Вам не нужна идеальная защита

08.02.2016

Оригинал

Несколько мыслей о проблемах информационной безопасности, из-за которых российские банки за и без того не самый хлебный четвертый квартал 2015 года стали беднее еще на 1,5 млрд руб.

Ситуацию с безопасностью в банковской отрасли сегодня трудно назвать напряженной. Иногда она откровенно ужасает. Именно сейчас происходит то, о чем мы так много говорили на протяжении последних лет: вектор атак злоумышленников сместился с клиентов банков на сами банки. И деньги утекают уже не с клиентских счетов, а со «счетов» самого банка.

Лет пять назад основная масса атак приходилась на клиентов. Распространенный сценарий был таким: сначала происходил массовый запуск троянов на компьютеры пользователей в интернете, затем злоумышленники находили клиентов систем ДБО, после похищали у них деньги. Реализация была многократно отработана, финансовые потоки отправлялись в распоряжение чужаков в (полу)автоматическом режиме.

Любители более сложных схем применяли и целенаправленные атаки. Известен, например, такой сценарий: в некую организацию злоумышленники проникают через Wi-Fi, распространяются по корпоративной сети, находят хосты бухгалтеров, проводящих платежные операции, захватывают контроль над ними. После, подготовив все для оперативного вывода денег, реализуют саму атаку. И это лишь один из примеров.

Ключевое преимущество этой схемы — ее универсальность. Иными словами, с технической точки зрения для злоумышленников нет большой разницы, атаковать банк или крупную компанию. Главное — захватить контроль над одним из хостов корпоративной сети, а затем распространиться по ней. Более того, инструментарий (техники взлома и ПО, используемое для атак) фактически один и тот же как для крупной организации, так и для банка. Тем более, ситуация с безопасностью финансовой сферы долгие годы оставалась удручающей, что предоставляло злоумышленникам большие возможности. Опираясь на наш опыт анализа систем большого количества банков, в том числе изнутри, мы прогнозировали рост атак на клиентов несколько лет назад. Сейчас уже можно оценить потери. По некоторым данным, за 2013–2014 годы было атаковано более 50 отечественных банков. Потери за один инцидент достигают 100 млн руб.

А сейчас мы видим, как сместился вектор интереса злоумышленников. Откровенно говоря, их и раньше привлекали внутренние ресурсы. Единственно, что сдерживало «плохих парней» — закрытость информации о том, как банк работает внутри, где лежат деньги и, главное, как их оттуда вывести. Однако за последние несколько лет закрылось большое количество банков, их сотрудники потеряли работу, а их «знания» распространились и попали в распоряжение злоумышленников. И схемы захвата контроля над внутренними системами, которые они пытались отработать ранее, вдруг «ожили», стали реальными.

Ясно, что, попав внутрь, злоумышленник обретает широкий спектр возможностей по выводу денег. Здесь и центральная АБС банка, где фактически хранятся все данные о счетах клиентов, и АРМ КБР (автоматизированное рабочее место клиента Банка России), позволяющее перенаправлять деньги между банками, и система SWIFT для взаимодействия с иностранными банками.

Мы видим, что атакуют сегодня в основном АРМ КБР. Эта точка входа более универсальна по сравнению с другими системами. Ведь ПО для АРМ КБР везде одинаково, работа с ним регламентирована. Вместе с тем есть несколько видов АБС, не говоря уж о тонкостях бизнес-процессов, связанных с конкретным банком. Суть атаки на АРМ КБР достаточно проста: с корреспондентского счета атакуемого банка деньги пересылают на счета в других банках, откуда они впоследствии выводятся. По данным ЦБ РФ, за последний квартал 2015 года таким образом было похищено около 1,5 млрд руб.

Вообще, легкость реализации подобных схем сегодня, мягко говоря, удивляет. Ведь у ЦБ РФ есть некие рекомендации по работе с АРМ КБР с точки зрения безопасности. Если четко им следовать, можно значительно осложнить жизнь злоумышленникам. Ожидаем, что широкое информирование об угрозе позволит свести подобные инциденты к минимуму.

От себя можем посоветовать три основных практических шага для защиты описанного выше слабого звена. Во-первых, выделите АРМ КБР в отдельный сетевой сегмент и максимально ограничьте к нему доступ на сетевом уровне (в идеале соединения должны быть разрешены только «от него» и только в определенные места). Во-вторых, выведите хост из корпоративного домена (это крайне важно, так как безопасность домена поддерживать очень непросто). В-третьих, максимально ограничьте происходящее внутри ОС у хоста АРМ КБР: только разрешенное ПО, только разрешенные процессы (групповые политики вам в помощь).

Если говорить в целом, то есть вероятность, что ситуация может улучшиться в ближайшее время только в контексте АРМ КБР. Ведь возможностей и каналов по выводу денег все еще немало. Например, сценарий, аналогичный вышеописанному, возможно реализовать в отношении SWIFT. Есть и такой момент: данные из АБС непременно попадают в АРМ КБР. И злоумышленник может захватить контроль над АБС, подделывать данные о платежных переводах в АБС, а они будут попадать в АРМ КБР (особенно опасно, когда АРМ КБР работает в автоматическом режиме). Также полезно порассуждать о том, что есть различные «прямые связи» между банками, системы переводов и платежей, счета конечных клиентов банка, банкоматы и т. д. Вариаций атак — множество. И оно слишком большое, чтобы сражаться с ним на последнем, «денежном» этапе.

Решать проблему необходимо системно, концентрируясь на грамотном подходе к организации безопасности всей корпоративной сети и практической ИБ. Помните: вам не требуется идеальная защита. Вам необходимо построить такую систему, взлом которой атакующий сочтет слишком затратным предприятием. 

Алексей Тюрин, директор департамента аудита защищенности Digital Security, для Bankir.Ru