Как противостоять кибератакам компаниям из финансовой сферы

Основной атакуемой системой по-прежнему остается процессинг банковских карт, но трансформировались способы и сценарии мошенничества. На смену таргетированному фишингу, когда пользователи получают тщательно разработанные письма/сообщения, заставляющие человека вводить конфиденциальные сведения, которые дают доступ к корпоративным сетям или базам данных с важнейшей информацией, пришли массовые целевые атаки и социальная инженерия. 

Целевые атаки (включая APT, Advanced Persistent Threat) — это кибератаки по различным векторам нападения, когда у злоумышленника есть знания и существенные технические и финансовые ресурсы для достижения своих целей. 

Непростой и порой продолжительный переход на полноценный режим удаленной работы привел к тому, что целевые атаки стали массовыми, им подверглись целые отрасли. Одной из наиболее уязвимой оказалась финансовая сфера.

Социальная инженерия всегда была на особом счету у злоумышленников, но 2020 год бил рекорды — сложилось впечатление, что креативность вышла на новый уровень. Мы наблюдали абсолютно разные кейсы: от историй с «заболеванием» ваших родственников до ситуаций, когда злоумышленники выдавали себя за представителей органов власти и силовых структур. 

Инцидент ФинЦЕРТ: какие это были уязвимости и как обезопасить компанию от них

Не так давно ФинЦЕРТ, Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, специальное структурное подразделение Банка России, сделал рассылку с информацией об инциденте информационной безопасности в продукте ДБО у одного из банков. 

Согласно информации ФинЦЕРТ, злоумышленники выявили ряд уязвимостей, позволивших выполнять подмену счета отправителя и похищать деньги со счетов клиентов. Инцидент вызвал беспокойство среди финансовых организаций и разработчиков платежного программного обеспечения. Что же это были за уязвимости?

Злоумышленники определяли уязвимости в режиме отладки мобильного приложения. Далее шел перехват сетевого трафика от мобильного приложения к серверной части мобильного приложения. Путем подмены номера счета одного из клиентов банка номером счета отправителя происходило хищение денежных средств. 

Какие необходимо предпринять шаги, чтобы обезопасить свою организацию от подобных несанкционированных действий? 

 Провести полноценный аудит по информационной безопасности платежных программных продуктов, внедренных в организации

1. Описать и проанализировать бизнес-процессы, где участвуют платежные продукты, с точки зрения информационной безопасности.

Инфраструктура организации объективно постоянно меняется, что повышает риски в области информационной безопасности. Для контроля и оценки рисков необходимо: 

1. Провести опрос участников и владельцев бизнес-процесса. Выяснить и сравнить то, как процесс был спроектирован и как фактически реализован. 
2. Выяснить и проанализировать разграничения полномочий и зон ответственности сотрудников. 
3. Описать процесс с точки зрения информационной безопасности. Какие используются механизмы защиты сервисов компании, как отслеживается деятельность сотрудников и т.д. 
4. Полученная информация анализируется и дается оценка рисков. 

2. Проанализировать защищенность программного обеспечения.

Это позволяет полностью исследовать и выявить наиболее критичные ресурсы организации. При условии наличия компетенций в сфере информационной безопасности возможно самостоятельно провести исследование ПО с помощью специализированного программного обеспечения (например, сканеров). 

В противном случае лучше обратиться к специализированным компаниям, которые, во-первых, обладают необходимыми лицензиями на осуществление деятельности по информационной безопасности, во-вторых, имеют большой опыт и собственные наработки. 

Использовать современные средства защиты информации (СЗИ)

Рынок СЗИ представлен множеством различных технологий. Обзор всех — это тема отдельного материала. Важно отметить, что грамотно описанный и проанализированный процесс обеспечения информационной безопасности позволит правильно подобрать новые инструменты для сохранения важной информации внутри организации. 

Периодически проводить повторные аудиты для актуализации текущего состояния организации

В части анализа защищенности мы рекомендуем исследовать программный продукт путем сертификации или проведения проектов по анализу уязвимостей по требованиям к оценочному уровню доверия не ниже 4 (ОУД4). 

Как показывает практика ООО «БСС-Безопасность» по выполнению проектов по анализу уязвимостей программного обеспечения по требованиям к ОУД4 — это позволяет не просто обеспечить соответствие требованиям регулятора (положения ЦБ РФ № 382-П, № 683-П, № 719-П), но и выявить всевозможные уязвимости в защите программного продукта, оперативно их устранить. Анализ уязвимостей по требованиям к ОУД4 проходит в несколько этапов. Необходимо: 

1. Изучить ПО и разработать документацию проекта.
2. Провести тестирование на проникновение ПО.
3. Проанализировать исходный код ПО.
4. Отразить результаты в отчетной документации. 

Например, все стандартные версии ДБО компании BSS были проверены в рамках проведения анализа уязвимостей по требованиям к ОУД4 специалистами компании «БСС-Безопасность». Аудит показал отсутствие в продуктах BSS уязвимостей, описанных ФинЦЕРТом.

Постоянное обучение сотрудников вопросам ИБ — ключ к повышению защищенности компании

Статистика неумолима: общее количество инцидентов, связанных с атаками с использованием метода социальной инженерии выросло на 88%. Человек остается главным источником уязвимости. 

Компания может использовать серьезный арсенал современных и технологичных средств по защите информации, однако ни одно средство, ни один комплекс не может дать 100% защиты, пока рабочим компьютером управляет живой человек. Даже искушенные в деле информационной безопасности специалисты могут попасть на уловки злоумышленников. 

Если вернуться к контексту перехода на удаленную работу, добавить к нему рост количества и качества атак, то ситуация складывается не радужная. Хакерам порой нет необходимости прибегать к изощренным атакам, хватит старого-доброго фишингового письма на личную почту сотрудника компании, который работает со своего личного устройства. 

Обучение может проводиться разными способами. Специализированные курсы или же не большие, но регулярные, например, раз в квартал, сессии от отдела по информационной безопасности по темам, начиная от безопасной работы с почтой до правил безопасной работы с мобильными устройствами. 

Для специалистов ИТ и ИБ подразделений мы рекомендуем специализированные курсы. На таких курсах рассматриваются основные типы атак, новые сценарии мошенничества и методы борьбы с ними. При выборе курсов необходимо внимательно изучить опыт и компетенции организатора и спикеров. Важно, чтобы их практический бэкграунд соответствовал заявленной теме и содержанию курсов. В этом случае вы сможете получить конкретные и полезные знания, которые реально применить на практике. 

Излишне говорить, что приобретенные на курсах знания следует использовать только во благо, в том числе и для обучения коллег, которые не имеют никакого отношения к информационной безопасности. Хорошей практикой будет не только постоянное обучение персонала азам информационной безопасности, но и регулярная проверка их готовности противостоять угрозам. Рекомендуется проводить плановые и внеплановые проверки. 

DDoS-атаки и переход на «удаленку»: основы безопасности 

«Все новое — это хорошо забытое старое» — правило, актуальное и для DDoS-атак, одного из старейших типов атак, которые с новой силой обрушились в 2020 году на компании из различных отраслей. Статистика подтверждает, что количество атак данного типа выросло на 50% по сравнению с 2019 годом. 

Смысл и цель DDoS-атак по-прежнему одна — «забить» основной канал связи сайта или сервиса и тем самым обеспечить его недоступность. Противостоять DDoS нужно, но подход должен быть зрелым и всесторонним. Компаниям стоит использовать системы глубокого анализа трафика, или DPI, Deep Packet Inspection, которые имеют целый ряд преимуществ, абсолютно недоступных другим решениям. 

Чтобы защититься от DDoS необходимо выполнить комплекс мероприятий. Это важное условие. Что-то одно не поможет. Например, надо одновременно:

1. Использовать услуги со стороны провайдера по защите от DDoS-атаки. Провайдер настраивает политики использования канала на уровне протокола. Это позволит снизить риск от активной DDoS-атаки на ранних стадиях.
2. Настроить веб-сервер своими силами. Это одна из минимальных мер для защиты от DDoS-атак. Например, если ограничить количество одновременных запросов в секунду или количество одновременных соединений к веб-серверу, то это позволит существенно снизить риск возникновения недоступности ресурса. 

Как повысить уровень защищенности компании: пошаговая инструкция

1. Знайте свою ИТ-инфраструктуру. С помощью ручных и/или автоматизированных средств в обязательном порядке настройте сканирование и мониторинг ИТ-инфраструктуры вашей организации. Это позволит вам контролировать процессы и приложения, выявлять и предупреждать инциденты по информационной безопасности, а также логировать события и создавать отчеты. 
2. Проводите тестирование на проникновение. Комплексное тестирование на проникновения является не только лучшей практикой, но и всесторонне отражает фактический уровень защищенности вашей организации. Внутреннее, внешнее, а также социотехническое тестирование — это поистине золотой стандарт пентестов. 
3. Исследуйте программные продукты на уязвимости. Анализ уязвимостей или же сертификация программного обеспечения, как уже ранее было сказано, — это отличный способ найти и устранить слабые места в ПО. Если говорить о платежном программного обеспечении, то приятным дополнением станет «галочка» напротив пункта о необходимости соответствовать требованиям регулятора. 
4. Учение — свет. Человеческий фактор зачастую предопределяет исход битвы со злоумышленниками еще до ее начала. Поэтому всегда обучайте своих сотрудников основам информационной безопасности и периодически проверяйте их готовность противостоять угрозам. 

Безопасность организации — комплексное понятие. Нельзя прорабатывать одни моменты, закрывая глаза на другие. Как показывает практика и статистика, злоумышленники не спят и постоянно держат руку на пульсе в поиске все новых методов и способов нанесения ущерба. В новых реалиях жизни, когда «удаленка» стала нашей повседневностью, важно помнить о правилах безопасной работы и использовать проверенные на уязвимости программные продукты.