Банковское обозрение

Финансовая сфера

19.03.2018 Аналитика
Лет ми спик фром май hack

Все наши знания и опыт в киберразведке мы используем в продуктах и услугах Group-IB



Антон Фишман, Group-IB Антон Фишман, директор проектного направления компании Group-IB, рассказал «Банковскому обозрению» о парадоксах риск-менеджмента в области ИБ, роли Threat Intelligence в банке, Чемпионате мира по футболу 2018 и многом другом

— Антон, риск-менеджмент активно развивается, а набор рисков ИБ при этом не увеличивается. Как объяснить этот парадокс?

— Тут нет парадокса. Риск-менеджмент должен развиваться и актуализироваться в соответствии с международными и отраслевыми стандартами.

Сам по себе риск-менеджмент в ИБ включает в себя большой объем процессов, среди которых, например, постоянная актуализация модели угроз/нарушителей, приведение в соответствие целей управления IT и ИБ стратегическим целям бизнеса, проведение мероприятий по управлению рисками и реагированию на инциденты ИБ. Развивается и «разрастается» каждый из этих процессов, к ним регулярно добавляются новые. Достаточно вспомнить тот же Интернет вещей (IoT): когда появились и стали развиваться технологии IoT, к уже существующим угрозам и процессам их митигации добавился новый пласт.

Не стоит забывать, что помимо «классических» отраслей, к которым относятся банковская и кредитно-финансовая сферы, появляются и индустрии новой волны, например крипто-проекты с их ICO. Они также подразумевают появление новых, принципиально отличающихся подходов к управлению рисками или адаптацию общеизвестных.

Еще один фактор — развитие киберкриминала. Хакерский инструментарий, методы проникновения и способы организации атак постоянно меняются. Векторы атак по большей части остаются прежними, однако добавляются новые уязвимости, способы заражения, методы социальной инженерии, фишинга, обхода существующих средств защиты. Все это требует постоянного совершенствования процессов управления рисками, реагирования на инциденты и др.

— Что в технологическом плане должно произойти, чтобы можно было сказать: модели угроз необходимо радикально изменять, а существующие ИБ-решения стали как минимум морально устаревшими?

— Мы придерживаемся простой позиции: модель угроз уникальна для каждой компании. Она зависит от ее активов (материальных/нематериальных, производственных/операционных, бизнес/IT) и разрабатывается применительно именно к этой компании.

Естественно, международные события, отраслевой контекст и внутренняя повестка компании накладывают свой отпечаток на модель угроз — это изменчивая «субстанция», которую необходимо постоянно актуализировать, иначе вы рискуете пропустить брешь, через которую либо проникнет нечто нежелательное, либо утечет что-то.

Хакерский инструментарий, методы проникновения и способы организации атак постоянно меняются

Иногда эту модель угроз приходится радикально менять — например, если открывается новое направление бизнеса (поглощение), появляются новые услуги или закрывается старое. Смена модели угроз произойдет и в случае продажи бизнеса или вхождения в M&A. Также не стоит забывать и о внешних факторах — перепрофилировании киберпреступников в принципе или конкретных преступных группировок, новых уязвимостях, инструментах и способах осуществления атак. Вспомним волну вирусов-шифровальщиков прошлого года, буквально обезоруживших ряд предприятий, транспортных, IT- и медиа-компаний.

— Как сейчас должен меняться подход к выбору технологий информационной безо­пасности? На что CISO нужно делать ставку сегодня?

— Еще 5–10 лет назад для обеспечения защиты достаточно было межсетевых экранов, антивирусов, систем предотвращения вторжений. Когда-то и аппаратная аутентификация была панацеей для защиты доступа. А потом под токены (аппаратные ключи) начали появляться свои угрозы — способы их скопировать, обойти защиту, и разработчикам пришлось менять стратегию. Хакерские группы быстро учатся обходить стандартные средства защиты, поэтому сейчас необходимо ориентироваться на системы обнаружения целевых атак, киберразведку, самообучающиеся системы на базе Machine Learning, системы, умеющие анализировать огромные массивы данных, искать в них корреляции и работать с ними по технологии Big Data т.д.

Я говорю не только о продуктах, это подход/технологии — то, что позволяет эффективно бороться с современным сообществом киберпреступников и быть на шаг впереди. Актуальные решения должны в первую очередь «смотреть» в будущее, для того чтобы опередить злоумышленников. В Group-IB мы развиваем целый класс продуктов, начиная с решения по защите от целевых атак (TDS), включающего помимо стандартных средств системы поведенческого анализа, технологии машинного обучения и др.

Система киберразведки агрегирует информацию рынка киберпреступности — то, что они планируют делать, собираются делать, делают. В компании работает большое количество внутренних систем, проводящих корреляцию различных источников данных. Все это используется в разведке, расследованиях и дает свой результат. Важно понимать суть новой парадигмы безопасности: ее идея — не в защите от какой-то одной угрозы, которая завтра уже устареет, а в получении информации и технологии для защиты от будущих угроз.

— Кто должен вынести вердикт о том, что та или иная технология устарела: регуляторы, вендоры или бизнес?

— Кто должен решать, устарел продукт морально или нет, — вопрос сложный. Вендоры могут идти впереди бизнеса, предлагая эффективное новое решение. Однако решать, что существующие технологии уже не справляются, будет рынок. Регуляторы глобально анализируют киберриски и в любом случае должны ориентироваться на существующие решения.

— Что скрывается за новым термином «Threat Intelligence?»

— Threat Intelligence — это киберразведка. За ней стоят люди, которые знают о киберпреступности все или почти все, так как постоянно наблюдают за «работой» хакерских групп, анализируют используемые инструменты, учитывают связи, используемые технологии, методы атакующих и др. Иными словами, это постоянный мониторинг ландшафта рынка современных киберугроз, технологий и инфраструктуры злоумышленников, их планов, действий, скомпрометированных данных и т.д.

Могу объяснить проще: допустим, вы столкнулись c фальшивой страницей какого-либо банка в Интернете. Эксперт Threat Intelligence, скорее всего, сможет понять, кто стоит за организацией фишинг-атаки, где ранее была использована инфраструктура для нее, как работает «подсаживаемый» на ваш компьютер вредонос, как его обезвредить и заблокировать фишинг-активность. Наблюдая за десятками тысяч подобных процессов, среди которых — целевые атаки, фишинг, DDos, вендоры Threat Intelligence (и Group-IB в их числе) предлагают свои услуги в формате «подписки» для ИБ-служб, специалисты которых таким образом узнают о реализуемых и планируемых атаках, что позволяет им принять превентивные меры.

Когда-то и аппаратная аутентификация была панацеей для защиты доступа

Все наши знания и опыт в киберразведке мы используем в продуктах и услугах Group-IB. При анализе скомпрометированных устройств, используя данные киберразведки, наши криминалисты могут найти корреляцию с используемым вредоносным кодом либо с хакерской группировкой, получившей скомпрометированные учетные данные, и др.

При тестировании на проникновение аудиторы могут использовать те инструменты, которые реально применяются злоумышленниками, а не те, которые разрекламированы для проведения тестирования и на практике никем не используются.

С помощью различных внутренних сервисов направление расследований вычисляет целые преступные группировки, связи между ними, обогащая тем самым Threat Intelligence для преду­преждения следующих потенциальных жертв.

— Может ли современная ИБ-архитектура обойтись без Threat Intelligence?

— Небольшая компания может отдать часть процессов управления ИБ на аутсорсинг, например MSSP, который будет для нее осуществлять анализ рисков и, к примеру, выступать в том числе провайдером услуги киберразведки.

Да, этот рынок достаточно молод, в России продукты Threat Intelligence используются крупным бизнесом около пяти лет. Для чего? Если ты не знаешь о современных угрозах, новых уязвимостях и новых типах атак, не знаешь о том, что о тебе известно злоумышленникам, — ты уязвим. Даже если ты построил свою систему безопасности вчера, завтра без киберразведки твои знания уже устареют. SOC — сердце службы ИБ крупной компании, это управление киберрисками, базирующееся на мониторинге и реагировании на инциденты. Суть любого SOC — это технологии, люди и процессы. Эти три составляющие без киберразведки потеряют ценность.

— ЦБ опубликовал рекомендации для граждан и кредитных организаций «в части мер предосторожности во время проведения Чемпионата мира по футболу 2018 года». Их «дополнили» своими пунктами некоторые издания. Какие в итоге ИБ-риски, по вашему мнению, болельщикам стоит учитывать?

— Начну с предыстории. В Group-IB может обратиться любой пользователь, столкнувшийся в Интернете с мошенничеством — выманиванием денег, продажей контрафакта, фишингом и др. Так произошло и в этот раз. К нам обратился пользователь с жалобой на интернет-мошенников, которые не доставили ему товар. Проанализировав инфраструктуру сайта, с которого был сделан заказ, аналитики компании обнаружили его связь с группой других ресурсов. Среди них — страницы по продаже билетов на различные мероприятия, а также доменные имена, связанные с Чемпионатом мира по футболу 2018. Создав соответствующие поисковые запросы и отфильтровав нерелевантные, система Group-IB выявила тысячи сайтов, эксплуатирующих в названии слова «FIFA», «Russia», «WorldСup2018», «tickets», «чемпионат мира» и их различные комбинации. Это свидетельствует о возрастающем риске приобретения фальшивых билетов и контрафактной атрибутики с использованием товарного знака ХХI Чемпионата мира по футболу FIFA 2018. За последний год количество регистраций потенциально опасных доменных имен по тематике мероприятий FIFA и предстоящего мундиаля в России, выросло на 37% и продолжает расти. На данный момент таких доменов около 37 тыс.

Проследив динамику, эксперты Group-IB зафиксировали ежегодный рост количества доменов. Резкое увеличение началось в 2014 году, когда было зарегистрировано около 3 тыс. имен, в 2015-м — 4 тыс., в 2016-м — 5,5 тыс., в 2017-м — еще 13,5 тыс. Как минимум 1,5 тыс. доменов были созданы целенаправленно под Мировой турнир по футболу FIFA в России: в их названии присутствуют наименование события, страны или города, год проведения и другие атрибуты. Цели регистрации таких доменов могут быть разными: незаконная реализация билетов и контрафактной продукции, кража платежных реквизитов и других данных пользователей с помощью фишинга, распространение вредоносного программного обеспечения, киберсквоттинг и другие распространенные мошеннические схемы. Проще говоря, все, что касается перехода по ссылкам, получения любой информации от незнакомых людей, передачи информации — персональных данных, платежных реквизитов и т.д. Оставление личных устройств без присмотра, загрузка недоверенных приложений. Особое внимание следует уделить подключению к сетям в публичных местах — это могут быть «подложные» сети, собирающие ваши данные.

— Санкции, импортозамещение и т.д. Как эти тренды отражаются на способности отечественных ИБ-компаний успешно работать в России и осуществлять зарубежную экспансию? Или на внешних рынках все дело в недоработках маркетологов?

— Безусловно, политическая обстановка влияет на международную экспансию, однако киберпреступность не имеет географических границ, она интернациональна. У хакеров нет патриотизма или чего-либо еще: у них есть цель, и в 90% случаев она — финансовая. Для того чтобы защищаться от них, нужен, как обычно, комплексный подход. В состав Group-IB входит CERT (Центр реагирования на инциденты информационной безопасности 24/7/365) — это команда специалистов, которые ведут круглосуточный мониторинг, предупреждают об угрозах и атаках, помогают правильно с ними справиться. CERT Group-IB входит в перечень международных команд реагирования на инциденты ИБ, сотрудничает со всеми международными ведущими CERT-командами, независимо от санкций и импортозамещения. Это только один из примеров. Все ИБ-специалисты в мире понимают, что политические игры — временная история, а без обмена информацией о киберугрозах, без своевременного предупреждения, без адекватного межстранового взаимодействия мы не только облегчаем работу для преступников, но и ставим под угрозу целостность критичной инфраструктуры государств, а иногда и жизни людей.




Присоединяйся к нам в телеграмм
Читайте также
IT- и ИБ-проекты все сложнее разделять IT- и ИБ-проекты все сложнее разделять Закрытый материал

Изучая таблицу «217 проектов в 2017 году» через призму банковских IT, трудно не заметить несколько общих трендов