В последние годы каждый поставщик решений для ИБ рассказываето растущих угрозах, новых векторах атак и расширении инструментариязлоумышленников. Это все правда: и угрозы растут, и ущерб российских компаний откибератак резко увеличился. Участники конференции называли такие данные: более70 млн атак в 2016 году, которые нанесли только прямой ущерб на p200 млрд.

Обычно это приводит к тому, что бизнес начинает более активнозащищаться – а для кредитных организаций это вообще вопрос выживания на рынке, – приобретаявсе новые и новые программы и системы. Все они требуют денег не только напокупку, но и на интеграцию, сопровождение, продление лицензий, на найм иобучение специалистов. При этом результат достигается не мгновенно, если внедряетсясложная комплексная система.

SecaaS вместо зоопарков

Руководитель направления «Информационная безопасность» МРФЦентра «Ростелекома» Александр Малявкинговорит, что в крупной компании сегодня можно насчитать до 50–70 инструментов ИБ.И, если решать проблему своими силами, на выходе неизбежен зоопарк систем,тяжелый во владении как с финансовой, так и с организационной точки зрения. Говоря о его эффективности, он напомнилмнение многих специалистов по ИБ, считающих, что «первый рубеж обороны сдан; мыеще защищаем периметры от многих угроз, но классическая схема перестаетработать – враг уже внутри».

Для защиты информационных активов нужны постоянныймониторинг и расследование инцидентов, чтобы ловить врага внутри своей сети. Носделать это самостоятельно могут не все. Поэтому эксперт «Ростелекома» предлагаетиспользовать провайдерские услуги класса «безопасность как сервис» – SecaaS. Насегодняшний день есть несколько моделей взаимодействия клиента с провайдером:когда инфраструктура находится у клиента или переезжает в ЦОД поставщика услуг.

Защита инфраструктуры компании силами оператора

Источник: «Ростелеком», 2017

Кредитным организациям в связи с требованиями регуляторов по безопасности изащите клиентских данных больше подходит вариант, когда дата-центр остается натерритории компании, а оператор берет на себя задачу защиты этойинфраструктуры. У «Ростелекома» этим занимается его собственный SecurityOperation Center – Оперативный центр мониторинга информационной безопасности.

«Иди и сломай»

«Первый рубеж сдан – враг внутри» воспринимается в первуюочередь как намек на инсайдеров. И они выявляются во многих компаниях, которым естьчто терять в конкурентной борьбе. В инвестиционнойкомпании QBF, по словам ее CIO Ивана Августона, служба ИБ однажды выявилаинсайдера. Правда, выяснилось, что он не работал на конкурентов и не пыталсянавредить своей организации, а лишь собирал данные о том, как устроенаинвестиционная компания, чтобы создать свою собственную.

На конференции Иван Августон поделился интересным опытом проверки своей инфраструктуры на устойчивость к инсайдерским атакам. Всезнают, что систему безопасности нужно тестировать, но, если в компании иесть служба ИБ, то обычно это всего 2-3 человека, у которых достаточно обширный круг задач.Поэтому для многих тестирование проходит чаще всего во время предпродажныхпереговоров с поставщиками ИБ, которые всеми силами стремятся показатьуязвимость существующего периметра своих потенциальных клиентов, и для этогопроводят показательные взломы.

В QBF,по словам Ивана Августона, система безопасности достаточно надежная, и особоезначение уделяется защите от инсайдеров: созданы регламенты, установлены СКУД ивидеонаблюдение, сеть сегментирована, разграничен доступ к компьютерам и оргтехнике,право записи данных на флешки предоставлено только «избранным», и т.д. Но у руководства безреальной проверки оставались сомнения в эффективности принятыхмер. Тогда компания наняла «тайного покупателя»: в клиентский офис на позициюфинансового советника был взят новый сотрудник. Только три человека знали, чтоего главной задачей был взлом сети. «В течение месяца он должен был совершить любоеуспешное действие: получить доступ к БД, серверам CRM,к охранным системам, составить карту сети или нарушить ее работу.

Работавший под прикрытием сотрудник пробовалразные способы: пытался зайти в сеть с личного ноутбука, использовать утилитыдля получения привилегий администратора, взламывать сеть через корпоративную почту, Wi-Fi и так далее. Ничегосделать не удалось: ни одной базы не скопировано, ни одного листа не напечатано,все ограничилось взломом локальной рабочей станции. Но эта работа позволила намулучшить систему мониторинга и оповещения службы ИБ о подозрительнойактивности, потому что мы видели не все действия, которые были произведены».

Как остаться безденег на счете – 101-й способ

В результате регистрации на мошенническом сайте можнолишиться средств на банковском счете: специалисты по информационнойбезопасности, выступавшие на конференции, отмечают рост числа такихпреступлений в последнее время.

Атака вируса WannaCry вызвала всплеск внимания бизнеса и специалистов к постояннорастущим киберугрозам. Одна из них – сбор злоумышленниками конфиденциальныхданных пользователей с помощью мошеннических сайтов и последующее использованиеэтой информации в преступных целях. «Мы наблюдаем трансформациюкиберпреступности, которая все чаще использует сайты-агрегаторы, содержащиесобранный с других сайтов контент – обычно это видеоролики, порно и игры.Единственная цель этих сайтов – анализ активности пользователя в сети и сборлогинов и паролей со всех сайтов, на которые он заходит», – пояснил ведущийразработчик «Совкомбанка» АндрейБухтияров.

Варианты защиты входа в интернет-банк

Источник: «Совкомбанк», 2017

По словам эксперта, далее эти логины и пароли используются длямасштабных агрегированных атак на банки, в ходе которых преступникам остаетсятолько подобрать второй фактор аутентификации – обычно это цифровой пароль изСМС. При установленных мошенниками десятках тысяч одновременных соединений сбанком вероятность угадать пароль и вывести деньги достаточно высока. Агрегаторыявляются одной из наиболее удобных форм сбора данных для преступников,поскольку они собирают популярный контент и быстро привлекают большое числопользователей.

Андрей Бухтияров предлагает в качестве решения для усиления защитысистем ДБО использовать, в частности, изменяемые логины, изменяемый пароль навход, не показывать клиенту его номер телефона, чтобы эти данные не перехватилизлоумышленники, а также применять ряд других решений. «Одна из последних историйкак раз была связана с номерами телефонов, которые собирал сайт-агрегатор. Мыраньше не видели такого масштабного сбора номеров. Сама атака пока незафиксирована, видимо, ее следует ожидать в ближайшее время. Это толькоукрепило нас в уверенности, что нельзя открыто показывать номер телефона,указанный клиентом банка», – добавил эксперт.

Презентации участников конференции