Читать статью в pdf-формате
Как построить эффективную систему защиты банка от современных целевых атак
Самый безопасный банк — тот, который закрыт на ключ, а еще лучше — залит бетоном. Но вот незадача: любая активность подразумевает определенную свободу действий и, как следствие, приводит к возникновению уязвимостей. А с развитием дистанционного банкинга и расширением digital-каналов количество уязвимостей растет в геометрической прогрессии. Атаки сегодня нацелены в конкретную уязвимую точку бизнес-процесса. Как меняется вектор угроз, и что делать банку для защиты от новых видов мошенничества?
Случаев хищений в банках, совершенных внутренними злоумышленниками, по статистике, больше, чем при внешних проникновениях. Приведу пример из моей профессиональной практики. Сотрудник банка украл деньги. В ходе расследования, по заключению службы ИБ, выясняется, что
аномальной активности в системе зафиксировано не было — «забор» (защита внешнего контура) цел. По словам сотрудников IT, все права доступа получены штатно, а представители службы охраны заверяют: человек прошел проверку. Но факт остается фактом — деньги украдены. Как же так? Перечень возможных причин можно легко сократить до двух, наиболее вероятных: вор проник через «дырку в заборе», о которой еще не догадываются сотрудники службы ИБ, или воспользовался недостатками системы контроля выполняемого бизнес-процесса.
Принципы построения современной защиты банка
Современные атаки прицельны, они направлены на конкретные точки бизнес-процессов и работают по еще не изученным мошенническим схемам. Конечно, без систем охраны периметра можно забыть о безопасности в принципе, но защита внешнего контура от типовых угроз сегодня уже не обеспечивает должную защищенность. В случае целевой атаки такая защита может не сработать вообще.
Банк — не монолитная система. Точками атак для злоумышленников становятся, как правило, стыки систем — часто это шлюзы для межбанковских операций и обмена платежами с Банком России, SWIFT и другими системами, например, карточного процессинга с АБС. Если для защиты бизнес-процессов внешнего взаимодействия использовать универсальные средства, не понимая самого процесса, прицельные атаки будут пропущены. При этом канал внешнего обмена может быть защищен, а вот перемещаемые между системами файлы — оставаться уязвимыми. Именно это, зачастую, становится причиной подмены их содержимого. Такие инциденты пытаются предотвращать средствами операционных систем, путем ограничения доступа. Но последние известные случаи атак во многом дискредитировали такой способ защиты. Первым действием злоумышленника было получение прав уровня системы, что делало все файлы доступными для чтения и модификации.
Укрепление защиты шлюза или содержимого файла обмена смещает направление вектора угроз на системы, его формирующие или принимающие.
Принципы построения современной защиты банка
Если проанализировать успехи современных атак, становится очевидно: каждой из них предшествовала серьезная аналитическая работа. Грубо говоря, мошенники искали, куда «ударить». Исходя из этого, логично предположить, что максимальной эффективности вложений в обеспечение безопасности можно добиться при защите конкретных бизнес-процессов и наиболее критичных мест в них.
Разумнее всего начать с анализа бизнес-процессов банка, чтобы найти те «узкие места», которые могут быть атакованы. Вокруг этих условных точек для возможного вывода денег и нужно строить систему защиты. Порой достаточно внести лишь некоторые изменения в бизнес-процесс, чтобы устранить уязвимую часть или практически исключить возможность ее использования в деструктивных целях.
Обратитесь к разработчику
Аудит бизнес-процессов целесообразнее проводить совместно с разработчиком АБС, который досконально знает систему и сможет проанализировать их быстрее и, главное, тщательнее. Найденные в процессах слабые места также эффективней устранять при участии вендора. Стороннее ПО, установленное вне системы, но имеющее неконтролируемый доступ к базе данных, создает условия для успешной атаки.
При подключении стороннего ПО банк всегда может обратиться к поставщику АБС, который предоставит адаптер для контролируемого и безопасного выполнения строго заявленных функций.
От взаимодействия с разработчиком банк получает и сопутствующий бизнес-эффект. Нередки случаи, когда после аудита бизнес-процессов обмена двух систем выясняется, что в нескольких местах, кроме недостатка в безопасности, производятся лишние действия, которые серьезно замедляют обработку. А это уже основание для оптимизации всего процесса.
Средства диагностики и защиты уязвимых точек бизнес-процессов
Как мы выяснили, чтобы противостоять современным атакам, недостаточно использовать решения для защиты от универсальных угроз. Целесообразно применять продукты, которые защитят бизнес-процессы банка. Нет смысла долго искать партнера для создания системы ИБ, отвечающей современным реалиям и не предполагающей глобальной трансформации IT-системы. Мало кто сможет разобрать их на «молекулы» лучше, чем разработчик вашей АБС, не говоря уже об изменениях внутри системы.
Системы «Диасофт» работают во многих ведущих банках России и практически в каждом третьем из списка топ‑100. С учетом опыта работы на банковском рынке, на фоне участившихся изощренных кибератак, в 2017 году мы создали центр компетенции по информационной безопасности. За год мы не только укрепили защиту использования продуктов компании, но и создали пул отдельных решений в сфере ИБ.
В портфолио продуктов «Диасофт» есть эффективные инструменты для защиты наиболее проблемных точек бизнес-процессов банка. Так, мы готовы защитить каналы вывода средств, обеспечив криптозащиту файлового обмена с внешними системами (АРМ КБР-Н и SWIFT), систем внутренних платежей, межсистемного обмена, внедрить усиленную аутентификацию и проверку действий сотрудников, участвующих в наиболее критичных бизнес-процессах.
Необходимо купировать возможную атаку уже при первых признаках нестандартной активности. Но что такое нестандартная активность? Если изменить в платеже какие-то данные, обычная система аналитики может этого не заметить. Сотрудник отправлял тысячи платежей, и этот не выбьется из статистики. Эффективно работающая система должна не только фиксировать факт внесения каких-то изменений, но и уметь распознавать потенциально опасные действия и операции.
Робот в помощь
Если через контролера ежечасно проходят сотни и тысячи платежей, и каждый он просматривает за доли секунд, становится ясно, что контроля нет. Мы даем ему в помощь робота — решение, построенное по принципу фильтров, которые при настройке позволяют собирать потоки платежей, делить их на потенциально опасные и безопасные, направляя затем в зоны «красного и зеленого коридоров» соответственно. На проверку контролеру поступают только те операции, которые не соответствуют критериям «зеленой» зоны или попали в «красную». В зависимости от настроек, система может отправить критичные несоответствия на дополнительный контроль в службу ИБ либо остановить операцию. Критерии определяет сам банк, возможно, с нашей помощью, учитывая историю прошлых инцидентов и лучшие практики «Диасофт» в обеспечении защиты банковских систем. Робот служит как бы дополнительной «парой глаз» (кроме оператора и контролера) к прописанным нормативами Банка России «четырем глазам защиты». Так мы обеспечиваем защиту внутри системы банка.
Message Guard, LAU, Data Base Guard…
В июне прошлого года Межрегиональный центр обработки информации ЦБ РФ выпустил информационное письмо о разработке новой версии программного обеспечения комплекса АРМ КБР-Н для участников обмена электронными сообщениями при переводе денежных средств через платежную систему Банка России. Защитить канал внешнего взаимодействия с платежной системой ЦБ РФ позволит решение Message Guard «Защита электронных сообщений». Оно использует криптографическую защиту информации, передаваемой IT-системой на бесфайловом уровне, что исключает возможность подмены или изменений документа.
В обмене документами SWIFT угрозу подлога электронных сообщений можно предотвратить с помощью технологии LAU, реализованной в продуктах «Диасофт». Включение такой защиты в ПО SWIFT станет обязательным.
Следующий уровень безопасности — защита доступа в базы данных. Для этого «Диасофт» разработал Data Base Guard — средство контроля активности, сервер, который анализирует всю информацию при запросе или передаче ее в базу данных. Мы можем отслеживать не только изменения текста запросов, но и нетипичные суммы, номера счетов и т. д. При этом фиксируются не только изменения, но и сам факт доступа к данным конкретных клиентов и их счетам (VIP, «якорные» клиенты, «клиенты-локомотивы» и т. д.).
Большая проблема современной информационной безопасности связана с авторизацией пользователей паролями. Вычислительные средства становятся все мощнее, в итоге даже 12-значный пароль может быть подобран за полмесяца, типичный же пароль из 6–8 знаков взламывается за секунды. Функционал платформы Diasoft FA# Beans дополняет процесс осуществления доступа к системе банка еще одним этапом аутентификации — так называемым «вторым фактором», который позволяет исключить возможность действий от имени другого пользователя даже при условии знания данных для входа. Мы внедрили в систему алгоритм временных паролей (TOTP), которые действуют одну минуту. Они генерируются мобильным приложением или специальным токеном, не использующим для своей работы сетевой обмен и исключающим возможность перехвата. Целесообразно применять этот механизм, зная уязвимые точки бизнес-процесса и понимая, какие его звенья могут быть атакованы. Это может защитить банк даже от современных уязвимостей, например, от троянских программ «нулевого дня», которые проникают в машину пользователя незаметно, перехватывают его логин, пароль и передают их злоумышленнику для атаки от имени пользователя. Классический антивирус такую атаку часто пропускает, так как имеет дело с новым видом вредоносного ПО, который еще не фигурирует ни в антивирусной базе, ни в алгоритмах определения подозрительной активности.
Защита АБС — залог безопасности
Каждый банк старается чем-то отличиться от конкурентов, и это ведет к значительной доле кастомизации в IT-системах. В итоге, где-то строгий контроль есть, а где-то — нет. Мы разработали инструмент, который контролирует выполняемый код АБС от «Диасофт». Как только он находит в коде системы, отчетах или иных доступных для изменения кода местах скорректированный или неподписанный элемент, тут же сигнализирует об этом в лог АБС, службу ИБ и IT банка. Как правило, случаи несанкционированного изменения кода приводят к инцидентам, при злонаменеренном изменении кода в АБС даже правильные действия сотрудника будут отображаться некорректно. Поэтому любое изменение кода, инициированное без участия служб IT и ИБ, подлежит расследованию. Мы создали это решение в ответ на изменение вектора угроз в сторону АБС и ее СУБД. Функционал защиты кода предоставляется клиентам в рамках договора сопровождения. Ценно то, что такая мера предотвращает угрозы, от которых другой адекватной защиты сегодня не существует.
Следующий шаг в усилении защиты АБС — дополнительная криптозащита критичной информации. Разумеется, мы уже сейчас поддерживаем стадии ее жизненного цикла. В соответствии с требованиями закона № 152-ФЗ «О персональных данных», в продуктах «Диасофт» реализованы отзыв обработки, удаление и обезличивание персональных данных с контролем наличия действующих контрактов и сроков действия согласий на обработку. Для пользователей систем реализовано упорядочивание прав доступа в роли с возможностью гибкой адаптации набора прав при перемещении сотрудников или изменениях в бизнес-процессах с их участием.
Компания «Диасофт» разрабатывает решения так, чтобы они не влияли (или влияли минимально) на производительность систем и бизнес-процессы банка. В большинстве случаев, решения служат инструментом контроля и оповещения о подозрительной активности. Право предпринимать дальнейшие действия неизменно остается за банком.
Игорь Легезин
директор направления информационной безопасности компании «Диасофт»