Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Удаленный офис финансовой компании: под огнем web-угроз

(Нет голосов)

10.06.2008 Количество просмотров 837 просмотров
На фоне сохраняющегося сегодня высокого уровня конкуренции на российском рынке финансовых услуг для физических лиц его участники вынуждены искать новые методы привлечения и обслуживания розничных клиентов.

Одним из таких методов является вынос точек продаж финансового продукта из офиса страховой компании или отделения банка для их максимального приближения к конечному пользователю. В то же время нельзя не отметить, что с началом широкого использования портативных коммуникационных устройств (ноутбуков, КПК и смартфонов) для автоматизации «выездных» и удаленных рабочих мест персонала финансовых организаций наблюдается и возникновение угроз в области информационной безопасности, характерных для такого рода корпоративных сетей.

Для того чтобы дать возможность нашим читателям получить из «первых рук» объективное представление о том, каковы эти угрозы, в чем заключается их специфика, а также о существующих на сегодняшний день решениях, специально разработанных для их предотвращения, журнал «ПЛАС» организовал тематический виртуальный «круглый стол». Участниками данной инициативы, которой мы открываем новую одноименную рубрику «ПЛАС», стали специалисты двух ведущих компаний-разработчиков решений в области обеспечения антивирусной безопасности – Trend Micro и Symantec. При этом, учитывая, что формат «круглого стола» подразумевает разнообразие точек зрения на обсуждаемую тему, в качестве представителя компании-пользователя такого рода решений мы пригласили начальника отдела информационной безопасности УК «МЕТАЛЛОИНВЕСТ».

Доминирующей тенденцией на российском рынке финансового ритейла сегодня остается растущая конкуренция между его участниками, основными из которых являются банки и страховые компании. Именно напряженная конкурентная борьба за частного клиента привела финансовые организации к осознанию необходимости физического перемещения точек продаж своих продуктов и услуг как можно ближе к клиентам. Например, банки стали открывать мини-офисы, где выдают кредиты, в том числе карточные, в крупных торговых сетях и автосалонах. Страховые компании, в свою очередь, организовывают сети отделений (в том числе выездных) по страхованию КАСКО и автогражданской ответственности в автосалонах, магазинах автозапчастей, отделениях ГАИ и т.д.

Кроме того, при страховании объектов недвижимости страховой агент традиционно выезжает на место расположения объекта.

Для автоматизации таких мобильных или удаленных рабочих мест необходимо использовать портативные коммуникационные устройства, в качестве которых чаще всего выступают ноутбуки, несколько реже – КПК и смартфоны. Интересно отметить, что смартфоны сегодня уже не являются прерогативой руководящего звена финансовых компаний и используются повсеместно практически всеми сотрудниками. При этом для решения некоторых задач, связанных с удаленной работой, смартфон использовать более удобно и целесообразно, чем ноутбук.

Однако, как показывает практика, при реализации проекта, связанного с перемещением точки продажи из офиса компании, возникают специфические угрозы, связанные с использованием портативных коммуникационных устройств. В целом специфические для мобильных устройств угрозы можно разделить на три основные категории: • Угрозы со стороны «внешнего мира», особенно набирающие обороты web-атаки; • Угрозы со стороны пользователя: нецелевое и неавторизованное использование портативного коммуникационного устройства; • Утеря или утечка данных, которая связана с кражей или утерей самого устройства. Проблема утери или кражи устройства, сопровождающаяся утратой контроля над важными данными, сегодня успешно решается использованием систем шифрования, проблема неавторизованного использования портативного устройства – внедрением систем двухфакторной аутентификации. Однако предотвращение угроз, связанных с нецелевым использованием портативного устройства и с появлением на нем вредоносного кода, связано с рядом сложностей, в числе которых можно выделить следующие: • Обеспечение портативных устройств средствами защиты, которые поддерживают централизованное управление; • Контроль над средством защиты на портативном устройстве в момент его подключения к корпоративной сети (в этот момент средство защиты на самом устройстве может не соответствовать корпоративным политикам, например, быть отключено); • Невозможность использования корпоративных шлюзовых систем обеспечения IT-безопасности для защиты портативного устройства.

Для ноутбуков характерен самый широкий спектр угроз, которые, впрочем, актуальны и для любого персонального компьютера. Например, в последнее время растет число web-угроз (угрозы, связанные с вредоносным кодом, использующим web-среду), исчисляемых сегодня сотнями тысяч. Как показала практика, риск утери ноутбука, который, как правило, используется в ключевой части бизнес-процессов продаж финансовых услуг, очень высок. Количество существующих специфических угроз для смартфонов, связанных с вредоносным кодом, исчисляется в настоящее время сотнями. С другой стороны, риск утери (кражи) такого небольшого устройства, как смартфон, гораздо выше. Первичным методом предотвращения данных угроз является участие специалистов по безопасности в разработке схемы организации портативного рабочего места. Специалистам необходимо учесть не только традиционные угрозы для ПК, но и рассмотреть два принципиально новых аспекта: обеспечение автономности работы устройства и защиты от неавторизованного доступа к хранящимся на мобильном устройстве данным.

Ключевым отличием организации мобильного рабочего места является автономность работы портативного устройства, с эпизодическим подключением его к корпоративной сети, что делает невозможным управление средством защиты из корпоративной сети в режиме online. Для комплексной защиты любых конечных узлов (рабочих станций, серверов, ноутбуков, смартфонов) от современных комплексных и комбинированных web-угроз, вирусов, программ-шпионов и руткитов компанией Trend Micro предлагается универсальный программный продукт OfficeScan Client/Server Edition 8.0 Russian*. Он разработан с учетом современного ландшафта угроз и оснащен инновационной системой превентивной защиты от веб-угроз, реализованной с использованием технологии WebReputation. Применение данной технологии дает возможность защитить пользователей, работающих как в сети, так и вне сети, блокируя доступ к опасным сайтам.

В числе наиболее важных функциональных возможностей продукта OfficeScan Client/Server Edition 8.0: • Блокировка доступа к вредоносным сайтам на основе репутационного рейтинга; • Рейтинг web-доменов на основе мониторинга активности вредоносного ПО, шпионского ПО и спама; • Защита в режиме реального времени с использованием базы Trend Micro с рейтингом миллионов доменов; • Эффективная защита от «вирусов», «троянов», «червей» и новых модификаций вредоносных программ (при их появлении); • Улучшенная защита от программ-шпионов с использованием нового сканирующего модуля; • Обнаружение и удаление действующих и сокрытых руткитов с использованием инновационной технологии; • Бесшовная интеграция с использованием Windows Vista Security Center и других возможностей ОС Vista; • Бесшовная интеграция с инфраструктурой Microsoft, поддержка Windows версий 2000 и выше; • Автоматическая очистка конечных узлов от вредоносных программ, включая их процессы и ключи реестра, сокрытые или заблокированные; • Меньший размер антивирусной базы обеспечивает более эффективные обновления; • Поддержка 64- и 32-разрядных систем; • Централизованное управление с использованием единой web-панели; • Модульная архитектура решения, базирующаяся на системе модулей расширения, которая позволяет добавлять новые средства защиты, не внедряя новой версии всей системы; • Оптимизация ресурсов, необходимых для внедрения новых средств безопасности на удаленных рабочих станциях и серверах.

Для защиты смартфонов продукт OfficeScan Client/Server Edition 8.0 дополняется специальным модулем расширения Trend Micro Mobile Security 5.0, поддерживающим ведущие мобильные ОС: Windows Mobile 5.0 (Smartphone.), Windows Mobile 6.0 (Standard Edition), Windows Mobile 5.0 (PocketPC.), Windows Mobile 6.0 Classic и Professional), а также Symbian S60/3rd Edition (Nokia E-Series). Пакет Trend Micro Mobile Security включает в себя возможности аутентификации пользователя и шифрования данных, позволяя предотвратить утечку данных при краже или несанкционированном доступе. Поддерживается не только защита данных паролем, но и их стирание по удаленной команде. Кроме того, пакет блокирует вирусы, «троянские» программы, SMS-спам, хакерские атаки и другие подобные преступные попытки внешнего воздействия.

Кроме обеспечения всесторонней защиты смартфонов (антивирус, межсетевой экран, антиспам, шифрование), в числе функциональных особенностей версии Trend Micro Mobile Security 5.0. – наличие централизованного управления из панели OfficeScan, что позволяет устанавливать и обновлять защиту мобильного устройства через GPRS, оповещать пользователей о необходимости обновления средства по SMS, и при этом не требует привязки смартфона к какой-либо корпоративной рабочей станции.

Версия 5.0 решения помогает устранить уязвимости в системе защиты и предотвращать утечку важной информации. Высококачественные алгоритмы шифрования и аутентификации пользователей, реализованные в версии 5.0, делают конфиденциальную информацию, сохраненную в памяти мобильного устройства, недоступной для посторонних. Модуль защиты от вредоносного ПО позволяет заблокировать работу мобильных «вирусов», «червей» и «троянов». Встроенный межсетевой экран и система предотвращения вторжений (IDS), в свою очередь, гарантируют надежную защиту от хакерских атак и незаконных вторжений. Стоит отдельно отметить, что администраторы корпоративной сети могут обеспечивать безопасную работу портативных устройств с единой консоли управления OfficeScan Client/Server Edition (OSCE) 8.0.

специфическими угрозами, связанными с использованием портативных коммуникационных устройств, таких как ноутбуки, КПК и смартфоны, являются угрозы несанкционированного доступа к информации, ее «выноса» за пределы информационного поля корпоративной сети, а также угрозы внесения в корпоративную сеть организации вредоносного ПО.

Администраторы систем безопасности и сами конечные пользователи принимают все новые меры для борьбы с такого рода угрозами. Соответственно, злоумышленникам приходится придумывать все новые способы достижения своих преступных целей. В результате изменения в природе угроз, связанных, в частности, с использованием портативных устройств, современная картина угроз находится в постоянной динамике. Анализ данных, собранных Symantec во втором полугодии 2007г., дал специалистам компании возможность сделать вывод о том, что современная картина угроз безопасности характеризуется следующими тенденциями: • Перемещением вредоносной деятельности в web-среду; • Ориентацией атак злоумышленников не на сами компьютеры, а на конечных пользователей; • Быстрой адаптируемостью злоумышленников и их атак к новым решениям в области защиты информации; • Наличием мощного и сплоченного мирового преступного сообщества, которое переросло в новый тип криминальной мировой экономики.

Еще в недалеком прошлом злоумышленники практиковали главным образом массированные атаки, нацеленные на компьютеры, входящие в корпоративную сеть. Однако системные администраторы компаний и поставщики программных решений в области защиты информации укрепили границы корпоративных компьютерных сетей при помощи таких инструментов, как межсетевые экраны и системы обнаружения/предотвращения вторжений (IDS/IPS). Таким образом, попытки проникновения злоумышленников в корпоративные сетевые компьютеры обнаруживаются и пресекаются все чаще и эффективнее. В свою очередь, злоумышленники ответили на эти действия новой тактикой проведения вирусных атак. Вместо проведения массированных атак для проникновения в сеть преступники стали применять более скрытые, целенаправленные Интернет-атаки, нацеленные на отдельные компьютеры.

С другой стороны, действия, предпринимаемые злоумышленниками в отношении компьютеров пользователей и на web-сайтах, обнаруживаются реже, чем атаки на корпоративные сети. На этом фоне эксперты Symantec делают следующий вывод: сегодня большая часть вредоносной деятельности переместилась в web-среду, и главным ее проводником является сеть Интернет. Наиболее наглядным примером этой тенденции являются специфические уязвимости сайтов, т.е. уязвимости, которые относятся к коду, используемому определенным web-сайтом.

Так, например, во втором полугодии 2007г. компанией Symantec было зарегистрировано 11253 специфические уязвимости сайтов, которые могут использоваться программами взлома сайтов. Это значительно (почти в 5 раз) превышает число уязвимостей иного рода, обнаруженных нашей компанией (2134).

Данные уязвимости представляют собой серьезную угрозу для корпоративных сетей, поскольку их наличие позволяет злоумышленникам взламывать web-сайты, которые затем могут использоваться мошенниками для организации web-атак против пользователей. Такая стратегия многоступенчатых атак и использования уязвимостей со стороны клиента оказалась довольно эффективной.

Специалисты Symantec пришли также к выводу, что с точки зрения организации web-атак злоумышленников особенно привлекают сайты, которые пользуются доверием пользователей, например, различные сайты социальных сетей. Это повышает вероятность успешных атак, так как пользователь может неосознанно допустить работу вредоносных программ на своем компьютере или открыть файл, загруженный с сайта, которому он доверяет. Злоумышленники, атакующие такие сайты, могут также похищать конфиденциальные данные пользователей или организовывать массовые атаки, которые быстро распространяются через социумную сеть (список контактов) жертвы. Это одна из причин смещения вредоносной деятельности в направлении уязвимостей, специфических для определенных web-сайтов.

Как отмечают специалисты нашей компании, вредоносная деятельность становится все менее ориентированной на компьютеры – сегодня многие угрозы конфиденциальной информации нацелены исключительно на конечных пользователей. В частности, злоумышленники охотятся за конфиденциальными данными конечных пользователей, которые затем применяются в различных аферах и махинациях. Например, с использованием специальной программы – регистратора нажатия клавиш – мошенники могут перехватывать все конфиденциальные данные и всю критически важную информацию, набираемую пользователем на клавиатуре.

По данным Symantec, в последние 6 месяцев 2007г. такие данные, как учетные записи, номера кредитных карт и банковских реквизитов, составили 44% всех товаров, рекламируемых на серверах, создаваемых преступниками для реализации скомпрометированной ими конфиденциальной информации. Чаще всего на известных Symantec серверах такого черного рынка к продаже предлагались номера и другие реквизиты банковских счетов и карт – они составили 22% от объема всех «товаров» такого рода. Одной из причин сохранения популярности подобных «сделок» является рост числа различных видов «троянов», способных добывать реквизиты платежных карт и банковских счетов: за указанный период их количество увеличилось на 86%, что, в свою очередь, привело к росту числа скомпрометированных реквизитов банковских счетов и их предложения на серверах черного рынка. Отмечаемая экспертами Symantec тенденция к профессионализации и коммерциализации вредоносной деятельности в сети Интернет уже привела к появлению зрелой, устоявшейся криминальной экономики, которая характеризуется рядом признаков, типичных для экономики традиционной. Среди них: • специализация производства и предложения товаров и услуг; • аутсорсинг производства; • многовариантная система цен; • адаптивные бизнес-модели. Угрозы со стороны злоумышленников, которые прежде рассматривались в качестве разобщенных акций, теперь объединены во всемирную сеть скоординированной вредоносной деятельности. Это стало возможным благодаря высокопрофессиональному специализированному производству таких вредоносных «товаров и услуг». Во втором полугодии 2007г. Symantec было зарегистрировано 499 811 новых вредоносных программ, что на 136% превышает аналогичный показатель первого полугодия 2006г. и на 571% – показатель второго полугодия 2006г. Значительный рост числа новых угроз за последний год вызван, вероятнее всего, появлением новых создателей специализированного вредоносного кода (ПО) и существованием мошеннических организаций, которые нанимают квалифицированных опытных программистов для создания таких угроз. Это свидетельствует об усилении профессионализации вредоносной деятельности, которое привело к созданию достаточного платежеспособного спроса для образования ниши профессиональных разработчиков вредоносного кода.

Специализированное производство таких специфических «товаров» и «услуг» часто становится возможным благодаря развитию модели аутсорсинга вредоносной деятельности. Так, значительное увеличение числа новых вредоносных программ указывает на то, что их создатели получают вознаграждение за новые образцы.

Кроме того, продолжается создание и продажа на черном рынке автоматизированных наборов инструментов для фишинга (комплектов сценариев, которые позволяют злоумышленнику автоматически создавать фишинговые web-сайты). Эти изощренные инструменты на черном рынке пользуются большим спросом, и они являются достаточно дорогостоящим товаром. Вероятнее всего, их приобретают и используют не рядовые пользователи, а хорошо организованные группы «фишеров».

Сегодня вся эта подпольная экономика характеризуется ценами, на которые влияет ряд рыночных сил. Так, например, информация о реквизитах банковских счетов с внушительным балансом (счета организаций), а также банковские реквизиты, дополненные сведениями о личности клиента (имя, адрес и дата рождения), ценятся значительно выше.

Еще одна тенденция, о которой можно говорить с уверенностью, – это перемещение мошеннической деятельности в страны и регионы, экономика и информационная инфраструктура которых развиты недостаточно. Так, по данным Symantec, в тех регионах мира, где широкополосные соединения только появляются или быстро распространяются, Интернет-провайдеры больше сосредоточены на удовлетворении растущего спроса на свои услуги, чем на обеспечении адекватных мер защиты. Более того, в этих регионах пользователи и администраторы в меньшей степени знакомы с практическими рекомендациями по защите корпоративных и частных сетей.

Так как в данных регионах Интернет-инфраструктура только появляется или относительно молода, на их территории может существовать соответствующая законодательная база и/или не практиковаться применение адекватных правоохранительных мер. По мнению экспертов нашей компании, перемещение деятельности злоумышленников в малозащищенные регионы может привести к дальнейшей ее локализации в соответствующих слабозащищенных и экономически неразвитых регионах. Для предотвращения реализации данных угроз на предприятиях компания Symantec предлагает комплексный антивирусный продукт Symantec Endpoint Protection, объединивший собственные технологии Symantec, а также технологии компаний Sygate, Whole Security и Veritas, присоединившихся к Symantec в разное время. Решение объединяет антивирусный пакет Symantec AntiVirus с передовой защитой от угроз в едином ПО, гарантирующем беспрецедентную защиту ноутбуков, настольных ПК и серверов от вредоносного программного обеспечения. Заказчики получают интегрированный пакет, содержащий антивирус, ПО для защиты от программ-шпионов, межсетевой экран, локальное и сетевое решения для предотвращения вторжений (IPS), а также средства управления приложениями и устройствами в едином решении, которое просто инсталлируется и которым легко управлять. Symantec Endpoint Protection содержит новую упрощенную консоль управления, встроенный и изначально готовый к работе компонент Network Access Control (NAC) и целый ряд предложений по обучению и поддержке партнеров и заказчиков для ускорения процесса внедрения.

Решение объединяет в себе антивирус на базе сигнатур с новой превентивной технологией обнаружения угроз, защищая пользователя как от традиционных угроз, так и от угроз нового типа, ранее не известных рынку. Symantec Endpoint Protection содержит следующие компоненты: Усовершенствованная технология антивируса и антишпионского ПО – гарантирует лучшее обнаружение, блокирование и устранение вредоносных программ в режиме реального времени. Отличается повышенной производительностью, новым пользовательским интерфейсом и новой технологией глубокого сканирования Veritas для поиска и удаления скрытых руткитов, которые часто избегают обнаружения. Новый метод превентивной защиты от угроз – защищает от неизвестных (т. н. «нуль-день») угроз, используя алгоритмы контроля как полезного, так и вредного поведения программ, а также технологию Proactive Threat Scan, которая обнаруживает и блокирует вредоносные программы без сигнатур, предотвращая вторжения. Средства управления устройствами позволяют ограничивать доступ к устройствам (USB-устройства, сменные диски) в соответствии с установленными правилами безопасности, что снижает риск потери данных.

Защита от новых угроз – содержит компонент Generic Exploit Blocking (GEB), использующий уникальную технологию IPS на базе уязвимостей. Так как эта технология встроена в ядро сети, вредоносное ПО блокируется до того, как попадает в систему. В отличие от традиционных технологий Intrusions Prevention System (система предотвращения вторжений) на базе эксплойтов, GEB (Global Exploit Blocking) блокирует все новые виды вредоносного ПО (в том числе их варианты), пользуясь одной сигнатурой, что повышает точность и скорость обнаружения. Новый межсетевой экран на базе правил, приобретенный Symantec у компании Sygate, динамически регулирует параметры настройки портов, препятствуя распространению угроз, и проверяет как шифрованный, так и нешифрованный сетевой трафик.

Решение Symantec Endpoint Protection экономичнее в отношении требуемых ресурсов: оно занимает на 80% меньшее пространство памяти компьютера, чем предыдущая версия корпоративного антивируса компании.

Внедрение решения Symantec Endpoint Protection позволяет предприятию снизить расходы на администрирование, связанные с управлением множеством продуктов для обеспечения безопасности оконечных точек сети (рабочих станций/компьютеров сотрудников).

Symantec Network Access Control 11.0 – дополнительный модуль, тесно интегрированный с Symantec Endpoint Protection, который помогает заказчикам определять и оценивать состояние оконечных точек сети, предоставлять им доступ к соответствующим сетевым ресурсам и приводить их в состояние, гарантирующее соблюдение правил безопасности и стандартов.

«Ìåòàëëîèíâåñò», CISM, CISSP На текущий момент в УК «МЕТАЛЛОИНВЕСТ» в наибольшей степени используются ноутбуки. В основном это обусловлено частыми командировками сотрудников компании в управляемые общества, а также тем, что функционал КПК и смартфонов не позволяет в полном объеме использовать корпоративные IT-сервисы. Перспективной для российского рынка технологией является система мобильной электронной почты BlackBerry.

Основной угрозой, которую мы планировали учесть в процессе проектирования системы управления информационной безопасностью, является утечка конфиденциальной информации компании или персональных данных ее клиентов, которая может быть реализована в результате кражи/утери портативного компьютера, перехвата передаваемой по каналам связи информации, а также компрометации аутентификационных данных доступа к корпоративному сегменту сети. Для минимизации рисков информационной безопасности мобильных пользователей в УК «МЕТАЛЛОИНВЕСТ» используются: средства антивирусной защиты OfficeScan Client/Server Edition (TrendMicro), а также средства криптографической защиты данных, VPN-доступ к корпоративной сети и системы многофакторной аутентификации других компаний-разработчиков.

Вышеперечисленные контрмеры помогают снизить уровень риска утечки конфиденциальной информации в результате кражи ноутбука, перехвата передаваемой информации и т. д. Однако не следует забывать и про такую потенциальную уязвимость, как «человеческий фактор». С этой целью УК «МЕТАЛЛОИНВЕСТ» на периодической основе проводит семинары, в ходе которых сотрудникам детально разъясняются ключевые положения политики информационной безопасности компании и порядок обеспечения защиты конфиденциальной информации.

Текст статьи читайте в журнале "ПЛАС" 5 (135) ’2008 сс. 30-38



Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первые успешные проекты мобильных кошельков развились не на развитых рынках, и задолго до их появления в Европе или США – это были M-PESA в Кении а также Globe GCASH и SMART Money – на Филиппинах.