Одну из самых дорогих картин мира ― «Крик» Эдварда Мунка ― похищали дважды. Во время зимней Олимпиады 1994 года охранники были увлечены спортивной трансляцией и просто не услышали сигнализацию. А через десять лет инцидент повторился: грабители в масках забрались по строительным лесам и на глазах посетителей забрали другую версию «Крика» (и еще одну картину впридачу), вся операция заняла 58 секунд. В результате музей Мунка закрыли почти на год для усиления мер защиты, поставив ударопрочные стекла для картин, виденаблюдение, рентгеновские сканеры, металлоискатели, ворота безопасности.
Ситуация в банковской сфере немного похожа. В 2017 году мы собрали статистику по 170 компаниям, 23% которых — финансовые организации. Значительная их часть (за исключением тех, которые отличаются высоким уровнем зрелости с точки зрения информационной безопасности, и большей ориентацией на digital) к сожалению до сих пор практикуют поистине музейный консерватизм по отношению к информационной безопасности, применяя только типичный набор средств и мер защиты. Оценивают уровень своей реальной защищенности и внедряют новые технологии защиты (например, самообучаемые механизмы выявления атак) далеко не все.
Большинство участников отрасли слышали об атаках Carbanak и Cobalt (а то и вовсе сталкивались с ними). Эти группировки активно использовали фишинговую рассылку, имитируя финансовую корреспонденцию, письма от службы ИБ, подрядчиков и др. Хорошая новость в том, что 100% банков обучают сотрудников основам информационной безопасности: как минимум, выявлять подозрительные письма и ссылки. Плохая — в том, что эффективность такого обучения не проверяется аж в 57% случаев. Все равно что у студентов отменить экзамены, рассчитывая на их сознательность.
БЕЗОТКАЗНЫЕ ОТМЫЧКИ
При этом «на темной стороне» идет активнейшая работа. Мы уже отмечали, что методы проникновения группы Cobalt в сеть банков очень быстро эволюционируют —фишинговые письма отправляются с почтовых адресов взломанных контрагентов, регистрируются схожие домены, используются вредоносные документы MS Word, имитирующие предупреждения Центробанка, Visa и MasterCard, атакуются личные почтовые ящики сотрудников банка. Потенциально опасные вложения открывают в среднем 20–30% сотрудников. Но в случае с атаками группировки Cobalt, отправляющей письма от лица контрагентов, процент открывших в 2–2,5 раза выше. Поэтому ограничиваться формальным подходом к обучению сотрудников остновам ИБ просто опасно.
Защита периметра в банке сегодня бесполезна без одновременной защиты веб-приложений, так как злоумышленник всегда выбирает наиболее легкий путь. По нашим данным, в трех из четырех случаев периметр можно преодолеть при помощи веба. Через веб взламывали даже таких защищенных «монстров», как JPMorgan Chase. Проблема в том, что контролировать (или поддерживать в актуальном состоянии) безопасность веб-приложений достаточно сложно: они регулярно требуют улучшений и доработок. Пытаясь уложиться в сроки, разработчики полностью фокусируются на функциональности, создавая все больше уязвимостей в исходном коде приложения. Кроме того, идеальную картину всегда подпортят сервисы подрядчиков, защищенность которых не всегда возможно контролировать, и legacy-приложения, которые уже не поддерживаются разработчиками. Эту задачу помогают решать межсетевые экраны прикладного уровня (Web Application Firewall), однако в 2017 году в России для защиты веб-приложений их применяют только 70% банков (из топ-10 по ИБ-бюджету) и лишь 13% среди остальных.
По нашим оценкам, в 36% систем сетевой периметр удается преодолеть из-за недостаточной защиты беспроводных сетей. Во время одного из аудитов безопасности специалисты Posiitve Technologies прямо со стоянки возле офиса смогли подключиться к корпоративной сети компании, перехватить учетные записи нескольких сотрудников и получить все возможности для развития атаки внутри сети. Об опасности автоматического подключения мобильных устойств к знакомым сетям специалисты говорят не первый год: злоумышленники могут использовать поддельную точку доступа для перехвата паролей и логинов. В 2016 году с помощью подобных атак специалисты Positive Technologies успешно перехватывали аутентификационные данные в 75% проектов по анализу защищенности. Но почти каждый четвертый опрошенный нами банк уверен в безопасности своих беспроводных сетей и никогда не проводил анализ их защищенности, еще половина делала аудит только после инцидента.
ВРАГ УЖЕ ВНУТРИ
Представим ситуацию, что преступник уже попал в сеть и пытается захватить контроль на критическими рабочими станциями (АРМ КБР, например). Выявить подозрительную активность возможно с помощью грамотно настроеных SIEM-систем. Однако подобные системы установлены лишь у 65% банков.
Но самая любопытная история была связана с атаками шифровальщиков. WannaCry и NotPetya, кажется, научили бизнес своевременно устаналивать обновления безопасости для исключения уязвимостей. Но нет — у 25% банков-респондентов отсутствует контроль установки обновлений ПО, а 8% не отслеживают появление информации о новых уязвимостях (0-day).
Можно предположить, что кредитные организации не осознают потенциальный ущерб. Но у всех перед глазами ситуации с «Металлинвестбанком» или «Глобэкс». В первом случае потери составили 200 миллионов рублей, во втором случае преступникам удалось по разным оценкам забрать из банка 80 млн рублей, причем преступники уже вывели 75 млн долларов, но SWIFT в своих системах заморозил большую часть суммы.
Более половины участников нашего опроса оценили предполагаемые потери от кражи базы данных клиентов конкурентом в сумму более 50 млн руб. Треть оценивают минимальный ущерб от нарушения деятельности в течение одного дня в 50 млн рублей. Эти суммы превышают годовой бюджет на ИБ большинства опрошенных финансовых учреждений, который ограничиваются суммами в 20-40 млн рублей.
Как мы видим, российские банки хорошо понимают возможные потери. Однако только 13% опрошенных организаций финсектора применяют комплексный подход к защите от киберугроз. Иными словами, один банк защищается от веб-атак, но не учит сотрудников выявлять потенциально опасные вложения в письмах, второй анализирует защищенность Wi-Fi-сетей, но никогда не проводит работ по тестированию на проникновение. Поэтому опасность может прийти откуда угодно.
ВЫНУТЬ ГОЛОВУ ИЗ ПЕСКА
Вышеперечисленные проблемы касаются кредитных организаций со средними и небольшими затратами на информационную безопасность. Но и банкам, расходующим на ИБ выше 100 млн руб. в год, рано почивать на лаврах. Уровень защищенности «слабого звена» определяет, в конечном счете, прочность всей системы, и чем быстрее растет инфраструктура, тем сложнее следить за ней.
Не так давно мы рассказывали, насколько легко найти уязвимые сервисы банков в открытом доступе, в том числе в инфраструктуре топ-25 крупнейших кредитных организаций. Если коротко, то сегодня целенаправленные атаки на банки не требуют особых финансовых затрат: вместо специальных сканеров может быть использован Google, вместо уязвимостей нулевого дня — эксплойт-паки, слитые группой The Shadow Brokers. Согласно нашему опросу, каждый восьмой банк не проводит инвертаризацию своих ресурсов, а каждый третий делает это только для получения информации о ресурсах и не оценивает их защищенность.
Так что же делать? Основной принцип — не закрывать глаза на проблему, а находить оптимальное ее решение. Если отказ от установки актуальных патчей для печально-знаменитого протокола SMBv1 связан с опасениями по поводу корректности работы бизнес-процессов, значит обходимо принимать альтернативные шаги, выделяя такие системы в отдельный сетевой сегмент и блокируя к нему доступ из пользовательской сети.
Любой банк проводит тренировочные учения на случай пожара, но как действовать при блокировке шифровальщиком рабочих станций не всегда знает даже специалист по ИБ. При устройстве в банк нового сотруднкиа служба безопасности, как правило, неделями проверяет его биографию, однако к инструктажу сотрудников в вопросах ИБ банки подходят не столь внимательно. В итоге специалист вполе может открыть зараженное письмо с очередной счет-фактурой, передавая управление своим ПК неизвестному киберпреступнику.
Каждая финансовая организация — мишень для терпеливых, скурпулезных целевых атак. В данных случаях традиционный набор средств информационной безопасности оказывается несостоятельным в девяти случаев из десяти. При этом такие атаки не требуют больших инвестиций. И если вы планируете защитить свой банк от групп подобных Cobalt, необходимо учитывать перечисленные особенности.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных