17 мая, 2017, BIS Journal №2(25)/2017

SIEM в финансовой сфере


Бирюков Андрей

ведущий инженер Департамента информационной безопасности (АМТ-ГРУП)

Используем старые средства для решения новых проблем

Обеспечение защитных мер в финансовых организациях, как правило, связано с серьезными расходами, на что в наше кризисное время готовы пойти далеко не все заказчики. Однако, иногда у заказчиков уже имеются все нужные средства, необходимо лишь их настроить. Поговорим об одном из таких средств.

SIEM И ДРУГИЕ СРЕДСТВА ЗАЩИТЫ

Системы обеспечения ИБ состоят из различных компонентов, обеспечивающих защиту информационных ресурсов как на сетевом, так и на прикладном уровнях, защищающих как от внутренних, так и от внешних угроз. При этом все эти сложные и дорогие средства могут работать гораздо более эффективно, если информация об обнаруженных ими инцидентах будет централизованно собираться и обрабатываться. Так, например, атаки на внутреннюю инфраструктуру банка можно своевременно обнаружить, если сопоставлять события от сетевых средств безопасности, сканеров уязвимостей и антивирусных систем. Также подозрительные действия в онлайн банкинге можно обнаруживать при помощи корреляции и анализа событий от платежных систем.

Для централизованного сбора и обработки событий ИБ используются решения класса SIEM (Security Information and Event Management). Данные комплексы осуществляют сбор, нормализацию (то есть разбиение по значащим полям), хранение и корреляцию информации о событиях. Наиболее распространенными решениями класса SIEM на рынке являются HP ArcSight, IBM QRadar, MaxPatrol SIEM и другие. Данные продукты, как правило, представляют собой программные или программно-аппаратные комплексы, собирающие события со всех критичных элементов инфраструктуры и средств защиты. Совокупная стоимость их внедрения даже для средних организаций исчисляется десятками миллионов рублей, что делает проблематичным внедрение подобных систем “с нуля”. Также здесь следует отметить, что существуют решения, предназначенные только для сбора и хранения событий и не осуществляющие их корреляцию. Обычно их используют для соответствия нормативным требованиям. Они не являются SIEM и в дальнейшем в статье не рассматриваются.  

ХОРОШО ЗАБЫТОЕ СТАРОЕ

При этом во многих средних и крупных банках за прошедшие годы уже были внедрены различные средства защиты, и, как правило, среди них уже имеется решение класса SIEM. Эти продукты могут использоваться по-разному. В одних организациях SIEM используются лишь в качестве хранилищ событий ИБ, которые анализируют только постфактум, при расследовании инцидентов. В других SIEM уже не только собирают, но и коррелируют события безопасности. Но, при этом ведется мониторинг исключительно со средств защиты и каталога Active Directory. Из приложений могут собираться только события неудачного входа-выхода. При этом никак не учитывается логика работы приложений. Например, если злоумышленник пытается подобрать пароль к онлайн банкингу, SIEM система это перехватит. А вот если хакеру уже удалось заразить машину бухгалтера трояном и он переводит в нерабочее время деньги на свои счета, такая активность не будет обнаружена SIEM.

И наконец, в организациях третьего типа SIEM используют “на всю катушку”. Здесь собирают и анализируют не только события от средств защиты, но погружаются глубже в логику работы приложений, отслеживая подозрительные активности и мошеннические действия легальных пользователей в самих целевых системах. В приведенном выше случае, с зараженным трояном компьютером бухгалтера, правильно настроенная SIEM система получит сообщения о попытке перевода в то время, когда обычно платежи не проводятся, и на те счета, на которые ранее переводы не проводились, и на основании данной информации создаст инцидент.

Также с помощью гибкой настройки SIEM системы можно автоматизировать процесс блокировки подозрительных транзакций. Такая настройка требует кропотливой, непрерывной работы, однако она позволяет существенно повысить эффективность работы SIEM системы и службы ИБ в целом.

ПРИЧИНЫ И ПОСЛЕДСТВИЯ

Но вернемся к нашим трем типам организаций. Напомним, что организации первого типа лишь хранят собранные события, второго типа - анализируют только события со средств защиты, а третьи - коррелируют события как со средств защиты, так и с приложений.  Очевидно, что первые две используют SIEM систему не полностью: у одних она лишь собирает и хранит события, у других коррелирует, но не все возможные. При этом во всех трех организациях может использоваться одно и тоже решение SIEM. Только первые, например, когда-то внедрили SIEM, однако для того, чтобы его изучить и настроить корреляции, не нашлось времени. Ну а вторые внедрили, настроили базовые корреляции и им этого вполне достаточно. Либо, опять-таки, не хватает времени на дальнейшее развитие.

Еще одной причиной, по которой SIEM системы оказываются “забыты”, является то, что с ними работают люди, не обладающие достаточной компетенцией. Например, система SIEM находится в ведении ИТ-отдела. Так как ИТ-специалисты не обладают достаточными знаниями  о том, для чего нужна эта система, то они и не используют ее как нужно. Аналогично и в случаях, когда система обслуживается специалистами ИБ, не прошедшими необходимого обучения и не знакомыми с возможностями системы.
Так или иначе, во многих организациях развернуты дорогостоящие средства SIEM, используемые не на полную мощность.

НОВЫЕ ВЫЗОВЫ

Однако жизнь не стоит на месте, появляются новые угрозы, внедряются новые банковские системы, выходят новые нормативные акты, и все это требует реакции от ИБ-специалистов. В банковской сфере проблемы информационной безопасности стоят острее, чем в других отраслях, ведь здесь злоумышленники посягают непосредственно на деньги. С активным развитием платежных систем и онлайн банкинга возросли и требования к их защите и, прежде всего, к борьбе с мошенничествами – антифроду. При проведении банковской транзакции самое главное удостовериться в том, что она является легитимной, то есть, что ее не осуществляет злоумышленник.

Для обнаружения банковского фрода (мошенничества) существуют специализированные решения, однако они обладают рядом существенных недостатков: они преимущественно иностранные и стоят существенно дороже, кроме того, они не учитывают российскую специфику, что приводит к большому количеству ложных срабатываний, и, наконец, они работают по принципу “черного ящика”, то есть в них мало что можно настроить без обращения за помощью к  производителю решения.

Однако для обнаружения фактов фрода можно использовать SIEM. В этом случае необходимо передавать в данную систему информацию о событиях с признаками транзакций (время, банковские реквизиты, IP-адреса и т.д.). Далее данные события сопоставляются с другими, проверяются на соответствие определенным признакам (черные, белые списки, пороговые значения и т.д.), и на основании этой информации подается сигнал о подозрительной транзакции.

При этом у аналитиков ИБ, занимающихся антифродом, всегда есть возможность составить свои правила корреляции, ведь эксперт, проработавший много лет в банковской сфере, знает десятки, если не сотни различных способов фрода и их признаки.

Таким образом, в наше непростое время совершенно необязательно тратить деньги на покупку новых решений, вместо этого можно постараться получить максимум возможностей от уже имеющихся.  Понятно, что более тонкая настройка и модернизация SIEM требуют высокой квалификации от выполняющих ее специалистов, и здесь лучше всего обратиться к профессионалам. Однако, экономический эффект, получаемый от модернизации SIEM, позволит достаточно быстро окупить все затраты и существенно повысить уровень защищенности ресурсов.

 

Смотрите также

Смена СУБД

3 марта, 2017

ViPNet HSM PS

9 февраля, 2017
Подпишись на новости!
Подписаться