Диоды данных. Эффективные средства защиты сетей финансовых организаций

BIS Journal №1(44)/2022

11 марта, 2022

Диоды данных. Эффективные средства защиты сетей финансовых организаций

Наиболее разрушительные современные атаки на финансовый сектор имеют целенаправленный и многоступенчатый характер. Их успех во многом определяется наличием технической возможности организовать канал удалённого управления системой-жертвой.

Эффективный способ исключения несанкционированного доступа злоумышленников к сети — ​это её надёжная сегментация, то есть выделение в общей сетевой инфраструктуре критических сегментов с их последующей гарантированной изоляцией. Как правило, в финансовых организациях к критическим сетевым сегментам относят: сетевые сегменты размещения АРМ Банка России (АРМ КБР), сегменты размещения АРМ дистанционного банковского обслуживания (АРМ ДБО) с банками-корреспондентами, сегменты выполнения операций процессинга, сегменты хранения резервных копий, сегменты с различными внутренними ИТ-системами, сегменты площадок ведения разработки и тестирования, сегменты размещения продуктивных систем. То есть все те сегменты, доступ к которым извне недопустим ни при каких обстоятельствах.

 

Актуальные проблемы

Для решения задач гарантированной изоляции сетевых сегментов многие финансовые организации применяют физическую изоляцию, разделяя сегменты сети между собой «воздушным зазором», в то время как перемещение данных между сегментами допускается лишь с использованием учтённых съёмных носителей. Такой подход, наряду с очевидными достоинствами с точки зрения безопасности, имеет ряд недостатков: он исключает возможность передачи данных в реальном времени, затрудняет автоматизацию бизнес-процессов и влияет на непрерывность бизнеса, несёт дополнительную трудоёмкость, провоцирует эксплуатирующий персонал на создание скрытых соединений между сегментами, использование неучтённых носителей информации и нерегламентированных каналов коммуникации. Использование традиционных межсетевых экранов (Firewall) опирается прежде всего на программные решения. Однако даже при самом тщательном тестировании программные продукты подвержены уязвимостям, а наличие двунаправленного канала априори даёт возможность планировать и развивать атаку на банк предметно и долгосрочно. К сожалению, практика показывает, что обновления и патчи безопасности для ПО всё чаще не поспевают за угрозами и не могут служить надёжным средством защиты.

 

Физическая изоляция — гарантия защиты

Внедрение устройств однонаправленной передачи данных в банковскую сетевую инфраструктуру устраняет указанные выше ограничения, сохраняя возможность передачи данных между сегментами сети в одном направлении и обеспечивая при этом «воздушный зазор» в обратном направлении. Устройства класса «диод» изолируют сетевые сегменты банка, исключая возможность организации обратного (в том числе двунаправленного) соединения на физическом уровне и обеспечивая гарантированную защиту сегмента от внешних информационных атак по сети. Таким образом, сегментация банковской сети с применением аппаратных средств позволяет надёжно отделить критичные сегменты от остальной сети передачи данных и одновременно обеспечить необходимые взаимодействия между сегментами.

Рассмотрим некоторые возможные сценарии сегментации банковской сети с использованием однонаправленных шлюзов для повышения уровня защиты сетевого периметра.

 

Защита ПДн

Одной из важнейших задач для банков  является защита персональных данных своих клиентов и данных о транзакциях. В то же время в рамках различных бизнес-процессов требуется ограниченный доступ к защищённому сегменту, содержащему эти данные. В ряде случаев требуется исключить возможность компрометации закрытого сегмента сети со стороны внешних подразделений и сотрудников и при этом обеспечить возможность пользоваться обезличенными данными из этой сети. Например, вариант такой организации функционирования контакт-центра банка (или его части), при котором сотрудникам контакт-центра предоставляется доступ к актуальной и, при необходимости, частично обезличенной информации из клиентской базы, но исключается любое воздействие на продуктивную систему банка, ограничивается доступ операторов к более полной информации из баз данных. Обеспечение безопасности и конфиденциальности данных в данном случае обеспечивается путём периодической выгрузки обезличенных данных из продуктивного сегмента через однонаправленный шлюз. Такой сценарий позволяет в принципе ликвидировать возможность атаки со стороны менее доверенного сегмента в случае использования контакт-центра на аутсорсинге.

 

Обновление ИС

Периодическое обновление информационных систем банка, в том числе обновление средств защиты информации, например, антивирусных баз и баз репутации, непосредственно сказывается не только на непрерывности, но и на безопасности бизнеса и является жизненно необходимым. Чтобы обеспечить обновления информационных систем, необходимо обеспечить передачу дистрибутивов и образов ПО в продуктивный контур, при этом требуется гарантированно отделить сегмент разработки ПО от продуктивной среды банка. Не секрет, что банки привлекают большое количество внешних команд-разработчиков для эффективного и быстрого развития своей ИТ-инфраструктуры, которые выполняют разработку, тестирование ПО в своей среде разработки. После внешнего тестирования осуществляется загрузка этого ПО в продуктивный или предпродуктивный сегмент банка. Чтобы исключить по этому же каналу риск утечки данных (в том числе и персональных данных клиентов) в сегмент разработки, а также устранить возможность воздействия на продуктивные системы со стороны внешних подразделений и сотрудников, передача файлов обновлений и дистрибутивов может выполняться через однонаправленный шлюз, который физически изолирует один сегмент от другого. В том числе таким образом в закрытый сегмент могут поступать репутационные и антивирусные базы, которые должны постоянно быть актуальными, или файлы обновлений операционных систем.

 

Доставка данных и аналитики

Доставка информации от новостных агентств в защищаемый сегмент. Зачастую требуется доставить в защищаемый сегмент банка информацию от новостных агентств (таких как Reuters, Bloomberg и др.), биржевых площадок, размещённых в сети Интернет или в отдельных VPN-сетях. Учитывая высокую ценность работы банковских аналитиков и значимость данных, с которыми они работают, организации требуется исключить утечку данных из сегмента АРМ-аналитиков, которые имеют доступ к данным во внутренних бизнес-системах, и исключить какое-либо воздействие со стороны менее доверенных сетевых сегментов на сеть банка. Размещение однонаправленного шлюза на границе сегмента АРМ-аналитиков и внешнего сегмента (например, Интернет) гарантирует невозможность утечки конфиденциальной информации, а также предотвращает кибератаки, основанные на двунаправленном взаимодействии. При этом сохраняется возможность получения актуальной информации из внешних источников, находящихся за пределами банковской сети.

 

Хранение резервных копий

Сохранение резервных копий на изолированный ресурс является своего рода страховкой на случай возникновения критических инцидентов в банковской инфраструктуре. Как следствие, важной задачей является сохранение изолированных резервных копий данных и систем с заданной периодичностью и в автоматическом режиме и исключение возможности компрометации данных и самих ленточных хранилищ. Для решения этой задачи необходимо отделить сегмент хранения резервных копий систем банка от остальной сети и гарантированно исключить воздействие на него извне. В случае применения однонаправленного шлюза и передачи резервных копий через него исключается риск атаки на хранилище резервных копий как со стороны открытых сетей передачи данных, так и со стороны скомпрометированного в результате атаки злоумышленника продуктивного контура банка.

 

Мониторинг сети специалистами SOC

Мониторинг состояния сети и информационных систем банка — ​повседневная и непрерывная задача. Параметры функционирования систем и сети банка или финансовой организации требуют контроля как со стороны служб поддержки, так и со стороны подразделений ИБ, например со стороны SOC, расположенного, как правило, в отдельной подсети банка. В ряде случаев, например для анализа кибер­инцидентов, требуется привлекать дополнительные, внешние по отношению к банку, организации: экспертов по информационной безопасности, специализированные компании и т. п. Передача и обмен данными во всех указанных случаях предполагает сопряжение двух и более сегментов: продуктивного и менее доверенных. В частном случае передача событий и данных из защищаемого сегмента может происходить, например, с использованием syslog и netflow, а также файлового потока. Передача трафика для регулярного анализа специалистам безопасности через «диод» позволяет обеспечить доставку информации до целевой системы SOC в одностороннем порядке. При этом исключается внешнее воздействие на продуктивный сегмент сети банка в случае, если подсеть ИБ или внешних экспертов сопрягаются с внешними сетями и серверами в целях обновления продуктов ИБ, получения сигнатур вирусов, баз репутации и т. п.

На сегодняшний день наблюдается расширение сценариев применения систем однонаправленной передачи данных для реализации более эффективных мер защиты периметра финансовой организации. В статье рассмотрены лишь некоторые сценарии: сегментирование сетей в целях защиты персональных данных, организация хранилища резервных копий, удалённый мониторинг и передача данных в SOC и подразделениям ИБ, взаимодействие с вендорами ПО и т. д. Однако на практике количество таких сценариев увеличивается при внимательном отношении к сегментации сети конкретного банка и с учётом актуальной для организации модели угроз.

Смотрите также

17.08.2022
Verizon: Веб-приложения — один из основных векторов кибератак
17.08.2022
Иран — в активной стадии переговоров по вопросу подключения страны к «Миру»
17.08.2022
«Ягодки» впереди? РКН проверит, хорошо ли Wildberries хранит клиентские данные
17.08.2022
J’son & Partners Consulting: К 2027 году российский офисный софт прибавит 60% объёма
17.08.2022
«Сбер» запатентовал антидипфейк-ИИ
16.08.2022
В установочном файле Zoom сидит большая проблема для «яблоководов»
16.08.2022
Из Signal утекли номера и коды подтверждения
16.08.2022
«Сбер» пошёл в обход Apple
16.08.2022
Лучший сувенир – 2022. Откуда россияне везут Visa и Mastercard
16.08.2022
Rutube полностью «русифицировался» по требованию из Купертино