. Поэтому при разработке системы выявления инцидентов MaxPatrol SIEM во главу угла мы ставили возможность работы с активами — технологию управления активами security asset management. Впоследствии она легла в основу платформы MaxPatrol 10, в которую помимо MaxPatrol SIEM входит система нового поколения для управления уязвимостями MaxPatrol VM. Благодаря security asset management наши продукты работают на основе единых актуальных знаний об IT-инфраструктуре и могут построить актуальную и полную модель IT-инфраструктуры в любой момент времени для наиболее точной оценки ее защищенности.

— В чем суть этого подхода?

— Наш подход заключается в обеспечении максимально возможной видимости инфраструктуры. Службам ИБ необходимо знать, какие узлы есть в сети, что они представляют с точки зрения операционной системы, набора системного и прикладного программного обеспечения (в том числе версии ПО, конфигурации и активности). Кроме того, у специалистов по ИБ должно быть понимание фактической сегментации сети и достижимости конкретных узлов, портов и сервисов. Эта так называемая непрерывная инвентаризация инфраструктуры — не самоцель, а средство, с помощью которого любое подразделение ИБ сможет рассчитать нереализуемость событий, недопустимых для бизнеса. Например, сведения о версии Microsoft Exchange Server сами по себе ценности не представляют, однако по ним специалисты по кибербезопасности могут узнать обо всех слабых местах, обнаруженных в этом ПО на данный момент, и определить, есть ли у них на периметре критически опасные уязвимости, эксплуатация которых может привести к компрометации сети. Обеспечить защиту IT-инфраструктуры и данных компании, сделав недопустимые события невозможными, — главная задача служб ИБ в компаниях любого профиля.

Помимо этого важно понимать, как соотносятся бизнес-функции компании и элементы в инфраструктуре. Наши продукты заточены на сбор только необходимых для обеспечения безопасности компании данных, а не на аккумулирование всех сведений подряд. Эта необходимость определяется исходя из потребностей различных сервисов, например для расчета версионных и конфигурационных уязвимостей, поиска аномалий, алгоритмов активного и пассивного выявления сетевых узлов и установленного ПО, определения сетевой достижимости. Знания о том, какую именно информацию необходимо собирать и хранить, являются результатом переработки данных о конкретных техниках злоумышленников. Эти сведения, положенные в фундамент алгоритмов соответствующих компонентов, наши эксперты собирают на основании анализа данных о существующих уязвимостях, конкретных техниках и процедурах, используемых киберпреступниками в реальных атаках.

— Какие преимущества дает совместное использование систем класса SIEM и vulnerability management? 

— Если рассматривать верхнеуровневые задачи бизнеса, то приоритизация найденного, будь то некатегоризированные активы, выявленные уязвимости или инциденты ИБ, — основная задача при работе правильно настроенных SIEM-решений и систем VM. Срабатывания правил корреляции могут являться инцидентом ИБ, следовательно, на них так же, как и на обнаруженные уязвимости, необходимо реагировать. Ресурсы на все эти задачи, как правило, ограничены, и изучить все выявленные события не получится, поэтому необходимо расставить приоритеты. Здесь как раз и будут полезны знания о функциях и расположении узлов и сервисов в инфраструктуре. Например, на периметре попытки брутфорса⁴ учетных записей происходят практически непрерывно, и реагировать на них в большинстве случаев не стоит. В то же время признаки применения этой тактики во внутреннем сегменте сети можно приоритизировать, основываясь на полном наборе данных об учетных записях и узлах, вовлеченных в процесс. 

Аналогичный подход можно использовать для приоритизации уязвимостей. Любопытна и очень ценна синергия, возникающая при обработке в SIEM-решениях данных из систем класса VM, а также важны предоставляемые SIEM-системами возможности пассивного выявления, которые ускоряют актуализацию данных в системах управления уязвимостями. В SIEM с технической точки зрения переход на работу с сущностями типа «актив» вместо IP-адресов упрощает в сетях с динамической адресацией и мультиинтерфейсными узлами реализацию таких возможностей, как объединение событий и инцидентов ИБ, случившихся в разное время или выявленных разными компонентами. 

— Сколько специалистов по кибербезопасности необходимо, чтобы действительно защитить бизнес от хакеров?

— Чтобы нивелировать существующую проблему дефицита квалифицированных кадров и кардинально повысить защищенность компаний, мы разработали новый результативный подход в обеспечении информационной безопасности, воплощением которого стали наши метапродукты. Благодаря им защита требует минимум экспертизы и усилий со стороны специалистов, а обнаружение атак происходит в автоматическом режиме с измеримым эффектом. Обнаружить и остановить атаки хакеров можно будет силами одного специалиста по кибербезопасности.

Идея опирается на все те же принципы прозрачности: достоверные знания об инфраструктуре в сочетании с алгоритмами расчета вариантов атак, которые основаны на техниках, реально используемых злоумышленниками, позволяют сделать невозможной реализацию недопустимых событий. Кроме того, такой подход снижает стоимость построения системы ИБ и ее поддержки.

1. Advanced persistent threat (APT) — сложная целенаправленная атака.
2. Специализированное программное обеспечение работников банков или крупных государственных организаций для подготовки и отправки финансовых сообщений в платежный контур Центрального банка.
3. Финансовые организации, которым нужно соответствовать ГОСТ Р 57580.1-2017, могут приобрести специальную лицензию MaxPatrol SIEM на 100 сетевых узлов. Она позволит реализовать 108 технических мер, понять, какие активы есть в сети, и выявлять актуальные угрозы. Стоимость лицензии — 2,2 млн рублей. Подробнее: https://www.ptsecurity.com/ru-ru/products/mpsiem-all-in-one-for-finance/
4. Брутфорс (от англ. brute force — грубая сила) — метод угадывания пароля (или ключа, используемого для шифрования), предполагающий систематический перебор всех возможных комбинаций символов до тех пор, пока не будет найдена правильная комбинация.