Андрей Попов: о трансформации рынка услуг по информационной безопасности в период пандемии

В 2020 году пандемия COVID-19 и переход на дистанционную работу возвели защиту информации в ТОП забот крупных и средних предприятий, в том числе — банков. Перед компаниями стояла задача в максимально сжатые сроки наладить систему защиты средств удаленного доступа.

Как 2020 год модифицировал типы угроз информационной безопасности банков и что делать, чтобы защититься от них уже сейчас? Рассмотрим в этой колонке.

Тренд № 1: «Охота на большую рыбу» Раньше киберпреступники предпочитали грабить клиентов банков, одновременно атакуя большое количество целей. При таком раскладе жертвами становились наименее защищенные пользователи. Сегодня же злоумышленники переключились на более крупную добычу, а именно — на сами финансово-кредитные организации.

Основной тенденцией начала нового десятилетия стали таргетированные атаки (Advanced Persistent Threat / APT). Подготовка таких кампаний занимает месяцы, а защититься от них очень сложно даже продвинутым в плане информационной безопасности банкам.

APT состоит из нескольких этапов: начинается разведкой и внедрением, а заканчивается уничтожением следов присутствия. В итоге злоумышленники фиксируются в инфраструктуре банка-жертвы и остаются незамеченными месяцами, имея доступ к любой корпоративной информации.

По данным исследования международной компании Positive Technologies о работе хакерских группировок, прибегающим к APT, каждая такая группировка прибегает к фишингу, а в поисках банковских систем в сети преступники используют легитимные утилиты для администрирования и скомпрометированные учетные данные.

Тренд № 2: «RDP — слабое звено в системе защиты». Еще одной «кормушкой» хакеров в 2020 стал массовый переход на удаленную работу сотрудников финансовых организаций. Это дало возможность мошенникам развернуть масштабные кампании по атаке удаленных соединений.

Так как банкам необходимо было обеспечить доступ сотрудников ко всем необходимым корпоративным ресурсам, многие принимали решение обратиться к технологии удаленных рабочих столов Remote Desktop, позволяющих подключаться к рабочему компьютеру из дома.
Однако именно протоколы RDP (remote desktop protocols) стали слабым местом в кибербезопасности компаний.

Из-за уязвимости RDP пользователи становятся жертвами кражи идентификационных данных, «атаки посредника» (внедрение третьего лица в канал связи между двумя сторонами) и дистанционного выполнения кода.

Любое решение для удаленных рабочих столов в случае компрометации предоставляет злоумышленнику доступ к ресурсам организации.

Ответственные департаменты организаций, в которых используют RDP, должны обеспечить своим сотрудникам дополнительные меры защиты. О них тоже поговорим в колонке.

Тренд № 3: «Кража идентификационных данных — классика на все времена». Согласно данным Verizon 2020 Data Breach Investigations Report, среди мошеннических действий, реализованных злоумышленниками в 2020 году, на втором месте по частоте совершения находится кража идентификационных данных.

Получая нелегальным образом легальные ключи, мошенники обеспечивают себе доступ ко всей информации, которую содержит корпоративная сеть, и при этом остаются незамеченными.

Хакерам удается добыть идентификационные данные с помощью техники credential dumping. Впоследствии эти данные используют для будущих атак.

В условиях удаленной работы и возросшего количества кибератак в период пандемии, одним из главных приоритетов любого банка должна быть защита онлайн-сервисов, API и контейнеризации.

Мировые банки активно применяют новые технологии, которые позволяют работать в условиях соблюдения социальной дистанции: блокчейн, искусственный интеллект, интернет вещей и другие.

Однако не стоит забывать, что трансформируются не только средства защиты. Методы и инструменты работы киберпреступников также модернизируются и адаптируются. Ярким примером является ответ хакеров на внедрение биометрической аутентификации — разработка технологии Deep Fake, позволяющей обходить такой контроль.

Внедрение многоуровневых технологий безопасности сегодня стало главным помощником организаций в контроле взаимосвязанных устройств, рабочих и персональных гаджетов как сотрудников, так и их клиентов.

Для начала стоит уяснить, что кибербезопасность — процесс, который необходимо поддерживать непрерывно. Осуществлять контроль корректности работы систем информационной безопасности должны специалисты по кибербезопасности. В их обязанности входит:

В вашей команде есть такой специалист? Если нет, то самое время объявить конкурс на вакансию, ибо в 2021 году вышеперечисленные тренды не только не исчезнут из арсенала злоумышленников, но и «мутируют» в новые, еще более изощренные и опасные.

Еще один помощник для поддержки безопасности — машинное обучение. Эксперты в области ИБ подтверждают, что оно может помочь банку с отслеживанием и оценкой финансовых транзакций.

Почему это полезно? Роботизация действий аналитиков при реагировании на инциденты ИБ помогает повысить эффективность деятельности SOC-центров, снизить рутинную нагрузку на сотрудников, обеспечить своевременную обработку угроз в условиях размытого периметра защиты, большого количества новых рисков и возможных задержек в оперативной коммуникации во время удаленного режима работы.

Что касается описанной в первой части статьи проблемы с удаленными рабочими столами, то тут сразу нужно отказаться от желания запустить RDP непосредственно через Интернет. Необходимо выполнить перечень превентивных шагов, прежде чем начинать работу. Ключевые из них:

Исследование Cisco 2021 Security Outcomes Study показало, что существуют две передовые практики, которые способствуют успеху программ безопасности. Это проактивное обновление ИБ-технологий и обеспечение их качественной интеграцией с широким спектром сторонних решений.

Следуя этим рекомендациям, организации существенно повышают свои шансы на создание сильной внутрикорпоративной культуры обеспечения информационной безопасности.

Повысить эффективность работы по обеспечению ИБ помогут также эффективное использование автоматизации, соответствие принципу zero trust («ноль доверия») и регулярная инвентаризация активов.

Чтобы предотвратить хищение идентификационных данных, нужно отслеживать аргументы командной строки, используемые в атаках credential dumping, а также анализировать журналы для выявления незапланированной активности на контроллерах домена.

Важно вовремя выявить и идентифицировать неестественные/незапланированные соединения с IP-адресов к известным контроллерам доменов.

***
Человеческий фактор, зависимость от третьих лиц при обработке данных, IТ-аутсорсинг усложняют контроль за киберсредой и возможными угрозами. Поэтому финансовым организациям стоит уяснить, что при разработке общей бизнес-стратегии нужно обязательно уделить внимание проблемам IТ-инфраструктуры.

Последствием недооценки рисков, связанных с информационными системами банка, может стать масштабный сбой в IТ-инфраструктуре, который повлечет за собой остановку операционной деятельности. Однократные финансовые потери при таком развитии событий могут существенно превысить суммарный объем годового IТ-бюджета банка.

Андрей Попов, партнер Kreston GCG

Источник