NGENIX — российский облачный провайдер комплексных услуг обеспечения производительности, отказоустойчивости и защиты веб-ресурсов от всех видов кибератак.
Удобные веб-приложения — важный фактор конкурентной борьбы
Сегодня ведущие банки делают ставку на доступные, производительные и удобные веб-приложения. Публичный интерфейс для взаимодействия пользователей с банковскими услугами нужен им, чтобы конкурировать за молодую аудиторию, внедрять инновации и выпускать новые цифровые продукты.
При этом веб-приложения существуют в парадигме публичного интернета, который полон угроз. Обеспечение безопасности приложений — важнейшая задача для ИТ- и ИБ-команд, при этом им необходимо найти способ не жертвовать скоростью разработки новых продуктов или доступностью приложения для огромной и географически распределенной аудитории пользователей.
Каким угрозам подвержены банковские веб-приложения?
Финансовый сектор продолжает быть одной из ключевых целей для злоумышленников. В 2023 году банки и финансовые учреждения всё еще оставались в топе самых атакуемых сегментов: например, ИБ-компания Solar в 2023 году зафиксировала 6,8 тыс. киберинцидентов, направленных на финансовые организации и связанных с попытками взлома. Доля нацеленных на банки DDoS-атак, составила, по различным данным, от 37% до 40% от общего количества в 2023 году, а их средняя продолжительность достигла 42 часов.
Основными угрозами для веб-приложений банков в 2024 году являются:
Почему банки не дружат с облаками?
Преимущества облаков в части защиты публичных веб-ресурсов неоспоримы:
Однако ИТ-команды банковского сектора работают в строгих рамках, задаваемых регулятором, и не всегда могут воспользоваться преимуществами публичных облачных платформ для защиты от веб-атак. По нашей последней статистике, публичными облаками полноценно пользуются только 8% банков из российского рейтинга топ-100, тогда как для глобального списка банков топ-100 этот показатель составляет 44%.
С точки зрения Центрального банка РФ, веб-технологии должны соответствовать 152 ФЗ, ГОСТ Р 57580, также многие финансовые организации ориентируются на соответствие международному стандарту PCI DSS. При этом актуализация стандартов информационной безопасности, задаваемых регулятором, не может происходить так же быстро, как появление новых технологий.
В этом случае ИБ-специалисты, работающие в сфере банков и финансов, полагаются на выстраивание защищенного контура внутри собственной инфраструктуры или частного облака и использование наложенных средств безопасности. К сожалению, такая архитектура отличается высокими капитальными и эксплуатационными расходами, требует наличия в штате квалифицированных ИБ-кадров, имеющих компетенции в каждом стеке технологий или виде СЗИ, и не способна к быстрому масштабированию под колебания нагрузки.
Как эффективно защитить веб-приложения в 2024 году?
Российские банки ищут компромиссы, позволяющие сохранить соответствие стандартам безопасности и воспользоваться преимуществами облаков. Эти подходы имеют свои плюсы и минусы.
Некоторые банки используют публичные облака, не расшифровывая свой HTTPS-трафик внутри инфраструктуры провайдера. Это, с одной стороны, упраздняет проблему с соблюдением регуляторных стандартов, но, с другой стороны, сводит на нет преимущества публичных облаков. При таком подходе провайдер анализирует не содержимое запроса, а содержимое логов, получаемых с бэкенда банка. При массированных атаках создается высокая нагрузка на ИТ-инфраструктуру банка, повышается объем исходящего трафика — таким образом, экономическая эффективность облачной модели сходит на нет, а при особо мощной атаке бэкенд может не справиться с нагрузкой. Мировые лидеры, задающие стандарты в области защиты веба (например, Cloudflare и Akamai), не рекомендуют подобный подход и считают его неэффективным и даже опасным для доступности веб-приложений.
Второй способ воспользоваться преимуществами публичных облачных платформ — это архитектурно разделить приложение: например, вывести под отдельный поддомен нечувствительные данные, к которым не применимы требования регулятора в части защиты персональных данных, и полноценно использовать для защиты этой «публичной» части веб-приложения от DDoS и ботов все возможности публичного облака. При этом критически важные данные, к которым применимы требования по обеспечению банковской тайны, остаются внутри защищенного контура, соответствующего всем требованиям регулятора. Однако это не всегда возможно: переписать приложение — это долго, трудоемко, дорого и иногда невозможно. Иногда отказываться приходится и по другим, довольно приземленным, причинам: например, из-за строгости внутренних политик ИБ или конфликта мотиваций между ИТ-командой, отвечающей за доступность веб-ресурсов, и ИБ-командой, отвечающих за снижение рисков.
Третий способ, который распространен за рубежом, но пока не реализован в России, — это использование публичных облаков, аттестованных по стандарту PCI DSS. При прохождении сертификации облачный провайдер получает зеленый свет от регулятора, что стандарты защиты информации позволяют банку раскрывать свой трафик на узлах провайдера и не подвергать критически важные данные риску.
В заключение
Облака доказали свою эффективность в сегментах рынка, где веб-ресурс является основой бизнес-модели. При этом регуляторные ограничения остаются барьером на пути к более эффективной защите веб-ресурсов банка от актуальных киберугроз. Модель, активно используемая за рубежом и основанная на сертификации публичных облаков по стандарту PCI DSS, представляет собой наиболее оптимальный способ обеспечить защиту публичного веба в банке и доказала свою применимость: так поступают Barklay’s, Bank of America, J. P. Morgan, UBS, Citi и многие другие.
На что нужно обратить внимание тем, кто обеспечивает функционирование и защиту банковских веб-приложений?
Реклама. ООО «ССТ», ИНН 7733546298, Erid:2VfnxwSdN9E
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных