Банковское обозрение

Финансовая сфера

  • Не борьба технологий, а борьба интеллекта
27.02.2019 Аналитика
Не борьба технологий, а борьба интеллекта

Противодействие кибератакам в финансовой сфере требует все более изощренных решений



В обсуждении актуальных вопросов противодействия кибератакам в финансовой сфере, развития центров мониторинга ИБ и процессов реагирования на инциденты, которое состоялось в рамках первой сессии XI Уральского форума «Информационная безопасность финансовой сферы», приняли участие представители регулятора, финансового рынка и вендоры.

О деталях взаимодействия с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) аудитории рассказал представитель организации Алексей Новиков. Он рассказал об обязательном обмене информацией, согласно Закону «О безопасности критической информационной инфраструктуры РФ», который требует незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, а также ЦБ РФ, если субъект работает на финансовом рынке. Добровольная же составляющая базируется на технологических возможностях тех сервисов, которые были запущены в рамках ГосСОПКА.

Алексей Новиков прокомментировал результаты декабрьской рассылки ФинЦЕРТ, в которой всем поднадзорным организациям было направлено письмо с вопросом о предпочтительном способе передачи информации об инцидентах в НКЦКИ. Было получено около 600 ответов, однако не все ответы содержали четкие формулировки, и он сообщил о необходимости повторного обращения в НКЦКИ.

 

Алексей Новиков (НКЦИ). Фото: Медиа Группа Авангард

Алексей Новиков (НКЦИ). Фото: Медиа Группа Авангард

 

Для чего нужен обмен и как Национальный координационный центр планирует использовать эту информацию? Одна из задач ГосСОПКА и НКЦКИ состоит в создании механизма информационного взаимодействия между участниками системы не только по компьютерным инцидентам, но по любой вредоносной активности, с которой сталкиваются на местах участники. Алексей Новиков обратил внимание на то, что среднее время присутствия злоумышленников в системе при компьютерных атаках весьма незначительно, что затрудняет их выявление и требует включение процесса анализа аномалий, который далеко не каждая организация может у себя обеспечить ввиду дефицита кадров с соответствующими компетенциями. Такой набор компетенций, по словам спикера, «в среднем по стране по объектам КИИ сейчас очень мало где есть». При этом он отметил, что в кредитно-финансовой сфере можно ожидать лучшей ситуации, поскольку здесь уровень зрелости в области информационной безопасности выше, чем в рынке.

В соответствии с реалиями времени в НКЦКИ были организованы два сервиса, которые можно сформулировать так: 1) пришли нам подозрительное письмо, и мы тебе скажем, что это такое; 2) пришли нам сообщение о том, что тобой выявлена какая-то аномальная или вредоносная активность в отношении тебя. Алексей Новиков отметил, что после начального периода, когда «набирали определенную статистику», эти два сервиса начали работать очень хорошо. Существенно, что участник добровольной составляющей информационного обмена не несет вообще никаких затрат. Сославшись на статистику, которую на пленарном заседании привел президент Ассоциации банков России Георгий Лунтовский (из 100 фишинговых писем 18 писем получатели откроют), Алексей Новиков посоветовал задуматься о том, что, предоставив одно такое сообщение в НКЦИ, можно предотвратить или помочь выявить инциденты в среднем на шести объектах. Аналогичное благотворное воздействие на информационную систему окажет сообщение о подозрительной активности.

«Обмен со стороны организации-участника не требует по сути никаких затрат — ни финансовых, ни человеческих — и приносит реальную пользу в масштабах сообщества», — убежден Алексей Новиков. Причем, как он особо подчеркнул, НКЦКИ не интересует ни фамилия сотрудника, имеющего отношение к инциденту, ни меры воздействия на него со стороны его организации. На основе аккумулируемой информации рождаются уведомления об угрозах, данные по индикаторам вредоносной активности. Информацию об угрозах от НКЦКИ участники финрынка могут получать напрямую, что намного быстрее.

Начальник отдела функционального обеспечения ФинЦЕРТ Банка России Сергей Курбатов в своей части совместного доклада рассказал о том, как работают автоматизированные системы обработки информации (АСОИ) ФинЦЕРТ, раскрыв организационно-технические моменты. Техническими же аспектами поделился директор Центра технологий безопасности IBS Дмитрий Романченко, который сообщил, что 2018 году были сформированы две большие платформы. Он пояснил, что взаимодействие с организациями кредитно-финансовой сферы сейчас происходит «в режиме реального или близкого к реальному времени». Поскольку в зале собрались представители не только кредитных организаций, но и других участников финансового рынка, в том числе страховых компаний, он счел необходимым пояснить детали подключения к АСОИ.

 

Дмитрий Романченко (IBS). Фото: Медиа Группа Авангард

Дмитрий Романченко (IBS). Фото: Медиа Группа Авангард

 

Сергей Курбатов отметил, что в настоящее время введена только первая очередь АСОИ ФинЦЕРТ, включающая обмен с участниками через защищенный портал, ЛКУ, e-mail; автоматизацию ключевых процессов ФинЦЕРТ; автоматизированное взаимодействие с ГосСОПКА; реализацию функционала «Фид-антифрода». Подробно он остановился на задачах второй очереди, решение которых ожидается в 2019 году. К ним относятся в том числе расширение функций информационно-сервисного портала и сервисов личных кабинетов АСОИ ФинЦЕРТ; получение данных об инцидентах с помощью API для всех видов инцидентов; реализация возможности пошагового заполнения электронных форм при информировании об инцидентах; использование электронной подписи; получение данных о кибератаках от участников в автоматическом режиме и предоставление возможности передачи через личный кабинет дампов и логов для последующего анализа ФинЦЕРТ. Под решение задач второй очереди будут создаваться новые сервисы.

Комментируя выступление, модератор сессии начальник ФинЦЕРТ Банка России Артем Калашников подчеркнул, что работа ведется, чтобы взаимодействие для участников «было максимально комфортным». «Часть сервисов являются результатами обсуждений, полученных предложений от вас, если есть еще предложения — присылайте, мы будем включать их в последующие релизы этой системы», — пояснил он. Артем Калашников указал на важность обратной связи, посетовал на то, что «ее не очень много», и призвал участников информировать о том, «что нужно, что тревожит, и чем мы можем помочь». Дмитрий Романченко, директор центра технологий безопасности IBS, развил эту тему, пояснив, как и куда можно направить предложения по развитию, многие из которых, по его словам, уже реализуются.

 

Артем Калашников (Банк России). Фото: Медиа Группа Авангард

Артем Калашников (Банк России). Фото: Медиа Группа Авангард

 

Во второй части доклада Дмитрий Романченко рассказал том, как технически реализуется АСОИ ФинЦЕРТ. Он отметил, что АСОИ ФинЦЕРТ функционирует в режиме24х7х365, работа ведется во всех регионах страны, в девяти часовых поясах. В 2019 году прогнозируется увеличение участников до 3000, текущая средняя нагрузка на АСОИ ФинЦЕРТ — 1200 пользователей, одновременно работающих с системой, более 300 запросов в сутки, до 70 выпущенных бюллетеней в месяц.

Если сравнивать эти показатели с показателями назначения второй очереди, важно, что речь пойдет о возможностях приема на исследование «грязного трафика», кроме того, ожидается, что количество участников в системе достигнет 10 000 зарегистрированных пользователей. Также Дмитрий Романченко рассказал о ключевых программных продуктах в контексте функционала, остановился на отдельных сервисах, в том числе сервисе автоматического взаимодействия участников с ГосСОПКА, сервисе предоставления участникам машиночитаемых IOC и агрегированных БД, сервисе обмена электронными сообщениями между ФинЦЕРТ и участниками с использованием электронной подписи, сервисе получения данных о кибератаках от участников в автоматическом режиме.

Против вообще

Директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Solar» Владимир Дрюков обрисовал проблемы и вызовы SOC в банках в 2019 году. Он отметил новую тенденцию: «все реже периметр ломают, все чаще приходит вредоносное ПО — фишинг ли это, вредоносные рассылки, разные варианты». Спикер тоже упомянул статистику, приведенную Георгием Лунтовским, и отметил, что сомнительные письма чаще всего открывают в секретариате или, того хуже, в бухгалтерии, финансово-экономической службе, юридических отделах. Он привел несколько конкретных примеров фишинговых рассылок. По его мнению, если анализировать ситуацию, то, чем дальше, тем больше речь идет «не о борьбе технологий, а о борьбе интеллекта». Очень важным моментом Владимир Дрюков, как и Алексей Новиков, считает наличие обратной связи, когда информация об одном «долетевшем» фишинговом письме может снизить риски для других членов финрынка. Как в сказке о репке, используя взаимодействие, можно «вытянуть вредонос».

Ведущий эксперт Лаборатории Касперского Сергей Голованов сделал блестящий обзор целевых атак на финансовую сферу 2018 года. Он оперировал живыми примерами инцидентов, в расследовании которых сам принял участие. По его наблюдениям, согласно публикуемым новостям, количество похищенных из банкоматов денежных средств снижается, но, если посмотреть на статистику, которая есть в распоряжении Лаборатории Касперского, то вредоносного программного обеспечения для банкоматов становится больше, причем как раз в 2018 году наблюдался резкий рост. Кроме этой динамики спикер представил аудитории карту, отражающую географию первых загрузок вредоносных программ для банкоматов, где Россия — явно не в числе благополучных зон.

 

Сергей Голованов (Лаборатория Касперского). Фото: Медиа Группа Авангард

Сергей Голованов (Лаборатория Касперского). Фото: Медиа Группа Авангард

 

Новый способ атак в 2018 году получил название KoffyMaker. Сергей Голованов сравнивает его по типу с Blackbox, где ноутбук прячется внутри банкомата и управляется утилитами диагностики через систему удаленно. В конкретном примере, который привел эксперт, действовали два злоумышленника, один из которых прятал ноутбук, а второй раздавал Wi-Fi, чтобы ноутбук мог подключиться к Интернету.

К числу старожилов хакерских атак Сергей Голованов отнес злоумышленников, берущих на вооружение массовую атаку Silence. Характеризуя ее особенности, он сказал, что атака не очень эффективная, что компенсируется ее интенсивностью. Он также отметил, что атака ведется обычно рано утром, и служба безопасности видит ее результаты уже постфактум, что, понятно, не облегчает ситуацию. Следующим видом использовавшихся в 2018 году атак, на котором остановился эксперт, были атаки группы «Карбанак», которые как раз отличались очень высокой эффективностью. Первоначально рассылка идет через фишинговый домен одного банка и потом через настоящий домен другого распространяется дальше. По выражению эксперта, «один не досмотрел, все легли».

Особый интерес представляет DarkVishnya. Сергей Голованов так описывает новый вид инцидентов: «Начинаешь бегать по офисам, а потом ездить по офисам, искать закладки, которые были оставлены злоумышленниками, и понимаешь, что активных закладок нет, все заражения “спящие”, и неизвестно как злоумышленник заходит в сеть». Атаки связаны с тем, что злоумышленники подбрасывают устройство в офисы финансовой организации (как вариант — ноутбук). «Найти такое оборудование в большом офисе — большая удача». У закладок очень специфические номера портов, отметил эксперт. После того как оборудование все-таки удается найти, подключается служба безопасности — смотрит камеры, кто был в этом помещении и т.д.

Информацию об угрозах от НКЦКИ участники финрынка могут получать напрямую, что намного быстрее

Кратко в числе рекомендаций эксперта были следующие: 1) физическая защита банкоматов (против топора); 2) программная защита (против вредоносных программ); 3) физическая и программная защита (против Blackbox) 4) защита рабочих станций (против рассылок); 5) защита сети (против распространения по сети); 6) контроль доступа в сеть (против подключения сторонних устройств); 7) контроль доступа в здание (как выразился спикер, «против вообще»).

Заместитель директора Центра компетенций PositiveTechnologies Владимир Бенгин остановился на индикаторах компрометации (IOC) и их распространении. Доклад был практически полностью посвящен новой теме фидов (Feeds). Поясняя, почему было принято решение остановиться именно на этой теме, эксперт обратил внимание аудитории на то, «что этот тренд прошел как-то мимо России». По его словам, тренд родился в 2013-2014 годах, и в 2018 году возник огромный рост интереса к нему, который поддержал регулятор. Если в 2016 году рынка практически не было, то, по информации спикера, речь идет о коммерческих подписках объемом в 200–300 млн рублей, одновременно он видит много проблемных мест.

 

Владимир Бенгин (PositiveTechnologies). Фото: Медиа Группа Авангард

Владимир Бенгин (PositiveTechnologies). Фото: Медиа Группа Авангард

 

Вообще, что такое фиды? IOC Feeds — каналы, по которым поставляются индикаторы компрометации, в свою очередь, индикаторы компрометации — артефакт, наблюдаемый в сети или на операционной системе, с высокой степенью достоверности указывающий на компьютерный инцидент. Бенгин считает, фид возникает не тогда, когда собраны несколько индикаторов, а тогда, когда речь идет о распространении. Фиды используются как дополнительный инструмент оперативного выявления и блокировки массовых атак, а кроме того, как средство выявления таргетированных атак. Эксперт остановился подробно на сложностях работы с фидами и путях решения при работе с этим инструментом, доступных клиентам. Он отметил, что компания поставляет ФинЦЕРТ необходимые компоненты в рамках второй очереди и что ФинЦЕРТ «организационно уже сегодня умеет работать в рамках данного процесса». Бенгин сообщил, что «появились игроки, которые оценили фиды и хотят их покупать», при этом не хватает активного вовлечения участников. Сейчас эта тема будет активно развиваться, считает эксперт.

Завершил работу сессии доклад директора по продажам Symantec Кирилла Керценбаума, который поднял в нем вопросы аудита и контроля поведения пользователей в публичных сетях связи в рамках процессов SOC. Эксперт остановился на вопросах мониторинга, акцентируя внимание на путях улучшения как его, так и средств реагирования. Когда пользователи идут на какие-то web-ресурсы и что-то внутри этих ресурсов делают, возникают дополнительные риски, поэтому «web и все, что связано с ним, по-прежнему остается одной из самых критичных точек с точки зрения возможности заражения корпоративной сети, проникновения и дальнейшей инфильтрации внутри сети». «По статистике, что касается финансовых организаций, около 80% всех атак начинаются через web», — считает эксперт.

 

Кирилла Керценбаума (Symantec). Фото: Медиа Группа Авангард

Кирилла Керценбаума (Symantec). Фото: Медиа Группа Авангард

 

Проблемы он видит в SaaS и IaaS с позиции информационной безопасности. Они возникают, когда часть инфраструктуры или бизнес-процессов компании перенесены в облако, все равно — частное или публичное. При этом трудно бывает оценить реальный уровень безопасности облака, кроме того, как правило, задействованы устройства с прямым доступом в Интернет и одновременно используются корпоративные ресурсы. Пользователям предоставляется достаточно большое дисковое пространство в облаке, которое потенциально может стать для работника компании хранилищем данных, в том числе рабочей и конфиденциальной информации. Здесь отсутствует обнаружение взлома учетной записи.

Из всего сказанного стало ясно, насколько актуален аудит использования облачных сервисов, особенно в режиме реального времени. Эксперт остановился на конкретных примерах расследования инцидентов и реагирования: статистические модели помогают выявлять отклонения, которые могут служить базой для анализа, каждый факт захода мониторится и регистрируется, поэтому при инциденте можно отследить хронологию и связь с событиями.

В качестве выхода из ситуации можно рассматривать использование таких технологий, как proxy, CASB и web-изоляция, поскольку они способны значительно снизить риск использования web-сервисов и создать доверенную среду обработки web-трафика без необходимости физической изоляции и сегментации сетей, считает Кирилл Керценбаум.




Присоединяйся к нам в телеграмм