Тинькофф — первый и единственный в России полностью онлайн-банк и финансовая экосистема, обслуживающая свыше 11 миллионов клиентов дистанционно через онлайн-каналы и контакт-центр. Структура экосистемы накладывает высокие требования к уровню информационной безопасности как внутренних ИТ-систем, так и финансовых продуктов, сервисов. В этом контексте ключевые приоритеты для Тинькофф – стабильное бесперебойное функционирование операционных процессов и защита от широкого спектра киберугроз, несущих потенциальные риски для ежедневной работы банка.
На прошедшем в феврале XII Уральском форуме Дмитрий Гадарь и Игорь Кубышко рассказали об уникальном опыте и эффективной работе центра оперативного управления информационной безопасностью Тинькофф. Публикуем их выступление в кратком изложении.
КОМПОНЕНТЫ SOC
Большинство Security Operations Center строится сегодня из одинаковых компонентов: системы безопасности, источники событий, SIEM, SOAR. К первым можно смело отнести антивирусы, системы обнаружения вторжений и прочие, источниками же информации могут быть операционные системы, серверы, рабочие станции, прикладные системы.
SIEM (Security Information and Event Management) — система, предназначенная для анализа информации, поступающей от различных других систем, таких как DLP, IDS, антивирусов, различных железок и дальнейшего выявления отклонения от норм по заданным критериям. При выявлении отклонения генерируется инцидент.
SIEM включает:
SIEM для эффективного и быстрого реагирования на инциденты не всегда важен, без него можно обойтись, например, заменив обычной системой log management. Важно правильно выстроить процессы, подобрать персонал, который сможет заниматься инцидентами информационной безопасности и быть основой для SOC. То есть SOC возможен без SIEM.
Один из процессов, без которого не может обойтись ни один SOC – Incident response.
Это реагирование на инциденты информационной безопасности, выстраивание правильных процессов и автоматизация реагирования. Есть индикаторы компрометации, по которым мы ищем аномалии в поведении. Среди индикаторов компрометации – IP, домены, хеши файлов, размеры файлов. Здесь есть два подхода: первый — поиск чего-то известного, злодейского в поведении; второй — профилирование поведения системы, пользователя и поиск отклонений от профиля. При этом считаются любые отклонения и выстраивается реагирование на них. Но второй вариант применим лишь для некоторых систем. Ярким примером являются банкоматы, поведение которых хорошо профилируется и любое отклонение от штатного поведения можно считать инцидентом.
Следующий компонент — MISP (Malware Information Sharing Platform) — это платформа для сбора, агрегации, актуализации базы IoC. Система позволяет удобно хранить данные, полученные с помощью поиска информации об атаках и IoC, как из открытых источников – Twitter, Allien Vault, Telegram каналов, так и платных источников.
Playbooks — это не просто бумажка, а техническое описание управляемых процессов. Часть из них может быть автоматизирована. При этом важно поддерживать их в актуальном состоянии: избавляться от старых, создавать новые, релевантные тем угрозам, которые существуют у организации.
Немного отдельно стоят аддоны: threat hunting, machine learning, antifraud, которые хорошо коррелируют со всеми частями SOC.
Threat hunting позволяет осуществлять активный поиск угроз. Здесь могут применяться индикаторы, техники и тактики поведения злоумышленников.
Совместно с ИБ-компаниями Тинькофф проводил «пентест наизнанку»: искали признаки того, что в данный момент банк находится под атакой. Если бы атака обнаружилась, банк оплатил бы работу.
Так, если рассматривать, что среднее время атаки составляет три месяца, то такая аналитика раз в квартал с большой вероятностью поможет выявить злоумышленника ещё до того, как он нанёс ущерб компании.
Машинное обучение в будущем может заменить безопасность, поскольку ищет как раз отклонения от нормального поведения.
Очень важно при планировании своей архитектуры и в целом информационной безопасности опираться на цели, ради которых вы это делаете, и основываться на тех потребностях, которые есть у вашей организации, конкретно с вашими рисками в той области угроз, в которой вы находитесь.
SOC – ГЛАЗА ВСЕЙ БЕЗОПАСНОСТИ
Тинькофф использует как внешний, так и внутренний SOC. Базовые сервисы и всё, что профилируется, стандартизируется, отдано под внешний SOC, а специфические темы или темы, которые вряд ли нужны всему рынку, делаются самостоятельно.
Ключевую роль при построении ИБ в Тинькофф играет персонал, который может поддерживать систему и решать бизнес-задачи. На второй уровень выходят процессы, а уже потом возникают технологии.
При работе с инцидентами есть определённый план действий. На первом этапе Incident Response стоит подготовка к инциденту: различные комплаенс контроли, настройка средств защиты, в том числе написание плейбуков. Далее начинается работа SOC — обнаружение злоумышленников.
SOC не всегда может обнаружить аномалии, потому что информация может прийти и со стороны: от клиентов или сотрудников. После обнаружения необходимо сдержать злоумышленников. И тут опять нужен выработанный план действий в случае обнаружения какой-либо угрозы в инфраструктуре. С помощью внутренней команды Red Team проводятся учения и проверяются актуальность и работоспособность playbook и правил корреляции.
Последний этап – это выводы: где они хорошо сработали, а где плохо, как в дальнейшем сделать так, чтобы атака не повторилась, какие контроли сработали эффективно, а какие нет. После прохождения всех этапов по реагированию процесс повторяется.
ОБЗОР
Threat Intelligence. Регулярный и системный сбор информации об угрозах, её улучшение и обогащение, применение этих знаний для защиты, а также возможность делиться ими с теми, кому они могут быть полезны, а также анализ вредоносного ПО собственными силами. Например, Тинькофф регулярно делится с доверенными компаниями информацией об индикаторах компрометации.
Технологии: Open source. В банке есть компетенции, позволяющие дорабатывать тот или иной open source под свои задачи. Политика в данном вопросе такова: мы своими силами оперативно стараемся найти решение, а не покупать его или запрашивать на стороне. Зачем? Для достижения цели наименьшими усилиями. Далеко не все решения, которые предоставлены на рынке, могут оперативно покрыть внутренние специфические задачи, а предлагаемые решения могут содержать не актуальный для наших условий функционал.
Архитектура: Системы безопасности. Используются стандартные антивирусные решения, EDR, различные песочницы и.т.д. Однако в последнее время EDR в плане детектирования злоумышленника выходит на высший уровень. К классическим средствам также добавлены расширенный мониторинг, TI (OSINT), red teaming, интегрированый в оценку реальных рисков, расширенное журналирование и реагирование…
Аналитика. Для аналитика SOC быстро собрать какие-то аномалии внутри той или иной машины, того или иного сервера, EDR решение — это прекрасная вещь. В этот момент даже не нужен SIEM. EDR позволяет не только заблокировать активность, но и предоставить ход заражения (Timeline) сервера или рабочей станции для анализа и эффективного реагирования.
Стандартизация правил. Аналитика берётся извне, например, из сигма-правил, в простом формате эти правила можно транслировать как в Arcsight, так и на стек ELK или другую SIEM систему.
Песочницы. В Тинькофф эшелонная защита из решений нескольких вендоров. Ежегодно пересматривается эффективность каждого эшелона по отношению к актуальным угрозам на рынке.
Отправка и нормализация данных. В этом вопросе тоже классический подход — использование коллекторов. Банк собирает события средств защиты и кладёт на хранение в брокер Kafka, который позволяет 12 часов хранить большой поток данных, не боясь их потерять.
Хранение данных и визуализация. Здесь за основные системы используют Elastic и Arcsight. Дальше уже внутренняя разработка. обвязки, которая позволяет оптимизировать проблематику эластики. Также они используются другие различные системы визуализации.
Оркестрация и автоматизация управления инцидентами. Тинькофф использует open source, который в большей части переделан под собственные задачи и специфику внутренних процессов.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных