Все
разделы

Публикации

Враг внутри: почему хакеры обыгрывают банкиров

Банки тратят миллионы на обеспечение информационной безопасности, однако множество инцидентов заставляет усомниться в целесообразности некоторых трат. Например, таких, как в случае с «Металлинвестбанком», когда потери составили 200 млн рублей, или с «Глобэксом», который, по слухам, чуть не лишился 75 млн долларов. Поэтому есть смысл проанализировать, разумно ли финансовые учреждения распоряжаются доступными им ресурсами.

Студенты без экзаменов

Мы поинтересовались у 170 российских компаний, как распределяется их бюджет на информационную безопасность (ИБ). Почти четверть респондентов (23%) представляли банковскую отрасль. Как выяснилось, лишь 13% банков используют целостный подход к защите от киберугроз, не ограничиваясь мерами, обусловленными требованиями законодательства. К слову, именно благодаря требованиям законодательства и руководящих документов (например, таких как СТО БР и PCI DSS) все финансовые учреждения повышают осведомленность сотрудников в вопросах ИБ. Другой вопрос, что проверяют эффективность такого обучения чуть больше половины (57%). Это все равно что у половины студентов отменить экзамены в расчете на их сознательность!

Вредоносные документы имитировали предупреждения Центробанка, Visa и Mastercard, причем рассылка велась не только по рабочим, но и по личным почтовым ящикам сотрудников

Как мы знаем, фишинг представляет серьезную угрозу для любой компании. Мало кто из банковских специалистов, занимающихся вопросами информационной безопасности, не слышал об атаках Carbanak и Cobalt. Эти группировки активно использовали фишинговую рассылку. В частности, вредоносные документы группы Cobalt в 2017 году имитировали предупреждения Центробанка, Visa и Mastercard, причем рассылка велась не только по рабочим, но и по личным почтовым ящикам сотрудников банков. Фишинговые письма отправлялись и с почтовых адресов взломанных контрагентов. Такой подход увеличил долю открывших вложения от Cobalt сотрудников в два – два с половиной раза, хотя обычно фишинг срабатывает в 20–30% случаев (что, впрочем, тоже весьма чувствительно). Очевидно, что ограничиваться формальным подходом к обучению сотрудников основам ИБ просто опасно.

Сайты и запоздалые инсайты

Немало проблем связано с веб-приложениями. Через них взламывали даже таких защищенных «монстров», как JPMorgan Chase, где после утечки 83 млн персональных данных пообещали увеличить затраты на ИБ вдвое, до полумиллиарда долларов. До сих пор наши специалисты в ходе пентестов в трех из четырех случаев преодолевают сетевой периметр и проникают в локальную сеть компании, используя именно уязвимости веб-приложений. После отчетов Gartner и Verizon всем известно, что веб-приложения уязвимы, но поддерживать в актуальном состоянии их безопасность достаточно сложно: они регулярно требуют улучшений и доработок.

Идеальную картину подпортят сервисы подрядчиков, а также еще не поддерживаемые разработчиками legacy-приложения

Пытаясь уложиться в сроки, разработчики полностью фокусируются на функциональности, ненароком создавая все больше уязвимостей в исходном коде приложения. Кроме того, идеальную картину подпортят сервисы подрядчиков, защищенность которых не всегда возможно контролировать, а также еще не поддерживаемые разработчиками legacy-приложения. В защите веб-приложений от кибератак помогают межсетевые экраны прикладного уровня (Web Application Firewall). Однако, как показало наше исследование, в 2017 году в России для защиты веб-приложений их применяют менее трети всех опрошенных банков (27%). Даже среди банков, лидирующих по выделяемому ИБ-бюджету, этот показатель составляет лишь 70%.

Чтобы поймать вайфай, думай как вайфай

По нашим оценкам, в 36% систем сетевой периметр удается преодолеть из-за недостаточной защиты беспроводных сетей. Так, например, во время одного из аудитов безопасности специалисты Positive Technologies прямо со стоянки возле офиса смогли подключиться к корпоративной сети компании, перехватить учетные записи нескольких сотрудников и получить все возможности для развития атаки внутри сети.

Почти каждый четвертый опрошенный нами банк уверен в безопасности своих беспроводных сетей и никогда не проводил анализ их защищенности

Об опасности автоматического подключения мобильных устройств к знакомым сетям специалисты говорят не первый год: злоумышленники могут использовать поддельную точку доступа для перехвата паролей и логинов и другой конфеденциальной информации. В 2016 году с помощью подобных атак специалисты Positive Technologies успешно перехватывали аутентификационные данные в 75% проектов по анализу защищенности. Но почти каждый четвертый опрошенный нами банк уверен в безопасности своих беспроводных сетей и никогда не проводил анализ их защищенности, еще половина делала аудит только после инцидента.

Подозрительная активность

Представим, что преступник уже попал в сеть и пытается захватить контроль над критическими рабочими станциями (АРМ КБР, например). Выявить подозрительную активность возможно с помощью грамотно настроенных SIEM-систем. Однако подобные системы установлены лишь у 65% банков.

Но самая любопытная история была связана с атаками шифровальщиков. WannaCry и NotPetya, кажется, научили бизнес своевременно устанавливать обновления безопасности для исключения уязвимостей. Но нет, у 25% банков-респондентов отсутствует контроль установки обновлений ПО, а 8% не отслеживают появление информации о новых уязвимостях.

Можно предположить, что кредитные организации не осознают потенциальный ущерб. Но более половины участников нашего опроса оценили предполагаемые потери от кражи базы данных клиентов в сумму более 50 млн рублей. Треть оценивают минимальный ущерб от нарушения деятельности в течение одного дня в 50 млн рублей. Эти суммы превышают годовой бюджет на ИБ большинства опрошенных финансовых учреждений, который ограничивается суммами в 20–40 млн рублей.

Российские банки хорошо понимают возможные потери, но, видимо, считают, что достаточно защищены или что ничего серьезного с ними приключиться не может

Как мы видим, российские банки хорошо понимают возможные потери, но, видимо, считают, что достаточно защищены или что ничего серьезного с ними приключиться не может. Средства антивирусной защиты, межсетевое экранирование и виртуальные частные сети, демилитаризованные зоны, IPS/IDS, средства резервирования – эти компоненты в той или иной мере присутствуют в каждом банке, поскольку необходимость их использования закреплена на законодательном уровне в части требований по защите информации. Однако тенденции кибератак показывают, что стандартные средства защиты перестали быть серьезной преградой для целевой атаки на любую организацию. Значит, нужно применять новые технологии и совершенствовать свою защиту. При этом только 13% опрошенных организаций финсектора применяют комплексный подход к защите от киберугроз, не ограничиваясь базовыми средствами защиты. Остальные же оставляют лазейки для киберпреступников: уязвимые веб-приложения, открытые порты на сетевом периметре и другие уязвимости. Для таких компаний и банков опасность может прийти откуда угодно.

Каждый восьмой банк не проводит инвентаризации своих ресурсов, а каждый третий делает это только для получения информации о ресурсах и не оценивает их защищенность

Сегодня целенаправленные атаки на банки не требуют особых финансовых затрат: вместо специальных сканеров может быть использован Google, вместо уязвимостей нулевого дня – эксплойт-паки, слитые группой The Shadow Brokers. Согласно нашему опросу, каждый восьмой банк не проводит инвентаризации своих ресурсов, а каждый третий делает это только для получения информации о ресурсах и не оценивает их защищенность.

Как бороться?

Основной принцип – не закрывать глаза на проблему, а находить ее оптимальное решение. Если отказ от установки актуальных патчей для печально знаменитого протокола SMBv1 связан с опасениями по поводу корректности работы бизнес-процессов, значит, необходимо принимать альтернативные шаги, выделяя такие системы в отдельный сетевой сегмент и блокируя к нему доступ из пользовательской сети.

Специалист вполне может открыть зараженное письмо с очередной счет-фактурой, передавая управление своим ПК неизвестному киберпреступнику

Любой банк проводит тренировочные учения на случай пожара, но как действовать при блокировке шифровальщиком рабочих станций – не всегда знает даже специалист по ИБ. При трудоустройстве в банк нового сотрудника служба безопасности, как правило, неделями проверяет его биографию. Однако к инструктажу сотрудников в вопросах ИБ в большинстве случаев банки подходят не столь внимательно. В итоге специалист вполне может открыть зараженное письмо с очередной счет-фактурой, передавая управление своим ПК неизвестному киберпреступнику.

Каждая финансовая организация – мишень для терпеливых, скрупулезных целевых атак. В подобных случаях традиционный набор средств информационной безопасности оказывается несостоятельным в девяти случаях из десяти. При этом такие атаки не требуют больших инвестиций. И если вы планируете защитить свой банк от группировок, подобных Cobalt, необходимо учитывать перечисленные особенности. Иначе того и гляди сбудется прогноз № 3 из «Гида пессимиста» агентства Bloomberg, в котором очередной взлом банка станет поворотным моментом к массовому снятию денег с депозитов и вложению их в биткоины.

Ольга Зиненко , для Банкир.Ру