26 ноября, 2019

Обмен информацией сейчас – это необходимость

В начале сессии, которая собрала представителей финансовой сферы, начальник ФинЦЕРТ Банка России Артём Калашников представил вниманию аудитории доклад, посвященный текущей деятельности ФинЦЕРТ.

«Наша задача сегодня – пояснить вам, как выглядит информационный обмен в финансовом секторе, на какие вещи стоит обращать внимание при построении SOC и использовании функции мониторинга и о каких вещах необходимо в рамках Федеральных законов и нормативных актов Банка России сообщать регулятору», – отметил Артём Калашников.

Начальник ФинЦЕРТ Банка России рассказал, что спектр функций по взаимодействию и реагированию расширился, в настоящее время среди этих функций выделяются следующие: анализ поступающего от участников информационного обмена ВПО и подозрительных URL-ссылок; классификация атаки; определение необходимости выпуска технического бюллетеня с индикаторами компрометации (IOS); подготовка бюллетеня и отправка его участникам. Среднее время реагирования на инциденты и подготовка бюллетеня – 40-90 минут.

Исполнительный директор Центра Киберзащиты Сбербанка Алексей Качалин рассказал о развитии технологий и процессов SOC в крупнейшей финансово-кредитной организации страны.

«Наша идеология построения SOC – это проактивное реагирование», – отметил Алексей Качалин.

Если в прошлом году в банке регистрировали порядка 3,5 млрд событий безопасности в день, то сейчас эта цифра доходит до 7 млрд.

Представитель Сбербанка рассказал, что организация достигла определённой степени зрелости построения процессов, и готова формализовать свой опыт в обучающий материал.

Сейчас в Сбербанке заняты отлаживанием уже стабильных процессов, выстраиванием и корректировкой методик, увеличением количества сценариев и т. д.

«В свое время я много говорил про автоматизацию и роботизацию, которые позволяют в значительной степени сократить время, нагрузку и снизить количество ошибок операторов при обогащении информации инцидента. И это направление у нас работает, как и автоматизация внутренними средствами различных систем, где это возможно».

После того, как проект по построению SOC с точки зрения процессной модели и технологической основы был реализован, после того как в центр была переведена работающая в режиме 24/7 команда и появилась возможность реализовать концепцию информационной осведомленности и работы в режиме 24/7 для защиты инфраструктуры банка, объединения этих функций с другими функциями безопасности, возник вопрос – а что же должно быть дальше? Причем, эксперты Сбербанка задумались о достаточно серьезном горизонте планирования, примерно 5 лет.

«В рамках этой работы мы регулярно проводим анализ событий и следим за новейшими трендами, – подчеркнул Алексей Качалин. – Однако это не выжимка из открытых и закрытых источников в чистом виде, это, скорее, история, пропущенная через наш опыт, наше текущее понимание ситуации».
В настоящее время Сбербанк развивает свою экосистему, которая включает порядка 150 компаний – очень разнородных по своим масштабам и структуре. Одни имеют серьезную IT-составляющую и находятся на высоком уровне IТ-развития, другие работают в режиме стартапа, т. е. предоставляют серьезный сервис, но при этом обладают ограниченными ресурсами и небольшой командой. «Наша работа в том числе – помогать этим компаниям повышать свой уровень защищенности, который мы сейчас не представляем без функций SOC, без ситуационной осведомленности и security operation», – отметил Алексей Качалин.

Эксперт рассказал, что Сбербанк продвинулся за прошедший год и с точки зрения стратегии, и с точки зрения четырех аспектов – технологий, процессов, данных и людей (повышения их компетенции, квалификации). В ближайшие годы организация планирует усиливать и развивать эти направления.

Один из модераторов сессии – Артём Калашников попросил представителя Сбербанка оценить эффективность данных, которыми банки обмениваются как между собой, так и с регулятором, позволяют ли они решить те задачи, которые стоят сейчас перед организацией?

«Мы действительно получаем ваши данные и каждое такое сообщение отрабатывается, прокомментировал Алексей Качалин. – Если говорить шире – об обмене информацией внутри сообщества, – это обязательное условие построения эффективного, работающего SOC. Конечно, много усилий уходит на фильтрацию данных. Однако точно могу сказать, что сейчас обмен информацией – это необходимость».

Работа сессии была выстроена как плавное движение по разным уровням: в начале свою концепцию представил регулятор, который аккумулирует на себе информационный обмен и сам рассылает информацию участникам рынка, далее выступил крупнейший банк страны, использующий гигантские массивы данных, после этого перешли к практической части и предоставили слово представителям SOC, чтобы они объяснили, на что в SOC нужно обращать внимание и что мониторить.

Специалист по ИБ Cisco Systems Руслан Иванов выступил с докладом «Типовые use case банковского SOC. Что вы должны мониторить обязательно?»

«Что мы должны мониторить обязательно – вопрос достаточно дискуссионный, – высказал свое мнение Руслан Иванов. – Мы считаем, что часто упускается из вида во многих SOC DNS-активность. Есть целый набор кейсов, которые должны обязательно учитываться в ежедневной жизнедеятельности SOC. Если на них не обращать внимания, можно пропускать много важной информации и не видеть того, что используют злоумышленники. Крупные SOC могут себе позволить собирать достаточно информации для того, чтобы выявлять подобные вещи и обмениваться с ФинЦЕРТ. Мы взаимодействуем с ФинЦЕРТ в этом направлении».

Руслану Иванову со стороны модератора сессии был задан вопрос: «Что делать банкам из второй-третьей сотни для обеспечения ИБ на начальном этапе, которые не имеют ни людских, ни финансовых ресурсов для приобретения необходимых решений»?

«Вариантов не так много, – считает специалист по ИБ Cisco Systems. – Если нет денег, можно обеспечивать базовую сетевую гигиену, делать фильтрацию известных вредоносов. Например, составить белый список адресов, которые точно или с определенной долей уверенности не принесут организации зла. Есть и бесплатные сервисы, откуда можно черпать информацию, как минимум из тех же бюллетеней ФинЦЕРТ».

По мнению Руслана Иванова, политика разрешения всего и вся для финансовых организаций порочна, потому что рано или поздно это приводит к заражениям и множеству других проблем.

Руководитель Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT «Инфосистемы Джет» Алексей Мальнев посвятил свое выступление одной из самых больших угроз в ИБ – социальной инженерии.

Gartner считает социальную инженерию угрозой номер один, а некоторые ученые в определенном контексте относят ее к ТОП-3 угроз для всего человечества в ближайшее столетие наряду с ядерным оружием и глобальным потеплением.

Доклад Алексея Мальцева был посвящен синхронизации понимания того, что такое социальная инженерия и какие угрозы она несет, а также подходам к трактовке самого термина.

Эксперт рассказал о том, что в компании есть red-team – отдельная команда исследователей-пентестеров, которые специализируются на социальной инженерии в том числе и blue-team – команда аналитиков мониторинга, которые расследуют инциденты. «В кооперации между двумя командами мы вырабатываем подход по системной борьбе с социальной инженерией», – подчеркнул Алексей Мальнев.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных