Обмен информацией сейчас – это необходимость

В начале сессии, которая собрала представителей финансовой сферы, начальник ФинЦЕРТ Банка России Артём Калашников представил вниманию аудитории доклад, посвященный текущей деятельности ФинЦЕРТ.

«Наша задача сегодня – пояснить вам, как выглядит информационный обмен в финансовом секторе, на какие вещи стоит обращать внимание при построении SOC и использовании функции мониторинга и о каких вещах необходимо в рамках Федеральных законов и нормативных актов Банка России сообщать регулятору», – отметил Артём Калашников.

Начальник ФинЦЕРТ Банка России рассказал, что спектр функций по взаимодействию и реагированию расширился, в настоящее время среди этих функций выделяются следующие: анализ поступающего от участников информационного обмена ВПО и подозрительных URL-ссылок; классификация атаки; определение необходимости выпуска технического бюллетеня с индикаторами компрометации (IOS); подготовка бюллетеня и отправка его участникам. Среднее время реагирования на инциденты и подготовка бюллетеня – 40-90 минут.

Исполнительный директор Центра Киберзащиты Сбербанка Алексей Качалин рассказал о развитии технологий и процессов SOC в крупнейшей финансово-кредитной организации страны.

«Наша идеология построения SOC – это проактивное реагирование», – отметил Алексей Качалин.

Если в прошлом году в банке регистрировали порядка 3,5 млрд событий безопасности в день, то сейчас эта цифра доходит до 7 млрд.

Представитель Сбербанка рассказал, что организация достигла определённой степени зрелости построения процессов, и готова формализовать свой опыт в обучающий материал.

Сейчас в Сбербанке заняты отлаживанием уже стабильных процессов, выстраиванием и корректировкой методик, увеличением количества сценариев и т. д.

«В свое время я много говорил про автоматизацию и роботизацию, которые позволяют в значительной степени сократить время, нагрузку и снизить количество ошибок операторов при обогащении информации инцидента. И это направление у нас работает, как и автоматизация внутренними средствами различных систем, где это возможно».

После того, как проект по построению SOC с точки зрения процессной модели и технологической основы был реализован, после того как в центр была переведена работающая в режиме 24/7 команда и появилась возможность реализовать концепцию информационной осведомленности и работы в режиме 24/7 для защиты инфраструктуры банка, объединения этих функций с другими функциями безопасности, возник вопрос – а что же должно быть дальше? Причем, эксперты Сбербанка задумались о достаточно серьезном горизонте планирования, примерно 5 лет.

«В рамках этой работы мы регулярно проводим анализ событий и следим за новейшими трендами, – подчеркнул Алексей Качалин. – Однако это не выжимка из открытых и закрытых источников в чистом виде, это, скорее, история, пропущенная через наш опыт, наше текущее понимание ситуации».
В настоящее время Сбербанк развивает свою экосистему, которая включает порядка 150 компаний – очень разнородных по своим масштабам и структуре. Одни имеют серьезную IT-составляющую и находятся на высоком уровне IТ-развития, другие работают в режиме стартапа, т. е. предоставляют серьезный сервис, но при этом обладают ограниченными ресурсами и небольшой командой. «Наша работа в том числе – помогать этим компаниям повышать свой уровень защищенности, который мы сейчас не представляем без функций SOC, без ситуационной осведомленности и security operation», – отметил Алексей Качалин.

Эксперт рассказал, что Сбербанк продвинулся за прошедший год и с точки зрения стратегии, и с точки зрения четырех аспектов – технологий, процессов, данных и людей (повышения их компетенции, квалификации). В ближайшие годы организация планирует усиливать и развивать эти направления.

Один из модераторов сессии – Артём Калашников попросил представителя Сбербанка оценить эффективность данных, которыми банки обмениваются как между собой, так и с регулятором, позволяют ли они решить те задачи, которые стоят сейчас перед организацией?

«Мы действительно получаем ваши данные и каждое такое сообщение отрабатывается, прокомментировал Алексей Качалин. – Если говорить шире – об обмене информацией внутри сообщества, – это обязательное условие построения эффективного, работающего SOC. Конечно, много усилий уходит на фильтрацию данных. Однако точно могу сказать, что сейчас обмен информацией – это необходимость».

Работа сессии была выстроена как плавное движение по разным уровням: в начале свою концепцию представил регулятор, который аккумулирует на себе информационный обмен и сам рассылает информацию участникам рынка, далее выступил крупнейший банк страны, использующий гигантские массивы данных, после этого перешли к практической части и предоставили слово представителям SOC, чтобы они объяснили, на что в SOC нужно обращать внимание и что мониторить.

Специалист по ИБ Cisco Systems Руслан Иванов выступил с докладом «Типовые use case банковского SOC. Что вы должны мониторить обязательно?»

«Что мы должны мониторить обязательно – вопрос достаточно дискуссионный, – высказал свое мнение Руслан Иванов. – Мы считаем, что часто упускается из вида во многих SOC DNS-активность. Есть целый набор кейсов, которые должны обязательно учитываться в ежедневной жизнедеятельности SOC. Если на них не обращать внимания, можно пропускать много важной информации и не видеть того, что используют злоумышленники. Крупные SOC могут себе позволить собирать достаточно информации для того, чтобы выявлять подобные вещи и обмениваться с ФинЦЕРТ. Мы взаимодействуем с ФинЦЕРТ в этом направлении».

Руслану Иванову со стороны модератора сессии был задан вопрос: «Что делать банкам из второй-третьей сотни для обеспечения ИБ на начальном этапе, которые не имеют ни людских, ни финансовых ресурсов для приобретения необходимых решений»?

«Вариантов не так много, – считает специалист по ИБ Cisco Systems. – Если нет денег, можно обеспечивать базовую сетевую гигиену, делать фильтрацию известных вредоносов. Например, составить белый список адресов, которые точно или с определенной долей уверенности не принесут организации зла. Есть и бесплатные сервисы, откуда можно черпать информацию, как минимум из тех же бюллетеней ФинЦЕРТ».

По мнению Руслана Иванова, политика разрешения всего и вся для финансовых организаций порочна, потому что рано или поздно это приводит к заражениям и множеству других проблем.

Руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT «Инфосистемы Джет» Алексей Мальнев посвятил свое выступление одной из самых больших угроз в ИБ – социальной инженерии.

Gartner считает социальную инженерию угрозой номер один, а некоторые ученые в определенном контексте относят ее к ТОП-3 угроз для всего человечества в ближайшее столетие наряду с ядерным оружием и глобальным потеплением.

Доклад Алексея Мальцева был посвящен синхронизации понимания того, что такое социальная инженерия и какие угрозы она несет, а также подходам к трактовке самого термина.

Эксперт рассказал о том, что в компании есть red-team – отдельная команда исследователей-пентестеров, которые специализируются на социальной инженерии в том числе и blue-team – команда аналитиков мониторинга, которые расследуют инциденты. «В кооперации между двумя командами мы вырабатываем подход по системной борьбе с социальной инженерией», – подчеркнул Алексей Мальнев.