Ежедневно сотрудники службы информационной безопасности регистрируют, анализируют сотни событий и инцидентов информационной безопасности и реагируют на них. Однако одна из важнейших тенденций современности — смещение от «массовых» атак к более узким, целенаправленным атакам. Как от них защититься? Расскажем об опыте КБ «РосинтерБанк».

Целенаправленнные атаки (advanced persistent threats, APT) — это основательно подготовленные, специализированные кибератаки, направленные на достижение конкретных целей злоумышленников. Даже серьезные компании, такие как Sony, RSA, Google, Adobe, потратившие десятки миллионов долларов на защиту своих ресурсов, остаются незащищенными и несут потери в результате успешных целенаправленных атак. Пристальное внимание разного рода злоумышленников всегда привлекали финансовые организации, и сегодня они являются одними из основных объектов нападения.

Современные банки, как правило, представляют собой совокупность распределенных и разнородных информационных систем различной сложности и защищенности — иначе говоря, «зоопарк» ИТ-систем. Это усложняет построение комплексной системы защиты и позволяет злоумышленникам находить наименее защищенные компоненты, чтобы производить атаки по пути «наименьшего сопротивления».

Оценка рисков

Первым шагом к созданию эффективной защиты от APT является объективная и разносторонняя оценка рисков. КБ «РосинтерБанк» в рамках ежегодной оценки рисков проанализировал риски нарушения информационной безопасности и оценил потенциальный ущерб от реализации целенаправленных атак (см. врезку).

Проанализировав риски нарушения информационной безопасности, мы выявили наиболее критичные компоненты ИТ-инфраструктуры: база данных, содержащая сведения о клиентах банка; автоматизированная банковская система; система дистанционного банковского обслуживания; информационные системы, содержащие сведения, составляющие коммерческую тайну.

Ключевые принципы

К настоящему времени в банке успешно внедрены разнообразные технические средства защиты, которые снижают данные риски до приемлемого уровня. Компоненты комплексной системы обеспечения ИБ, отвечающей современным требованиям бизнеса, можно разделить на два логических уровня — технический и организационный. Ключевые принципы технического уровня следующие.

  • Эшелонированность. Каждый уровень информационной инфраструктуры закрыт соответствующими средствами защиты (например, сетевой защиты, защиты от вредоносного кода, криптографической защиты и т. д.).
  • Стандартизация. Каждый компонент информационной инфраструктуры настроен в соответствии с требованиями внутренних стандартов.
  • Централизованное управление. Оно осуществляется централизованно и максимально оперативно.
  • Аудит и мониторинг. Производятся регистрация всех действий (событий) на каждом уровне функционирования информационной инфраструктуры и централизованный анализ данной информации сотрудниками управления информационной безопасности.
  • Контроль и анализ. Осуществляется периодический контроль всех компонентов информационной инфраструктуры на наличие уязвимостей (анализ защищенности, тестирование на проникновение).

На организационном уровне применяются следующие принципы.

  • Минимальность. Пользователи и процессы наделены минимально необходимыми правами доступа для выполнения соответствующих задач.
  • Разделение прав. Это минимизирует риск некорректного или несанкционированного использования информационных систем.
  • Ответственность. Назначение ответственных за функционирование каждого бизнес-процесса.
  • Выделение ресурсов. Для функционирования каждого бизнес-процесса определены соответствующие ресурсы и сотрудники.
  • Документированность. Каждый бизнес-процесс и его отдельные элементы документально описаны и закреплены.
  • Повышение осведомленности. Каждый сотрудник должен быть ознакомлен с документами, регламентирующими бизнес-процессы.

Ключевые риски кибератаки на банк

По оценкам, приведенным в исследовании ISACA «Advanced Persistent Threat Awareness» за 2014 год, ключевые риски при успешной реализации АРТ-атаки практически аналогичны тем, которые есть у нашего «РосинтерБанка».

Первым из признанных банком ключевых рисков является риск утечки сведений о клиентах, что вполне понятно, ведь основная ценность банка — это сведения о клиентах. Второй ключевой риск — репутационный, а наиболее вероятные его проявления — недоступность сервисов дистанционного банковского обслуживания или информационного портала банка, обнародование сведений о факте утечки конфиденциальной информации. Реализация двух перечисленных рисков повлечет за собой потерю доверия клиентов, их отток и значительное уменьшение занимаемой доли на рынке. Наконец, третий ключевой риск — утечка сведений, составляющих коммерческую тайну. К этим сведениям банк относит свою стратегию развития, тактические планы, сведения о запуске новых продуктов и решений. Реализация данного риска повлечет за собой потерю конкурентного преимущества и незначительное уменьшение доли на рынке.

План действий на случай атаки

Процесс реагирования на кибератаки (они рассматриваются как разновидность инцидентов ИБ) в нашем банке включает следующие этапы: планирование, обнаружение и информирование, оценка и идентификация, реагирование, извлечение уроков.

На этапе планирования разрабатываются организационно-распорядительные документы (политики, процедуры, регламенты, должностные инструкции), назначаются ответственные сотрудники (отвечающие за обнаружение, идентификацию, реагирование), формируется рабочая группа по реагированию на инциденты, производится обучение и инструктаж всех сотрудников банка по порядку действий в случае обнаружения инцидента ИБ.

Сотрудник, обнаруживший нетипичное поведение системы, ошибки или сбои в ее работе, обязан в кратчайшие сроки проинформировать ответственного сотрудника управления ИБ. После этого сотрудник управления ИБ производит анализ поступившей информации и на основе критериев (предварительно описанных на этапе планирования) определяет, является ли событие инцидентом ИБ, устанавливает его уровень и передает ситуацию группе по реагированию на инциденты ИБ. Эта группа производит локализацию данного инцидента (инструкции предварительно описаны на этапе планирования) и выполняет мероприятия по снижению негативного воздействия инцидента на бизнес-процессы банка. Рабочая группа по реагированию на инцидент, как правило, включает специалистов по ИБ и ИТ, сотрудника бизнес-направления, специалистов юридического отдела и PR-службы. При необходимости состав рабочей группы может быть расширен. Рабочая группа расследует инцидент, при необходимости привлекаются уполномоченные государственные органы. Затем осуществляются исправление и закрытие уязвимостей, а также возобновление корректного функционирования сервиса.

Очень важный этап — извлечение уроков. На данном этапе производится доработка процедур и регламентов в части реагирования на инциденты, документируются изменения настроек прикладных систем и сервисов, осуществляются мероприятия по минимизации негативного воздействия в будущем и повышению уровня оперативного реагирования.

Насолить злоумышленнику

Предотвратить целевую кибератаку невозможно, но ее можно максимально затруднить. «Целевые» атаки отличаются от «массовых» тем, что предварительно производятся основательный сбор и анализ информации о цели — то есть о компании. Такой сбор можно максимально затруднить стандартными мероприятиями, в числе которых профессиональный отбор кадров и последующая работа с сотрудниками, повышение осведомленности персонала и его мотивации, контроль опубликованной (доступной) информации на предмет паролей и стандартных учетных записей, сведений о конфигурации системы, используемом ПО и архитектуре системы, безопасная настройка всех компонентов информационной инфраструктуры (тем самым снижается уровень информативности для злоумышленников и повышается общий уровень защиты).

После реализации всех мероприятий и построения комплексной системы защиты необходимо сделать акцент на следующих шагах. Во-первых, отработать механизмы реагирования на инциденты (документы должны быть разработаны, персонал должен быть обучен). К сожалению, многие подходят формально или вообще игнорируют данный аспект. Во-вторых, обеспечить централизованный мониторинг и анализ событий — все они должны собираться в одной системе и анализироваться в комплексе. В-третьих, реализовать и поддерживать управление изменениями. Многие забывают или не желают ставить обновления, но надо помнить: нет обновлений — нет защиты. В-четвертых, провести тестирование на проникновение внешней стороны, то есть обеспечить независимый взгляд на ИБ. В-пятых, развернуть системы класса sandbox или honeypot, которые позволят повысить уровень вашей защищенности и провести разбор и анализ действий злоумышленника. Наконец, в шестых, добиться повышения квалификации сотрудников ИБ — это, пожалуй, самый важный пункт, от него зависит эффективность всех средств защиты. Комплекс перечисленных мероприятий позволит максимально предотвратить кибератаку на самых ранних стадиях.

Также советую всем специалистам по информационной безопасности использовать рекомендации по реагированию на инциденты ИБ, содержащиеся в документах: ISO/IEC 27035:2011, ISO/IEC 27043:2015, ISO/IEC 27037:2012, NIST SP 800–61 Rev. 2, NIST SP 800–86 и материалы организаций SANS и CERT.

Альберт Тазетдинов — заместитель начальника управления информационной безопасности АО КБ «РосинтерБанк»; amtazetdinov@gmail.com.