Службам информационной безопасности банков необходимо научиться максимально быстро противодействовать атакам на системы ДБО

Руслан Нестеров, главный специалист по информационной безопасности в банковском секторе компании «АСТ» (Advanced System Technologies)
Руслан Нестеров, главный специалист по информационной безопасности в банковском секторе компании «АСТ» (Advanced System Technologies); r.nesterov@acti.ru

По данным МВД РФ за первое полугодие 2012 года, интернет-мошенничество является одним из самых распространенных видов преступлений в сфере ИТ и их число продолжает расти. Особенно быстрая динамика наблюдается в области систем дистанционного банковского обслуживания (ДБО).

Пожалуй, из всех мошеннических действий с применением ИТ наибольший возможный ущерб банкам может нанести инсайдерство собственных сотрудников, атаки на системы ДБО через их клиентские модули (включая вирусные заражения), умышленное раскрытие банковской тайны третьей стороной, атаки на платежные карты и банкоматы (в первую очередь скимминг), а также на платежные терминалы (с применением вирусов, скимминга, атак на сетевом уровне с перенаправлением трафика). Сюда же можно отнести и подделку документов клиентами, поскольку и сами мошеннические действия, и их выявление производятся сегодня с применением ИТ.

Кто виноват и что делать?

Исследования, проводимые самыми разными аналитиками, показывают: примерно 80% всех инцидентов активно задействуют человеческий фактор и лишь 20% опираются в первую очередь на технические возможности, при этом 80% проблем безопасности решаются на организационном уровне и лишь 20% — на техническом.

Когда речь идет об информационной безопасности, важно понимать, что суть проблемы не в аудите, не в программах и даже не в конкретных людях, а в механизмах быстрого реагирования и эффективных процедурах, предотвращающих несанкционированный доступ и поддерживающих системы в закрытом состоянии. Как известно, техсредства без организационных мер не работают, а вот оргмеры, нацеленные на точное и обязательное выполнение политик, инструкций, положений и регламентов, вполне могут дать нужный результат и без использования технических средств.

Компенсировать влияние человеческого фактора поможет и строгое выполнение требований регулирующих органов в сочетании со взвешенным подходом к защите информации. Регулирующие органы в данном случае выполняют функции «санитаров леса»: если компания не может обеспечить защиту информации своих клиентов, то этой компании следует задуматься о своем присутствии на рынке.

Для минимизации влияния человеческого фактора следует использовать подход, основанный на оценке рисков, — в данном случае он будет наиболее адекватным как с точки зрения затрат, так и с точки зрения соблюдения требований регуляторов.

Война брони и снаряда

Одним из факторов риска в системе защиты ДБО является сложность обеспечения доверенной среды исполнения на стороне пользователя, поэтому оставим за рамками данной статьи обеспечение безопасности серверной части системы ДБО и посмотрим, что творится на стороне пользователя — там, где развернут клиентский модуль.

Первая ударная волна вредоносного ПО была направлена на кражу наиболее распространенных средств аутентификации пользователей — паролей. Криптографические ключи и сертификаты, если они не защищены специальными аппаратными устройствами (токенами, смарт-картами), также становятся легкой «добычей троянских коней». Конечно, существуют способы защиты от подобных атак — например, своевременная установка обновлений операционной системы и приложений, применение антивирусного ПО или персонального межсетевого экрана со средствами обнаружения вторжений и т. п. Впрочем, даже простой отказ пользователя от посещения сайтов с «дурной» репутацией и от загрузки ПО из непроверенных источников — весьма действенные способы профилактики атак на ДБО. Но, к сожалению, большая часть пользователей пренебрегает этими мерами предосторожности.

Для поэтапных атак на пользователей ДБО злоумышленники нередко используют уязвимости «нулевого дня», которые имеются в операционной системе и приложениях, прежде всего в java-машинах, flash-плеерах, плагинах браузеров, популярных средствах просмотра файлов вроде Acrobat Reader и др. Для определенной категории киберпреступников поиск таких уязвимостей превратился в бизнес. Таким образом, мы имеем дело с хорошо организованной международной преступностью.

Одна из защитных мер для противодействия этим видам атак была известна давно: использование аппаратных устройств — смарт-карт и токенов для защиты криптоключей. Другая — одноразовые пароли, которые выдаются в банкомате, печатаются на скретч-карте или высылаются с помощью SMS на мобильный телефон клиента. Каждая значимая банковская операция подтверждается новым одноразовым паролем. Однако и эти средства защиты были взломаны — атаки типа «человек посередине» и фишинговые методы активно используются мошенниками для обхода одноразовых паролей. Как показала практика, наиболее эффективные на сегодняшний день средства защиты — это одноразовые пароли, формируемые на основании информации о транзакции, и крипто­графические USB-токены.

Настоящим ударом по безопасности систем ДБО стала атака «человек в браузере». Этот тип троянского кода применяется в тех случаях, когда криптоключи хранятся на токене и их нельзя украсть. Но можно «подсунуть» на подпись пользователю поддельное платежное поручение, а на экране компьютера клиента банка отобразить (с помощью вредоносного кода) действительно сформированное пользователем платежное поручение. Весь процесс проходит скрытно, без каких-либо очевидных для пользователя признаков. Средством защиты от этого вида атак может стать считыватель смарт-карт с возможностью визуального контроля подписываемого документа. Устройство позволяет показать клиенту в «защищенной» среде — на экране смарт-карты — номер счета, куда будет переведен его платеж, в надежде что пользователь сравнит длинную последовательность цифр с той, что на экране компьютера. Увы, практика показывает, что не все пользователи применяют этот метод.

Что противопоставить?

Одним из действенных технических средств противодействия как внешнему, так и внутреннему мошенничеству являются так называемые решения для борьбы с мошенническими действиями, работающие в реальном времени. Другими словами, это комплекс организационных и технических мер, обеспечивающих дополнительную защиту автоматизированных банковских систем и систем ДБО. Такие системы содержат наборы правил, позволяющие с высокой долей вероятности обнаружить транзакции, сформированные мошенниками. Например, могут использоваться «черные» и «белые» списки. В «черные» попадают те получатели платежей, которые уже были уличены в мошеннических схемах, в «белые» — те, которым клиент платил и не обжаловал свои платежи.

При анализе могут быть использованы данные геотаргетинга (для обнаружения ситуаций, когда один и тот же пользователь работает практически одновременно из разных стран) или система слежения за бот-сетями — сетью из «компьютеров-зомби», способных выполнять не санкционированные легальными пользователями действия (похищать данные, рассылать спам, проводить атаки отказа в обслуживании и т. д.).

Возможно также создание и использование профиля пользователя, в котором учитываются различные параметры выполняемых операций (запрашиваемая сумма, дата и время, гео­графия) и с помощью которого определяется уровень риска для каждой транзакции. Те транзакции, которые характеризуются высоким уровнем рисков, можно или запрещать, или ограничивать по сумме, или требовать дополнительную авторизацию перед выполнением операции.

В комплексе с программно-аппаратными средствами противодействия рекомендуется применять внешний или внутренний аудит защищенности системы ДБО. Его следует осуществлять по следующим направлениям:

• аудит внешнего периметра — проверки правил фильтрации, типовых конфигураций сервисов, тестирование на известные удаленные уязвимости в операционной системе и ИТ-сервисах;

• аудит архитектуры системы — проверки парольной политики, ролей пользователей, правил логики системы;

• аудит защищенности веб-приложений — поиск известных и новых уязвимостей в приложениях, проверки на наличие скрытых скриптов и шифрования веб-соединений;

• аудит защищенности на уровне СУБД — контроль парольной политики СУБД, проверки на уязвимости и ошибки конфигурации, шифрование критичных данных и др.;

• аудит защищенности клиентской части системы — поиск уязвимостей, анализ работы клиента с криптографией, проверка настроек и конфигураций клиентского ПО, системы хранения паролей на клиентской части и др.

По результатам проведенных проверок и выявленных уязвимостей определяются возможные векторы атак как на клиентские, так и на серверные компоненты ДБО.

Снижение рисков мошенничества в системах ДБО путем дополнительного анализа типового поведения клиентов, анализа аномального поведения и введение дополнительных проверок позволяют снизить прямые финансовые потери банков, связанные с мошенничеством, и заодно повысить репутацию и уровень доверия к банку в глазах клиентов, инвесторов и партнеров — что весьма полезно, поскольку в наше турбулентное время доверие и репутация становятся ценным капиталом, который следует наращивать.