Водите дружбу в облаках! Как банки могут защитить веб-приложения от кибератак в 2024 году

BIS Journal №1(52)2024

1 июля, 2024

Водите дружбу в облаках! Как банки могут защитить веб-приложения от кибератак в 2024 году

NGENIX — российский облачный провайдер комплексных услуг обеспечения производительности, отказоустойчивости и защиты веб-ресурсов от всех видов кибератак.

 

Удобные веб-приложения — важный фактор конкурентной борьбы

Сегодня ведущие банки делают ставку на доступные, производительные и удобные веб-приложения. Публичный интерфейс для взаимодействия пользователей с банковскими услугами нужен им, чтобы конкурировать за молодую аудиторию, внедрять инновации и выпускать новые цифровые продукты.

При этом веб-приложения существуют в парадигме публичного интернета, который полон угроз. Обеспечение безопасности приложений — важнейшая задача для ИТ- и ИБ-команд, при этом им необходимо найти способ не жертвовать скоростью разработки новых продуктов или доступностью приложения для огромной и географически распределенной аудитории пользователей.

 

Каким угрозам подвержены банковские веб-приложения?

Финансовый сектор продолжает быть одной из ключевых целей для злоумышленников. В 2023 году банки и финансовые учреждения всё еще оставались в топе самых атакуемых сегментов: например, ИБ-компания Solar в 2023 году зафиксировала 6,8 тыс. киберинцидентов, направленных на финансовые организации и связанных с попытками взлома. Доля нацеленных на банки DDoS-атак, составила, по различным данным, от 37% до 40% от общего количества в 2023 году, а их средняя продолжительность достигла 42 часов.

Основными угрозами для веб-приложений банков в 2024 году являются:

  • DDoS-атаки на уровень приложений (L7). Их мощность многократно выросла за два года и может достигать миллионов запросов в секунду. Причины — действия несистемных хактивистов, использующих не связанные между собой IP-адреса, появление более крупных ботнетов, а также найденная весной 2023 года уязвимость в наиболее распространенном протоколе HTTP/2, позволяющая проводить объемные атаки на прикладном уровне.
  • Направленные бот-атаки. В течение последних 2-3 лет борьба с ними стала насущной задачей для любого веб-сайта, который имеет сложную бизнес-логику и предоставляет в публичном интернете интерфейсы, активно обращающиеся к API. Боты используются для брутфорс-атак, направленных на взлом систем и кражу пользовательских данных, а также в различных сценариях эксплуатации логики веб-приложения. Например, так называемый «SMS-бомбинг», при котором боты инициируют отправление SMS для аутентификации на фиктивный номер, может стоить организации нескольких миллионов рублей в месяц.

 

Почему банки не дружат с облаками?

Преимущества облаков в части защиты публичных веб-ресурсов неоспоримы:

  1. Облачные инфраструктуры обладают необходимой эластичностью и запасом емкости, чтобы выдержать любую непрогнозируемую нагрузку — легитимную и нелегитимную. Это позволяет эффективно использовать ресурсы при масштабировании и избежать затрат, связанных с закупкой и поддержкой инфраструктуры «под рост нагрузки», которая может большую часть времени простаивать.
  2. Специализированные платформы бесшовно интегрируют множество функций, нужных для доступности и безопасности веб-ресурса, — это экономически выгодная и более управляемая модель, лишенная рисков интеграции и «серых зон» ответственности.
  3. Облака предоставляют среду для быстрого тестирования продуктовых гипотез и реализации новых цифровых продуктов, сокращая time-to-market и повышая позиции банков в конкурентной борьбе.

Однако ИТ-команды банковского сектора работают в строгих рамках, задаваемых регулятором, и не всегда могут воспользоваться преимуществами публичных облачных платформ для защиты от веб-атак. По нашей последней статистике, публичными облаками полноценно пользуются только 8% банков из российского рейтинга топ-100, тогда как для глобального списка банков топ-100 этот показатель составляет 44%. 

С точки зрения Центрального банка РФ, веб-технологии должны соответствовать 152 ФЗ, ГОСТ Р 57580, также многие финансовые организации ориентируются на соответствие международному стандарту PCI DSS. При этом актуализация стандартов информационной безопасности, задаваемых регулятором, не может происходить так же быстро, как появление новых технологий. 

В этом случае ИБ-специалисты, работающие в сфере банков и финансов, полагаются на выстраивание защищенного контура внутри собственной инфраструктуры или частного облака и использование наложенных средств безопасности. К сожалению, такая архитектура отличается высокими капитальными и эксплуатационными расходами, требует наличия в штате квалифицированных ИБ-кадров, имеющих компетенции в каждом стеке технологий или виде СЗИ, и не способна к быстрому масштабированию под колебания нагрузки. 

 

Как эффективно защитить веб-приложения в 2024 году?

Российские банки ищут компромиссы, позволяющие сохранить соответствие стандартам безопасности и воспользоваться преимуществами облаков. Эти подходы имеют свои плюсы и минусы.

Некоторые банки используют публичные облака, не расшифровывая свой HTTPS-трафик внутри инфраструктуры провайдера. Это, с одной стороны, упраздняет проблему с соблюдением регуляторных стандартов, но, с другой стороны, сводит на нет преимущества публичных облаков. При таком подходе провайдер анализирует не содержимое запроса, а содержимое логов, получаемых с бэкенда банка. При массированных атаках создается высокая нагрузка на ИТ-инфраструктуру банка, повышается объем исходящего трафика — таким образом, экономическая эффективность облачной модели сходит на нет, а при особо мощной атаке бэкенд может не справиться с нагрузкой. Мировые лидеры, задающие стандарты в области защиты веба (например, Cloudflare и Akamai), не рекомендуют подобный подход и считают его неэффективным и даже опасным для доступности веб-приложений. 

Второй способ воспользоваться преимуществами публичных облачных платформ — это архитектурно разделить приложение: например, вывести под отдельный поддомен нечувствительные данные, к которым не применимы требования регулятора в части защиты персональных данных, и полноценно использовать для защиты этой «публичной» части веб-приложения от DDoS и ботов все возможности публичного облака. При этом критически важные данные, к которым применимы требования по обеспечению банковской тайны, остаются внутри защищенного контура, соответствующего всем требованиям регулятора. Однако это не всегда возможно: переписать приложение — это долго, трудоемко, дорого и иногда невозможно. Иногда отказываться приходится и по другим, довольно приземленным, причинам: например, из-за строгости внутренних политик ИБ или конфликта мотиваций между ИТ-командой, отвечающей за доступность веб-ресурсов, и ИБ-командой, отвечающих за снижение рисков. 

Третий способ, который распространен за рубежом, но пока не реализован в России, — это использование публичных облаков, аттестованных по стандарту PCI DSS. При прохождении сертификации облачный провайдер получает зеленый свет от регулятора, что стандарты защиты информации позволяют банку раскрывать свой трафик на узлах провайдера и не подвергать критически важные данные риску. 

 

В заключение

Облака доказали свою эффективность в сегментах рынка, где веб-ресурс является основой бизнес-модели. При этом регуляторные ограничения остаются барьером на пути к более эффективной защите веб-ресурсов банка от актуальных киберугроз. Модель, активно используемая за рубежом и основанная на сертификации публичных облаков по стандарту PCI DSS, представляет собой наиболее оптимальный способ обеспечить защиту публичного веба в банке и доказала свою применимость: так поступают Barklay’s, Bank of America, J. P. Morgan, UBS, Citi и многие другие.

На что нужно обратить внимание тем, кто обеспечивает функционирование и защиту банковских веб-приложений?

  • Всегда думайте о том, что нагрузка на веб-ресурсы может быть непредсказуема;
  • Будьте готовы к компромиссу между командами ИТ и ИБ для обеспечения эффективной защиты веб-приложений;
  • Не полагайтесь на решения on-premise и только собственные силы — практика показывает, что с текущим фоном атак и ограничений противостоять веб-угрозам можно только играя по правилам веб-мира.

 

Реклама. ООО «ССТ», ИНН 7733546298, Erid:2VfnxwSdN9E

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.11.2024
«Глонасс»: Видеокамеры в автомобилях могут выдать геопозицию водителя
29.11.2024
Таргетированные информкампании уберегают россиян от скамеров
29.11.2024
YouTube обращается к российским блогерам, но игнорирует Роскомнадзор?
29.11.2024
«Официальные периоды распродаж — это благодатная почва для злоумышленников»
29.11.2024
О последнем (?) сетевом сбое ноября
28.11.2024
AOSP-проблемы: ограничения в модели распространения и настроения Google
28.11.2024
Минцифры строит планы на ближайшие два года по антифрод-направлению
28.11.2024
На телеком-рынке США впервые признали атаку на сети компании
28.11.2024
Конференция Код ИБ ИТОГИ совсем скоро!
28.11.2024
ВШЭ: Навыки для работы с ИИ требуются представителям разных профессий

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных