BIS Journal №1(28)/2018

2 марта, 2018

Мишень для терпеливых

Одну из самых дорогих картин мира ― «Крик» Эдварда Мунка ― похищали дважды. Во время зимней Олимпиады 1994 года охранники были увлечены спортивной трансляцией и просто не услышали сигнализацию. А через десять лет инцидент повторился: грабители в масках забрались по строительным лесам и на глазах посетителей забрали другую версию «Крика» (и еще одну картину впридачу), вся операция заняла 58 секунд. В результате музей Мунка закрыли почти на год для усиления мер защиты, поставив ударопрочные стекла для картин, виденаблюдение, рентгеновские сканеры, металлоискатели, ворота безопасности.

Ситуация в банковской сфере немного похожа. В 2017 году мы собрали статистику по 170 компаниям, 23% которых — финансовые организации. Значительная их часть (за исключением тех, которые отличаются высоким уровнем зрелости с точки зрения информационной безопасности, и большей ориентацией на digital) к сожалению до сих пор практикуют поистине музейный консерватизм по отношению к информационной безопасности, применяя только типичный набор средств и мер защиты. Оценивают уровень своей реальной защищенности и внедряют новые технологии защиты (например, самообучаемые механизмы выявления атак) далеко не все.

Большинство участников отрасли слышали об атаках Carbanak и Cobalt (а то и вовсе сталкивались с ними). Эти группировки активно использовали фишинговую рассылку, имитируя финансовую корреспонденцию, письма от службы ИБ, подрядчиков и др. Хорошая новость в том, что 100% банков обучают сотрудников основам информационной безопасности: как минимум, выявлять подозрительные письма и ссылки. Плохая — в том, что эффективность такого обучения не проверяется аж в 57% случаев. Все равно что у студентов отменить экзамены, рассчитывая на их сознательность.

БЕЗОТКАЗНЫЕ ОТМЫЧКИ

При этом «на темной стороне» идет активнейшая работа. Мы уже отмечали, что методы проникновения группы Cobalt в сеть банков очень быстро эволюционируют —фишинговые письма отправляются с почтовых адресов взломанных контрагентов, регистрируются схожие домены, используются вредоносные документы MS Word, имитирующие предупреждения Центробанка, Visa и MasterCard, атакуются личные почтовые ящики сотрудников банка. Потенциально опасные вложения открывают в среднем 20–30% сотрудников. Но в случае с атаками группировки Cobalt, отправляющей письма от лица контрагентов, процент открывших в 2–2,5 раза выше. Поэтому ограничиваться формальным подходом к обучению сотрудников остновам ИБ просто опасно.

Защита периметра в банке сегодня бесполезна без одновременной защиты веб-приложений, так как злоумышленник всегда выбирает наиболее легкий путь. По нашим данным, в трех из четырех случаев периметр можно преодолеть при помощи веба. Через веб взламывали даже таких защищенных «монстров», как JPMorgan Chase. Проблема в том, что контролировать (или поддерживать в актуальном состоянии) безопасность веб-приложений достаточно сложно: они регулярно требуют улучшений и доработок. Пытаясь уложиться в сроки, разработчики полностью фокусируются на функциональности, создавая все больше уязвимостей в исходном коде приложения. Кроме того, идеальную картину всегда подпортят сервисы подрядчиков, защищенность которых не всегда возможно контролировать, и legacy-приложения, которые уже не поддерживаются разработчиками. Эту задачу помогают решать межсетевые экраны прикладного уровня (Web Application Firewall), однако в 2017 году в России для защиты веб-приложений их применяют только 70% банков (из топ-10 по ИБ-бюджету) и лишь 13% среди остальных.

По нашим оценкам, в 36% систем сетевой периметр удается преодолеть из-за недостаточной защиты беспроводных сетей. Во время одного из аудитов безопасности специалисты Posiitve Technologies прямо со стоянки возле офиса смогли подключиться к корпоративной сети компании, перехватить учетные записи нескольких сотрудников и получить все возможности для развития атаки внутри сети. Об опасности автоматического подключения мобильных устойств к знакомым сетям специалисты говорят не первый год: злоумышленники могут использовать поддельную точку доступа для перехвата паролей и логинов. В 2016 году с помощью подобных атак специалисты Positive Technologies успешно перехватывали аутентификационные данные в 75% проектов по анализу защищенности. Но почти каждый четвертый опрошенный нами банк уверен в безопасности своих беспроводных сетей и никогда не проводил анализ их защищенности, еще половина делала аудит только после инцидента.

ВРАГ УЖЕ ВНУТРИ

Представим ситуацию, что преступник уже попал в сеть и пытается захватить контроль на критическими рабочими станциями (АРМ КБР, например). Выявить подозрительную активность возможно с помощью грамотно настроеных SIEM-систем. Однако подобные системы установлены лишь у 65% банков.

Но самая любопытная история была связана с атаками шифровальщиков. WannaCry и NotPetya, кажется, научили бизнес своевременно устаналивать обновления безопасости для исключения уязвимостей. Но нет — у 25% банков-респондентов отсутствует контроль установки обновлений ПО, а 8% не отслеживают появление информации о новых уязвимостях (0-day).

Можно предположить, что кредитные организации не осознают потенциальный ущерб. Но у всех перед глазами ситуации с «Металлинвестбанком» или «Глобэкс». В первом случае потери составили 200 миллионов рублей, во втором случае преступникам удалось по разным оценкам забрать из банка 80 млн рублей, причем преступники уже вывели 75 млн долларов, но SWIFT в своих системах заморозил большую часть суммы.

Более половины участников нашего опроса оценили предполагаемые потери от кражи базы данных клиентов конкурентом в сумму более 50 млн руб. Треть оценивают минимальный ущерб от нарушения деятельности в течение одного дня в 50 млн рублей. Эти суммы превышают годовой бюджет на ИБ большинства опрошенных финансовых учреждений, который ограничиваются суммами в 20-40 млн рублей.

Как мы видим, российские банки хорошо понимают возможные потери. Однако только 13% опрошенных организаций финсектора применяют комплексный подход к защите от киберугроз. Иными словами, один банк защищается от веб-атак, но не учит сотрудников выявлять потенциально опасные вложения в письмах, второй анализирует защищенность Wi-Fi-сетей, но никогда не проводит работ по тестированию на проникновение. Поэтому опасность может прийти откуда угодно.

ВЫНУТЬ ГОЛОВУ ИЗ ПЕСКА

Вышеперечисленные проблемы касаются кредитных организаций со средними и небольшими затратами на информационную безопасность. Но и банкам, расходующим на ИБ выше 100 млн руб. в год, рано почивать на лаврах. Уровень защищенности «слабого звена» определяет, в конечном счете, прочность всей системы, и чем быстрее растет инфраструктура, тем сложнее следить за ней.

Не так давно мы рассказывали, насколько легко найти уязвимые сервисы банков в открытом доступе, в том числе в инфраструктуре топ-25 крупнейших кредитных организаций. Если коротко, то сегодня целенаправленные атаки на банки не требуют особых финансовых затрат: вместо специальных сканеров может быть использован Google, вместо уязвимостей нулевого дня — эксплойт-паки, слитые группой The Shadow Brokers. Согласно нашему опросу, каждый восьмой банк не проводит инвертаризацию своих ресурсов, а каждый третий  делает это только для получения информации о ресурсах и не оценивает их защищенность.

Так что же делать? Основной принцип — не закрывать глаза на проблему, а находить оптимальное ее решение. Если отказ от установки актуальных патчей для печально-знаменитого протокола SMBv1 связан с опасениями по поводу корректности работы бизнес-процессов, значит обходимо принимать альтернативные шаги, выделяя такие системы в отдельный сетевой сегмент и блокируя к нему доступ из пользовательской сети.

Любой банк проводит тренировочные учения на случай пожара, но как действовать при блокировке шифровальщиком рабочих станций не всегда знает даже специалист по ИБ. При устройстве в банк нового сотруднкиа служба безопасности, как правило, неделями проверяет его биографию, однако к инструктажу сотрудников в вопросах ИБ банки подходят не столь внимательно. В итоге специалист вполе может открыть зараженное письмо с очередной счет-фактурой, передавая управление своим ПК неизвестному киберпреступнику.

Каждая финансовая организация — мишень для терпеливых, скурпулезных целевых атак. В данных случаях традиционный набор средств информационной безопасности оказывается несостоятельным в девяти случаев из десяти. При этом такие атаки не требуют больших инвестиций. И если вы планируете защитить свой банк от групп подобных Cobalt, необходимо учитывать перечисленные особенности. 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку
10.10.2024
Эксперты UserGate обнаружили критическую уязвимость в Zangi
10.10.2024
«Вне зависимости от мотивации преступников успешная атака на крупный бизнес выглядит привлекательнее всего»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных