Мобильное приложение журнала
Google Play Apple Store
курс цб на 10.12: USD 63.7244 EUR 70.5047
криптовалют: BTC 7334.5$ ETH 147.45$
lupa
389 просмотров

Сбербанк о кибербезопасности: от устойчивости к невосприимчивости

Сбербанк о кибербезопасности: от устойчивости к невосприимчивости

О том, с какими проблемами приходится сегодня сталкиваться банкам на пути обеспечения кибербезопасности, как смещаются векторы атак злоумышленников, почему ведущую роль начинает играть социальная инженерия и как ей противостоять, журнал «ПЛАС» беседует с Сергеем Лебедем, вице-президентом-директором Департамента кибербезопасности ПАО «Сбербанк».

ПЛАС: Каковы сегодня, на ваш взгляд, наиболее актуальные проблемы обеспечения безопасности и противодействия мошенничеству? Что изменилось за более полутора лет, прошедших со времени нашей прошлой беседы?

С. Лебедь: Говоря о безопасности банковской инфраструктуры, ограничусь тремя ключевыми проблемами, хотя в целом их, конечно же, больше.

Первое – отсутствие фокуса в ландшафте угроз. Мы выделили топ-10 угроз и в течение года наблюдали за динамикой. Результаты довольно интересные: не оказалось угроз, которые долгое время держатся на одной и той же позиции рейтинга. Это подтверждает, что злоумышленники постоянно наращивают активность, а степень их изобретательности порой просто поражает. Они обрабатывают результаты атак, анализируют их успешность и корректируют способы нападения. Таким образом, сложно сфокусироваться на чем-то определенном. Ландшафт угроз находится в очень сильной динамике, и надо быть готовыми к большому количеству разнообразных атак.

Впрочем, на основе нашей аналитики за 2018 год мы можем сказать, что глобально фокус сместился от вирусов-шифровальщиков в сторону утечек данных. Для банковской инфраструктуры мы можем отметить смещение в сторону банковских троянов и фишинга. Злоумышленники объединяют свои усилия в виде совместного использования общей технической инфраструктуры, вычислительных мощностей и вирусных программ (вирусного программного обеспечения, ВПО). На протяжении года мы фиксировали проведение атак разных троянов с одной и той же физической инфраструктуры. В топ-5 можем включить Trickbot (38 атак), Cobalt (35 атак), RTM (30 атак), Emotet (21 атака) и Dimnie (17 атак). В 2019 году присутствие этих угроз сохраняется.

Есть такой термин KYC – know your customer («знай своего клиента»). Сегодня мы можем трансформировать его в KYE – know your enemie, т. е. знай своего врага. Для этого мы используем Threat Intelligence Platform собственной разработки – собираем и анализируем данные по различным атакам и угрозам, разрабатываем средства мониторинга и противодействия, формируем собственный ландшафт угроз.

Еще один момент – огромное количество уязвимостей. Их тысячи, и все приходится анализировать, выбирать применимые, строить векторы достижимости внутри инфраструктуры, проверять наличие эксплойтов, искать их, проверять работоспособность. А по итогам этой работы необходимо делать вывод о критичности этих уязвимостей для инфраструктуры и организовывать приоритизированную установку обновлений.

Но и провести установку обновлений не всегда бывает легко или даже возможно. В этом случае необходимо очень оперативно разработать временные, но эффективные компенсирующие меры для защиты от атак, которые могут быть реализованы через незакрытые уязвимости. Эта работа требует наличия актуальной CMDB (Configuration management database), которую нужно вести для любых инфраструктур. Процесс управления уязвимостями содержит много проблемных зон, и мы рекомендовали бы уделять этому большое внимание.

На сегодня у нас есть информация о более чем 113 тыс. уязвимостей для различных продуктов. Почти для 20 тыс. из них существуют эксплойты. По усредненной оценке, для банковской инфраструктуры применимы около 5 тыс. уязвимостей.

Наконец, третья проблема – проблема неполного использования средств защиты банковской инфраструктуры. Здесь применяются самые актуальные инструменты – отставание в этой области эквивалентно пропущенным атакам. Все это понимают, но периодически хакеры все же добиваются успеха. По нашей оценке, одна из основных причин заключается в том, что очень часто потенциал средств защиты используется на 10–30%. Остальной ресурс оказывается невостребованным в силу отсутствия необходимых компетенций. После внедрения средств защиты их администраторы должны на экспертном уровне погружаться в конфигурирование и настройку, но очень часто этого не происходит: как вендор внедрил, так все и эксплуатируется, и очень часто – в базовой конфигурации. У себя в Сбербанке мы уделяем большое внимание этой проблеме и исключаем такой подход еще на этапе внедрения.

На основе аналитики Сбербанка за 2018 год можно утверждать, что глобально фокус сместился от вирусов-шифровальщиков в сторону утечек данных

Теперь несколько слов о проблемах противодействия мошенничеству. Здесь в первую очередь нужно говорить о социальной инженерии: по итогам первого квартала 2019 года доля этого вида в общем объеме кибер­мошенничества достигла 88%. По данным Сбербанка, за год этот показатель вырос на 6%.

Еще пару лет назад «социальные инженеры» ограничивались SMS-рассылками, но с тех пор значительно продвинулись в используемых методах: в частности, научились использовать уязвимости в IP-телефонии, которые позволяют подменить номер звонящего. Таким образом, они могут позвонить якобы с номера банка и тем самым ввести в заблуждение клиента.

Наша антифрод-команда решила эту проблему на уровне операторов связи. Кроме того, мы научились выявлять похожие кейсы, когда злоумышленники звонят в call-центр банка, подменяя номера телефонов на телефоны клиентов, чтобы узнать банковскую информацию по этим клиентам. Благодаря принятым мерам мы смогли предотвратить ущерб на сумму более 100 млн рублей.

Еще одна актуальная схема социальной инженерии – маскировка мошенников под брокеров. Псевдоброкеры сулят высокие проценты, и клиенты нередко поддаются искушению и переводят им деньги. Естественно, в результате они теряют свои сбережения. У нас есть способы выявления подобных аферистов. В таких случаях мы проводим с клиентами разъяснительные беседы. Надо признать, что эти разъяснения не всегда заканчиваются успехом: желание «заработать» легкие деньги порой оказывается сильнее здравого смысла.

Здесь стоит коснуться основной причины распространения социальной инженерии. Она заключается в развитии систем защиты банков: совершить успешную атаку на них все сложнее. А чтобы обмануть человека, достаточно владеть методами психологического внушения. Основную часть таких преступлений составляют так называемые «самопереводы», когда клиент самостоятельно совершает и подтверждает операцию под воздействием мошенника (например, перевод аванса за покупку с сайтов объявлений или из соцсетей), а в дальнейшем обращается в банк с претензией на то, что его обманули.

Вывод достаточно прост: социальную инженерию невозможно победить только техническими мерами, потому что за безопасность средств клиентов отвечает не только банк, но и сам клиент. Поэтому все упирается в проблему киберграмотности потребителей, которой нужно продолжать активно заниматься.

ПЛАС: Разрыв между технологическим развитием и технологиями безопасности в банкинге и розничной финансовой индустрии – каковы его причины и как его сократить? Соответствует ли, на ваш взгляд, в целом ИТ-инфраструктура российских банков требуемому уровню киберустойчивости?

С. Лебедь: Безусловно, существенный разрыв между технологическим развитием компаний финансовой индустрии и технологиями обеспечения кибербезопасности связан с объективной реальностью, в которой победитель конкурентной гонки получает все. А финансовый рынок – один из наиболее технологически насыщенных и конкурентных на сегодняшний день. Идет серьезная борьба за клиента, и в этой борьбе инновационные решения, которые позволяют завоевать его лояльность, являются приоритетными для бизнеса и руководства организаций.

Безопасность является далеко не последним фактором, которым руководствуется клиент, делая выбор между поставщиками услуг

Этим же посылом руководствуется и рынок разработки, где инновации превалируют в бизнес-решениях, которые выступают драйверами развития таких инноваций. К сожалению, кибербезопасность пока остается на вторых ролях, пытаясь лишь успевать за изменениями технологического ландшафта.

Достаточно посмотреть на тренды развития, например, платформ контейнеризации. Если с базовыми функциями, обеспечивающими быструю разработку и вывод на рынок новых сервисов, эксплуатацию и мониторинг платформы, все обстоит довольно неплохо, то о технологиях обеспечения безопасности контейнеров такого сказать уже нельзя. Им начали уделять серьезное внимание совсем недавно, и это внешние по отношению к технологии решения – Container Security Platform. Разработчики самой платформы вкладываются в безопасность в меньшей степени.

Однако не стоит забывать о том, что безопасность является далеко не последним фактором, которым руководствуется клиент, делая выбор между поставщиками услуг. И клиентский опыт состоит в том числе из функций и возможностей, которые дают клиенту уверенность в том, что его финансовые средства будут в сохранности, а сервис, которым он пользуется, будет доступен 24х7х365.

Как сократить этот разрыв в технологиях?

Продолжение материала содержит полезную для вашего бизнеса информацию…

Подписка позволяет читать все статьи портала

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных