Фото: ЦФТ

«Кто знает в лицо своего офицера по информационной безопасности в компании? Понятно, что его знают члены совета директоров, так как они его и нанимали», — заявил в ходе экспертной дискуссии «Информационная безопасность цифрового банка. Управление рисками в процессах цифровой трансформации» на XVI Саммите ЦФТ на Кипре ее модератор Андрей Погодин, член совета директоров Энерготрансбанка. При этом он отметил, что суммы потерь от киберрисков по всему миру очень серьезны.

Погодин привел пример: практически каждый человек получал в свою почту письмо-спам о том, что где-то за границей умерла его богатая родственница: «Теперь я, адвокат такой-то, обращаюсь к вам, как к единственному наследнику, чтобы перечислить деньги. Дело за малым — сообщите мне данные вашего счета». И ведь многие люди на эту рассылку ведутся и данные сообщают, а в итоге банк получает брешь в системе безопасности.

Вирусу не обязательно быть совершенно новым

По данным Allianz Group, сравнительный размер ущерба таков: около 280 млрд долларов за десять лет — потери мирового бизнеса от форс-мажоров, включая ураган Katrina, и 600 млрд долларов только за 2018 год — потери от нарушения правил кибербезопасности. Андрей Погодин также посетовал, что члены совета директоров стараются всячески снять с себя ответственность за решение вопросов кибербезопасности и переложить ее на более низкий уровень, непосредственно на самих офицеров. Поэтому он предложил провести дискуссию в таком ключе: все участники Форума присутствуют на заседаниях совета директоров банка, куда безопасники постоянно приходят просить денег и расширения своих полномочий. При этом на безопасников постоянно жалуются сотрудники банка и клиенты, что они куда-то перекрыли доступ или что все системы стали работать медленно.

Андрей Погодин, Энерготрансбанк. Фото: ЦФТ

Десять лет назад о безопасности в финансовой сфере вообще не было принято говорить, офицеры ИБ были лишь менеджерами среднего звена. Но в 2018 году мир узнал о череде громких дел о хакерских атаках на банки, сообщил Евгений Волошин, директор по безопасности компании Bi.Zone. Практически каждый день всплывают все новые и новые случаи кражи приватных данных, которые выкладываются потом на всеобщее обозрение в сеть. Поэтому и роль безопасников выросла. Перед IT-персоналом банка стоит задача обеспечить бесперебойную работу системы, но при этом требования безопасников работу IT-систем зачастую, наоборот, затрудняют.

1 трлн долларов — цена потерь от нарушения безопасности

«Я очень не люблю торговать страхами, но общаясь со многими региональными банками, понимаю, что их IT-инфраструктура застряла где-то в начале 2000 годов, и такой банк преступникам очень легко “вскрыть”», — считает Евгений Волошин. Он отметил, что потери от кибератак на банки в мире в 2017 году, по данным экспертов Всемирного экономического форума, составили около 1 трлн долларов и постоянно растут. Более того, кибермошенничество вошло в список десяти глобальных угроз наряду с риском глобального потепления и террористическими актами. Ежемесячно в мире возникает 10 млн компьютерных вирусов. Это не всегда принципиально новые вредоносные программы. Любой злоумышленник может потратить 20 долларов на покупку экземпляра зловредного ПО и переписать эту программку чуть иначе, чтобы ее не распознал антивирус.

«90% почтового трафика в мире — это спам, и это не только рекламные рассылки, но, несомненно, и вирусы, — отметил представитель компании Bi.Zone. — В России живут люди, входящие в очень успешные хакерские группы, которые “кошмарят” весь мир — банки, страховые и инвестиционные компании, иные корпорации. Но внутри нашей страны, как правило, они ведут себя прилично. И в связи тем, что сейчас в мире сложилась напряженная геополитическая обстановка, западные суды и службы безопасности ничего с этой группой сделать не могут, так как невозможно посадить в России в тюрьму людей, которые не совершают преступления против своей страны».

Евгений Волошин, Bi.Zone. Фото: ЦФТ

65% совершеннолетних жителей нашей планеты подвергались кибератаке хотя бы раз в жизни. Например, год назад было очень популярно совершать атаки на включенные в общую сеть Интернет компьютеры, чтобы без ведома хозяев этих машин «майнить» криптовалюту. Поэтому если что-то в компьютерах стало работать медленно и нештатно, то это повод задуматься о том, что вашу машину кто-то несанкционированно использует.

Банки многие люди и так не очень-то и любят, поэтому современные хакеры привыкли считать себя Робин Гудами, несущими добро людям. Волошин сообщил, что по крайней мере у трех банков — участников предыдущих форумов ЦФТ были в 2018 году зафиксированы случаи кражи денег через кибервзлом. И если за сохранность средств «юриков» банки не несут юридической ответственности, то в случаях с физлицами, число взломов счетов которых за последние годы увеличилось, это уже не так. Да, «средний чек краж» в банках снизился, но при регулярных атаках и росте инцидентов рано или поздно любой банк не выдержит.

Но где та грань, после которой стоит тратить русурсы на создание систем безопасности банка, и с какой суммой потерь можно смириться, приняв ее как риск? Такой вопрос задали из зала. На это Волошин ответил: «Определять эту грань должен не вендор, а главный офицер по безопасности банка на основе утвержденной модели рисков».

Андрей Погодин отметил, что в первой редакции Положения ЦБ об операционных рисках, куда теперь включены и киберриски, были слова о том, что политику безопасности определяет совет директоров банка. Но за два месяца обсуждения этого нормативного акта фраза изменилась. Теперь в Положении сказано, что такую политику определяет исполнительный орган банка. Пройдет еще несколько итераций, и эту норму «отфутблят» на еще более низкий уровень. А безопасник у нас чаще всего является просителем денег, которых ему не дают. И очередной отказ в бюджете, несомненно, отразится на мотивации сотрудника. «Кроме того, сейчас на должности в службе безопасности нанимают людей, которых больше никуда не берут, — отметил Погодин. — Никто безопаснику не будет платить нормальных денег, да и берут-то этих людей с тем, чтобы выполнить регламенты, прописанные в ЦБ».

А вот квалификация нападающих растет день ото дня! Им на помощь приходят элементы искусственного интеллекта. При этом корпоративный периметр ИБ уходит в историю, его невозможно выстроить в мобильном мире, да еще в условиях появления «умных вещей» и перехода к «экономике 4.0». Одной из действительно адекватных защитных мер по снижению рисков в этом случае представляется выстраивание SIEM и SOC — как собственных, так и аутсорсинговых, при активном обмене данными с FinCert.

Как работает SOC от ЦФТ?

«SOC — это комплексный ответ на сложную проблему. Это программно-аппаратный комплекс, позволяющий видеть аналитику по кибербезопасности в целом по организации, в частности по банку. При условии достаточной зрелости этой организации, конечно!», — отметил Алексей Леонов, директор дирекции информационной безопасности ГК ЦФТ.

Что же понимать под «проблемой» и почему она вдруг стала «сложной»? Ответ до банальности прост: цифровая трансформация! «Уходит в прошлое лозунг: “Периметровая защита — наше всё”: защита на сетевом уровне межсетевыми экранами, разделение по сетям (DMZ/MZ), антивирусная защита, IDS/IPS не дадут хулиганам шанса. Злоумышленник априори не может получить доступ к системам». Так оно и было, пока сервисы дистанционного банковского обслуживания не изменили саму парадигму банкинга, а банки не распробовали вкус аутсорсинга ряда своих бизнес-процессов. Поэтому «периметровая защита» и сертификаты на стене офицеров ИБ недолго гарантировали должный уровень безопасности. На вопрос, как реагировать на реальные инциденты, ответов не было. Классический ограниченный мониторинг событий ИБ сам стал проблемой, и эти проблемы начали расти как снежный ком.

Поэтому на свет появилась новая концепция ИБ: «Вашу инфраструктуру взломают! Вопросы лишь в том, когда это произойдет, сможете ли вы вовремя отреагировать и узнаете ли об этом вообще? — объясняет ее суть Алексей Леонов. — Превентивные меры должны рассматриваться отдельно от детективных».

Сказать легко, а на практике путь до собственных SOC и SIEM оказался крайне тернист. Даже правильно настроив то, что поддается настройке, и докупив все остальное, можно понять, что есть еще процессы, которые нужно научиться анализировать. Для компаний среднего размера количество событий, которые могут повлиять в итоге на ИБ, может доходить до 1 тыс. в секунду, а алертов — до нескольких сотен в день.

Алексей Леонов, ГК ЦФТ. Фото: ЦФТ

Поэтому вопрос, какую сторону принять в споре «Atomic Rules vs KillChain» для ЦФТ в качестве основы для аналитики на этом этапе уже не стоял. Выбор набора сотен автономных правил был однозначно решен в пользу KillChain. Его задача — описать последовательность шагов злоумышленника, осуществляющего проникновение в информационную систему. Любая атака происходит не на пустом месте, она требует подготовки и ряда иных действий, для того чтобы быть успешной. KillChain и описывает эти шаги, начинающиеся не с проникновения через периметр корпоративной или ведомственной сети, а со сбора разведывательной информации. Уже стало классикой выделять семь адаптированных стадий, которые проходит злоумышленник для успешной реализации своей деятельности:

1) recon (разведка) — исследование, идентификация и выбор жертвы, часто с использованем публичных источников данных (соцсетей, сайтов конференций, списков рассылки и т.п.);

2) delivery (доставка) — донесение вредоносного контента до жертвы, чаще всего с испольованием для этого e-mail, web-сайтов или USB-флешек;

3) exploitation (эксплуатация) — запуск вредоносного кода с использованием имеющейся на целевом компьютере уязвимости с последующим его заражением;

4) persistence (закрепление) — нужно не просто заразить, а сделать это скрытно, не проявляя подозрительной активности вплоть до часа «Х»;

5) CnC (передача управления) — открытие удаленного доступа для незаметного управления и обновления вредоносного кода;

6) lateral movement (продвижение) — получение обновлений с новым функционалом извне, а также управляющих команд для достижения поставленных целей;

7) objective (достижение цели) — выполнение действий. Сбор и кража данных, шифрование файлов, перехват управления, подмена данных и другие задачи, которые могут стоять перед нарушителем.

Таким образом, KillChain хорошо подходит для моделирования угроз. Для этих целей все этапы цепочки нужно наполнять определенными действиями, то есть речь идет о систематизации имеющейся информации обо всех методах атак, используемых злоумышленниками. По данным спикера, таких индикаторов компрометации в ЦФТ как минимум 400 штук.

Как известно, использовать KillChain можно не только для моделирования угроз, но и для проектирования собственной системы безопасности. Неудивительно, что SOC и SIEM ЦФТ строят свою работу именно на этих «кирпичиках» — единичных признаках изменения в системе, ,сигнализирующих о стороннем вмешательстве. Все эти механизмы защиты направлены не только на предотвращение попытки запуска тех или иных угроз, но и на обнаружение, блокировку и устранения последствий любого типа атак, прежде чем они смогут достичь своих конечных целей.

ПО, использованное в SOC и SIEM, базируется на TheHive — масштабируемой платформе анализа угроз с открытым исходным кодом. Как известно, в 2016 году CERT Banque de France (команда быстрого реагирования на инциденты ИБ Центрального банка Франции) выложила в открытый доступ платформу TheHive для поддержки расследований инцидентов ИБ. TheHive плотно интегрирована с рядом смежных решений для поддержки расследования инцидентов ИБ— платформой по управлению информацией об угрозах MISP, специализированной поисковой системой Cortex и агрегатором информации об угрозах Hippocampe.

Платформа The Hive

Источник: ЦФТ, 2019

Все это вместе выполняет следующие функции:

1) настройка системы сбора и анализа логов с инфраструктуры;

2) разработка и настройка правил срабатывания на подозрительные события;

3) анализ срабатывания правил (онлайн-мониторинг), оповещение ответственных;

4) организация сканирования сети / оценка защищенности продуктов;

5) организация RedTeaming&BlueTeaming;

6) проведение анализа «малварей»;

7) проведение обучения пользователей.

А вот малая часть примеров регистрируемых событий:

1) вредоносные рассылки;

2) появление новых сервисов или задач в планировщике;

3) запуск файлов из необычных (временных) директорий;

4) обращения к известным вредоносным доменам;

5) работа критичных пользователей в необычное время;

6) обнаружение вредоносных файлов на компьютерах;

7) аутентификация на внешних сервисах через анонимайзеры;

8) сканирование портов;

9) перебор паролей для удаленного доступа к почте.

Но вот какая проблема: ЦФТ, предоставляя аутсорсинг сервисов, не может гарантировать, что внутри IT-инфраструктуры банка нет проблем с ИБ. Поэтому родилась идея предоставлять своим клиентам помимо базового удаленного сервиса дополнительно SOC as Service.

594 довода за SOC

Первый такой пилотный проект уже запущен, о его деталях рассказал далее Вячеслав Кузьмин, руководитель направления ИБ Экспобанка. Для чего Экспобанку SOC? «У нас достаточно большая IT-инфраструктура, разнообразное оборудование и множество интерфейсов, за которым нужно постоянно следить. Для того чтобы минимизировать прежде всего временные затраты на обслуживание всего вышеперечисленного, мы и решили запустить “пилот” и посмотреть, что из этого получится. Основными задачами было осуществление мониторинга инцидентов и получение от ЦФТ экспертной поддержки в режиме реального времени», — заметил Вячеслав Кузьмин.

Кроме того, SOC позволил Банку выполнить требования регулятора по новому ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», вступившему в силу с 1 января 2018 года. Стандарт предлагает комплексный подход к планированию, реализации, контролю и совершенствованию процесса защиты информации в финансовых организациях.

В ходе реализации пилотного проекта было несколько этапов внедрения. Первый — подготовительный (заключение договора, подписание соглашения о инеразглашении, NDA). Второй — организационный, куда входило определение круга ответственных за проект по областям (IT-администраторы, администраторы сетевого оборудования, специалисты ИБ, специалисты со стороны исполнителя). Третий этап был технический. В течение этого этапа были определены источники данных об угрозах — примерно 300. Прошла организация log-коллектора (syslog, nxlog) с источников (АРМ, сервера, avs, ips/ids, tmg, proxy, песочница и т.д.), проработана настройка доступов TheHive. Затем были проведены подключение log-коллектора к SOC, настройка и корреляция правил. Далее последовал ввод в эксплуатацию. За период работы системы уже зарегистрировано 594 попытки атак на Банк.

Вячеслав Кузьмин резюмировал свой доклад так: «Процесс подключения прошел очень быстро. Специалисты ЦФТ максимально оперативно реагировали на инциденты, а также добавляли новые правила в зависимости от требуемых задач заказчика; правила, настроенные на SIEM-системе, позволяют эффективно выявлять как атаки, так и нелегитимные сервисы».

По итогам экспертной дискуссии присутствующие смогли сделать массу выводов. Один из них: нести ответственность за обеспечение должного уровня ИБ в банке совету директоров все-таки придется. Общий вектор ужесточения регулирования так или иначе направлен в эту сторону. А когда вопрос подымается на столь высокий уровень, путь снижения CAPEX в пользу OPEX в ИБ за счет облачных сервисов начинает сдвигаться с мертвой точки. Это и показал кейс Экспобанка.