В эфире программы «ИБшник на удалёнке» вице-президент и директор департамента ИБ «Тинькофф-банка» Дмитрий Гадарь и директор экспертного центра безопасности Positive Technologies Алексей Новиков немного порассуждали о кибербезопасности современных банков с переходом на удалёнку и о новых векторах атак злоумышленников.
С введением режима самоизоляции в Москве многие компании экстренно начали переходить на удалёнку. Особенно сильно это затронуло ИБ. Алексей Новиков отметил, что с начала карантина нагрузка возросла и количество обращений временами зашкаливает. И если в начале было много вопросов о том, как правильно организовать мониторинг, то теперь фокус сместился на анализ полученных в ходе мониторинга данных.
Дмитрий Гадарь сказал, что Тинькофф был давно готов к переходу и они по большей части работали и так удалённо. Для них просто поменялся приоритет, что основной вектор атак сместился с инфраструктур на сотрудников компании, которые работают удалённо. По его словам, сотрудники операционных подразделений ходят через контролируемый банком периметр. «И здесь очень важно как раз с точки зрения безопасности организации удалённой работы — сохранить этот мнимый периметр, то есть привести его в то состояние, в котором он был до карантина», — добавил Дмитрий Гадарь.
Смена вектора атак в банковской сфере
Дмитрий Гадарь пока не заметил всплеска атак несмотря на ожидания экспертов. Однако он предположил, что через какое-то время появятся атаки через подрядчиков и сотрудников, которые подключены в инфраструктуру.
«Если раньше злоумышленники обладали каким-то компьютером и этот компьютер принадлежал просто Иванову, то сейчас, если в компании был разрешён удалённый доступ с личных девайсов, этот девайс уже становится не посто устройством Иванова, а устройством Иванова, имеющим доступ в определённый домен», — пояснил Алексей Новиков.
Оба эксперта сошлись на том, что центрам реагирования и службам ИБ важно предъявить нужные требования в сторону защищенности тех устройств, с которых осуществляется удалённый доступ. «Условия изменились, они изменились довольно резко, и ИБ должна подстроится под эти условия, поменять режим своей работы», — уточнил Дмитрий Гадарь.
Работа с сотрудниками и поведенческий анализ
Так как вектор атак смещается на рядовых сотрудников, крайне важно провести отдельную работу с ними по безопасности как личной, так и при работе на удалёнке. Если у вас был удалённый доступ и вы считали себя подготовленным к переезду на постоянную удалённую работу, то разница заключается в том, что те же администраторы использовали этот доступ час-два-пять-десять в год и окно для возможностей злоумышленников было небольшим, теперь же окно возможностей — это весь рабочий день администратора. Поэтому крайне важно научиться мониторить поведение администраторов и сотрудников с точки зрения именно поведенческого анализа, обращать внимание на то, всё ли ещё это сотрудник или кто-то за него в его сессии выполняет некоторые действия в инфраструктуре. «Нужно более чутко реагировать на то, что пользователи говорят, и вообще вести с ними довольно плотный диалог. Потому что на практике не все понимают, что то, что было раньше, и то, что есть сейчас, имеет разные риски. И с точки зрения поведенческого анализа, обращать внимание пользователей на то, что они видят и фиксировать это», — пояснил Дмитрий Гадарь.
Вместе с тем Алексей Новиков отметил, что довольно сложно объяснить сотрудникам, что появились новые угрозы и на что нужно обращать внимание. Дмитрий Гадарь с ним согласился, добавив, что в Тинькофф они проводят митапы по безопасности для всех сотрудников. Кроме того нужна правильная коммуникация с сотрудниками практически нон-стоп на внутренних каналах, чтобы они осознали, что некоторые риски поменялись. Несмотря на это образ мышления людей, которые делают бизнес, сильно отличается от образа мышления безопасника, который в душе параноик и будет обращать внимание на любые подозрительные активности или отклонения от предыдущего поведения.
По словам Дмитрия Гадаря, есть различные PAM (Privileged Access Management) решения, которые позволяют разные вещи делать — нужно правильно их встроить и правильно уметь реагировать на них. Вместе с тем он отметил, то обращал бы больше внимания на реагирование и на SOC. Например, если в компании есть Threat hunting, то нужно научиться применять его в домашним рабочим станциям. Также из наиболее сложных с точки зрения применения и написания политик, но при этом наиболее точных утилит — Sysmon. Из простых — Netflow. Он легко собирается, легко анализируется, элементарно выявляются аномалии. «Ещё одна штука клёвая, например, ребята сделали: можно видеть откуда территориально подключался сотрудник и реагировать на смену локации его IP-адреса», — добавил Дмитрий Гадарь.
Без каких технических средств не обойтись при организации удалённого доступа?
«Я очень не люблю рассматривать с точки зрения технических средств. Каких-то рекомендаций наверно не скажу. Каждое техническое средство покрывает определённый риск, который присущ в данный момент той или иной ситуации, той или иной организации», — ответил Дмитрий Гадарь.
Он также отметил, что технические решения напрямую связаны с архитектурными решениями и зависят от того, как компания устроена внутри, есть ли у неё, например, сетевая сегментация, можно ли поделить доступ к ресурсам на различные сегменты, можно ли поделить пользователей на различную критичность и так далее.
Вместе с тем неплохим и правильным решением выглядит запрет сплит тоннеля, когда весь пользовательский трафик идёт через периметр организации. Человек, когда у него отключается VPN, не имеет никуда доступа, кроме как к этому VPN, когда он подключается к VPN, у него есть доступ и в интернет через прокси, через NGFW и так далее, но через периметр организации. «Сделать это для всех, скорее всего, не получится, потому что это безумная нагрузка на каналы. Здесь тогда возникает вопрос внутренней сегментации организации: можно ли разделить этих пользователей, чтобы пускать, условно, в серую, грязную зону с домашних компов и откуда угодно, контролировать трафик между сегментами внутри организации и пускать через такой запрет сплит тоннеля критических пользователей. Вариаций может быть миллион. При этом для критических пользователей лучше PAM решения использовать: смотреть, что происходит в этом трафике», — пояснил Дмитрий Гадарь.
«С точки зрения ИБ сейчас ситуация клёвая. Не смотря на все её минусы, это хорошо для ИБ, для тех, кто не опустил руки, продолжает держать руку на пульсе и продолжает внедрять новые методы работы, решения, быстро перестраиваться. Эта способность работать в условиях неопределённости показывает, кто есть хороший безопасник, кто способен работать в таких условиях. И это очень показательно и здорово», — заключил Дмитрий Гадарь.
.jpg)