BIS Journal №1(24)/2017

14 марта, 2017

Как защитить банк от киберугроз?

Кибератаки уже превратились в серьезную проблему для финансовых учреждений. По данным Банка России, за 11 месяцев 2016 года хакеры украли у российских банков и их клиентов 2 млрд руб. В этот период были зафиксированы 23 масштабных попытки хищения средств в различных кредитных организациях, а число атак за второй и третий кварталы выросло в шесть раз. По оценкам Сбербанка, к 2018 году число киберпреступлений может вырасти почти в 4 раза, а ущерб от них может превысить 2 трлн руб.

При этом все чаще интерес для злоумышленников представляет банк целиком со всеми его уязвимостями: на периметре, в серверной части ДБО, в АБС, в системах обработки внешних платежей (АРМ КБР, SWIFT). Киберпреступники проникают в сеть банка, взламывают процессинговые центры и выводят деньги через банкоматы или торговые терминалы. Для эффективного противодействия таким угрозам банкам необходимо существенно повысить уровень защищенности приложений на различных уровнях.

БЕЗЗАЩИТНЫЕ САЙТЫ
 
Банковская отрасль лидирует по количеству веб-приложений с уязвимостями высокого уровня риска, реализация которых чревата более чем существенными потерями. Например, благодаря веб-уязвимости был взломан банк JPMorgan Chase, после чего расходы на информационную безопасность банка были увеличены на 250 млн долларов. Недостаток безопасности в веб-приложении привел к утечке данных 70 млн клиентов американского ритейлера Target, банкам пришлось перевыпустить более 17 млн карт. При этом наш опыт проведения аудитов безопасности демонстрирует постоянное выявление таких ошибок, как недостаточное разграничение доступа, возможность получения доступа к backend-системам и системам администрирования. Самые распространенные из таких уязвимостей встречаются практически в каждом банке и банковском приложении.

Сами по себе механизмы вторжения во внутреннюю сеть хорошо изучены: по нашим данным, в 60% случаев вектор проникновения основывается на уязвимостях в коде веб-приложений. Однако традиционные средства защиты не способны обнаружить подобные атаки: интернет-приложения слишком интерактивны и многообразны для систем IDS, IPS, Next Generation Firewall. Для борьбы с веб-угрозами был разработан новый класс продуктов — web application firewalls (WAF), защитные экраны уровня приложений, осуществляющие передачу данных через HTTP, HTTPS, XML. К этому классу относится и PT Application Firewall, предназначенный для выявления и блокирования современных атак на веб-порталы, ERP-системы и облачные приложения. Он может, к примеру, определить и блокировать скачивание сайта банка с помощью робота, что, как правило, предшествует созданию фишингового клона. Или вычислить и блокировать шаблонную активность по переводу денег, в том числе с помощью подделки запросов (CSRF), когда жертва заходит на сайт, созданный злоумышленником, и запрос от ее лица тайно отправляется на легитимный сервер.

УМНАЯ ЗАЩИТА ОТ DDoS
 
В контексте массированных DDoS-атак на финансовые организации России следует остановиться на одной из важных особенностей системы PT Application Firewall — продвинутой защите от DDoS-атак на прикладном уровне. В этом ей помогают алгоритмы машинного обучения. По данным Gartner, сегодня до 70% DDoS-атак нацелены на уровень веб-приложений. Защиты на сетевом уровне уже недостаточно, так как боты маскируют свой трафик под легитимный, поддерживают веб-протоколы и эмулируют браузеры. Такие атаки протекают малозаметно и не требуют больших ресурсов: парализовать работу крупного веб-сайта можно с одного ПК, отправляя несколько десятков запросов в секунду. Эффективным решением для защиты сайта является комбинация традиционных средств противодействия DDoS с межсетевыми экранами прикладного уровня.

ПРОВЕРКА КОДА НА УЯЗВИМОСТИ
 
Выявлять и устранять уязвимости на этапе промышленной эксплуатации в десятки раз дороже, чем это было бы на начальном этапе. Борьба с уязвимостями на этапе разработки отвечает требованиями не только здравого смысла, но и последним нормативам регулирующих организаций, таких как Банк России, ФСТЭК и PCI Council.

Система анализа исходного кода PT Application Inspector позволяет упростить и автоматизировать процесс безопасной разработки. В ней реализован уникальный гибридный подход, сочетающий преимущества статического, динамического и интерактивного анализа, а также используется огромная база знаний уязвимостей, накопленная экспертами Positive Technologies. Осенью 2015 года испытательная лаборатория ФСТЭК России внедрила PT Application Inspector для тестирования и сертификации средств защиты информации.

НА ОСТРИЕ APT-АТАКИ
 
В сложных инфраструктурах банков отдельные инструменты не способны эффективно противостоять комплексным атакам. Например, традиционные межсетевые экраны способны закрыть ненужные порты и блокировать нежелательный входящий сетевой трафик, но не могут обнаружить и анализировать пакеты, содержащие вредоносные программы или справиться с атаками, которые проходят не через них. А системы предотвращения вторжений (IPS) позволяют исследовать потоки сетевого трафика, однако бессильны против атак на приложения на стороне клиента. Высокая сложность систем защиты делает задачу ручного сопоставления данных практически невозможной. Для человеческого восприятия событий слишком много — и только система SIEM на ранней стадии сможет сообщить о вторжении.

Из отчета FinCERT видно, что в 2015-2016 годах российские банки атаковали двумя основными способами — подменой файла для АРМ КБР и с помощью отмены транзакции. Атаки по первому сценарию, связанные с проникновением в сеть банка и формированием подложного XML-документа, направляемого в Банк России, напоминали эпидемию: с октября 2015 г. по март 2016 г. FinCERT зафиксировал 21 инцидент. Банкам удалось «отбить» у злоумышленников только 1,6 млрд. руб из 2,87 млрд. руб.

Что может противопоставить этой атаке MaxPatrol SIEM? С помощью дополнительных средств предупредит о том, что нескольким сотрудникам банка поступили одинаковые вложения. Если с этих компьютеров одновременно начнут уходить SMB-запросы, то это будет уже подозрительно. Сопоставление событий на двух первых этапах могло бы помочь остановить атаку. Но можно подождать и третьего события — загрузки ботов на зараженные ПК. Сам факт того, что с нескольких компьютеров по HTTP кто-то «отстучался» одинаковыми запросами, а содержимое веб-страницы, куда заходили боты, было нехарактерно для человека, позволяет поднять тревогу.

Вторая атака связана с отменой транзакции: громкий случай, соответствующий этому сценарию, произошел в 2015 году. Преступники взломали банк «Кузнецкий», получили доступ к АРМ КБР человека, ответственного за отмену транзакций, и от его имени в автоматическом режиме отменили около 3 тысяч операций. Злоумышленники снимают деньги в банкоматах, после чего отправляют платежной системе запрос о прекращении операции. Мошенникам за короткий срок удалось опустошить свыше 200 банкоматов, принадлежащих различным банкам.

Даже если SIEM-система пропустила бы все шаги злоумышленников при входе в банк, то количество операций — это явная аномалия, и сигнал тревоги поступил бы уже после первого десятка таких событий. Отмена транзакции — довольно редкая и не самая элементарная операция, и человек не может выполнять ее дважды в секунду. К тому же при правильной настройке SIEM прекрасно дополняет антифрод-решения и может спасти деньги и деловую репутацию кредитной организации. Важно и то, что такие продукты помогают выстроить процесс управления инцидентами ИБ в соответствии с рядом стандартов — как опубликованными (СТО БР ИББС 2.5 Банка России), так и только вступающими в силу.
 
В условиях прогрессивно растущего интереса со стороны киберпреступников, современным банковским организациям со всем разнообразием их информационных и прикладных систем, приложений и пр. необходима комплексная система безопасности, включающая множество решений. Продукты Positive Technologies сегодня защищают информационные активы более 1000 компаний в 30 странах мира. Система MaxPatrol 8 заслужила доверие крупнейших кредитных организаций, в числе которых Intesa Sanpaolo, Societe Generale, Россельхозбанк. Несколько ведущих производителей банковского ПО используют PT Application Inspector для автоматизации процессов безопасной разработки, система PT Application Firewall обеспечивает безопасность веб-сервисов таких компаний, как «Связной», «МегаФон», «РосЕвроБанк», а возможности MaxPatrol SIEM уже оценили в нескольких банках, коммерческих и государственных структурах — с помощью этого продукта, в частности, была обнаружена деятельность ряда APT-групп.
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
29.03.2024
В законопроекте об оборотных штрафах есть лазейки для злоупотреблений
29.03.2024
«Когда мы говорим об учителях, то подошли бы и китайские планшеты»
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных