Все
разделы

Публикации

Сетевые атаки: банки под прицелом

Российские банки подвергаются атакам почти каждый день. По нашим данным, чаще всего они сталкиваются с DDoS-атаками (Distributed Denial of Service — «распределенная атака на отказ в обслуживании»). Это средство недобросовестной конкурентной борьбы, которое можно применять результативно и со все меньшими затратами. Как банку противостоять атакам такого рода? 

Риски финансовые и репутационные

Организация DDoS-атаки обходится всего в несколько долларов в час

Организация DDoS-атаки обходится всего в несколько долларов в час. Атака такого типа часто используется для отвлечения внимания и проведения других типов атак – например, взлома сайта или веб-приложений.

О серьезности и масштабах проблемы говорит тот факт, что 8 и 9 ноября 2016 года была проведена целая серия DDoS-атак на ряд крупнейших российских банков, в том числе Сбербанк, Альфа-Банк, ВТБ Банк Москвы и Росбанк. Основной целью хакеров было обрушение работы сайтов. Для этого злоумышленники использовали многовекторные атаки типа syn-flood (атаки на исчерпание ресурсов операционной системы) и http-flood (атаки на веб-сервер с целью вызвать перегрузку и прекращение доступа к ресурсу). Это были сложные высокоскоростные атаки, максимальная ширина которых составила около 2 ГБ/с. 

Убытки от атак на отказ в обслуживании влияют не только на финансовую составляющую банка, но и влекут за собой репутационные риски. В случае недоступности систем ДБО банк может потерять крупных клиентов. Применительно к любой из электронных площадок убытки из-за кратковременного простоя информационной системы могут составлять порядка 50 тыс. долларов. А при многочасовом простое существует реальная угроза существованию бизнеса в целом.

Повышается риск отзыва лицензии, а взлом сервисов и устройств на сетевом периметре может грозить отзывом сертификации (PCI DSS)

В случае инцидента повышается риск отзыва лицензии, а взлом сервисов и устройств на сетевом периметре может грозить отзывом сертификации (PCI DSS).

Последствия инцидентов в области информационной безопасности

Почему не работают решения операторского уровня

Для нейтрализации атак на отказ в обслуживании многие банки выбирают решения операторского уровня. Как правило, оператор связи уже имеет подключение к инфраструктуре финансовой организации и предлагает защиту от DDoS как дополнительную услугу. Поэтому финансовые организации могут легко воспользоваться этой защитой без  какой-либо настройки со своей стороны.

Атака создает аварийную ситуацию на сервере и стабилизировать его работу без прекращения работы домена не представляется возможным

Однако сегодня этот метод устаревает: решение на стороне оператора уже не может обеспечить защиту от целых классов атак. Более того, проблема таких решений в отсутствии прописанных в договоре гарантий по обеспечению доступности ресурса в случае проведения широкополосных атак. Если происходит сложная атака, оператор не всегда может с ней справиться, поскольку сети провайдеров не строятся в расчете на экстремальные нагрузки и не могут противостоять высокоскоростным атакам. В таком случае оператор отключает маршрутизацию трафика, идущего на сайт атакуемой компании, так как атака создает аварийную ситуацию на сервере и стабилизировать его работу без прекращения работы домена не представляется возможным.

Зачем нужны геораспределенные сервисы

Несмотря на то, что в банковской среде до сих пор для противодействия атакам в большей степени используются решения операторов связи, в будущем индустрия  неизбежно начнет двигаться в сторону специализированных геораспределенных сервисов. Их преимущество в том, что подобные решения изначально спроектированы в расчете на работу под постоянным воздействием большого числа атак. И DDoS-атаки, проводимые на ресурс одного из клиентов, никак не влияют на работоспособность сайтов других клиентов. Каждый сервер работает автономно, а выход из строя одного из них не сказывается на работе других – нагрузка перераспределяется. Это позволяет противодействовать атакам на канал. А понимание архитектуры интернета дает возможность получать важную информацию в части сетевой инфраструктуры: то есть знать, что происходит с системой маршрутизации.

Специализированные геораспределенные решения противодействия DDoS-атакам анализируют не только статистические данные о трафике, но и проводят глубокий анализ содержимого пакетов (как в зашифрованном виде, так и с передачей SSL-ключа поставщику услуги), поведения пользователей. Такие системы самосовершенствуются, благодаря встроенным алгоритмам машинного обучения. Они могут учитывать особенности бизнеса каждого конкретного клиента, что невозможно в случае с операторскими решениями.

Нет ни одного банка, на который хотя бы раз не была совершена кибератака

Финансовый сектор находится в зоне повышенного риска:  уже нет ни одного банка, на который хотя бы раз не была совершена кибератака. Подходы к обеспечению ИБ должны трансформироваться в соответствии с быстрыми изменения ситуации на рынке. Это определяет не только защищенность бизнеса, но и возможности его дальнейшего развития. Кроме того, очень важно, чтобы поставщики услуг фильтрации трафика следили за тем, как меняются угрозы и адаптировали свое решение под них. Банкам же следует переосмыслить политики безопасности, качественно оценить риски и предпринять все необходимые меры, чтобы минимизировать ущерб и сохранить своих клиентов.

Александр Лямин , для Банкир.Ру