Выводя банковскую инфраструктуру из-под прицела кибератак

Александр Лямин
Генеральный директор Qrator Labs

По данным ЦБ РФ и Сбербанка, только за 9 месяцев 2016 года убытки от киберпреступлений в банковской сфере в России составили около 5 млрд рублей. Если еще год назад главной целью злоумышленников являлись клиентские счета, то сегодня это — сами финансовые учреждения.

Именно поэтому сегодня на повестку дня поставлено обеспечение информационной и сетевой безопасности банковской инфраструктуры, которая является краеугольным камнем для функционирования финансовой системы, а значит, фактором национальной безопасности.

Для начала давайте напомним, что максимальная ширина серии массированных DDoS-атак 8 и 9 ноября 2016 года на сетевые ресурсы ряда крупных российских банков, включая пять известных финансовых организаций из ТОП-10, составила около 2 ГБ/с. Об этой высокоскоростной кибератаке сообщалось в новостных лентах и профильные эксперты уделили анализу этого рецидива достаточно много внимания. Однако попытки кибератак на банковские сетевые ресурсы злоумышленники предпринимают почти каждый день. И это уже рассматривается как нечто повседневное, как фактор статистики.

По данным исследования Qrator Labs «Аспекты информационной безопасности в финансовом секторе, Сетевые угрозы в 2016 году», компании финансового сектора чаще всего атакуют посредством DDoS. Количество DDoS-атак за прошлый год возросло в сравнении с предыдущим годом примерно в полтора раза.

DDoS нередко используется для отвлечения внимания служб ИБ с целью осуществить целевые атаки на определенные ресурсы: например, для взлома сайта или же определенных веб-приложений.

Примечательно также, что практически каждый публичный ресурс хотя бы раз в месяц подвергается автоматизированным (часто не направленным на конкретную цель) атакам на публичные уязвимости. Причем в числе других инцидентов можно отметить вирусы, угрозы, связанные с инсайдерами и работой ДБО.

В банковском секторе вынуждены уделять инцидентам ИБ особое внимание, поскольку от этого зависит не только стабильность бизнес-процессов в банковской отрасли, но и доверие со стороны клиентской аудитории.

Так, в 2016 году аудиторская компания PwC констатировала, что расходы финансового сектора на ИБ-сектор за год стали расти на 3–4%. Очевидно, что ДБО без механизмов сетевой защиты может напрямую угрожать сохранности финансовых средств, что, в свою очередь, обернется для финансовой организации неизбежными репутационными потерями, дискредитацией ее как надежного оператора вкладов. Атакованная и выведенная — даже на короткий срок — из строя электронная площадка с большой вероятностью принесет банку убытки, а в случае многочасового простоя под ударом может реально оказаться сам бизнес финансовой организации. Уже известно, что ИБ-инциденты в результате кибератак привели к лишению лицензий для трех банков (предположительно, лицензии отбирали за мошенничество, поскольку руководство использовало кибератаки для маскировки вывода средств со счетов клиентов).

Однако до сих пор нормативы существуют только в области услуг связи и в части решений ИБ, устанавливаемых в сетевую инфраструктуру финансовых организаций, а вот регулирование на уровне услуг фильтрации трафика и защиты от распределенных атак на отказ в обслуживании пока отсутствует. Хотя подобная работа уже осуществляется в рамках принятых Банком России актов.

Для усиления противодействия киберпреступности Банк России разработал рекомендации по обеспечению информационной безопасности, которые вступили в силу с 1 мая 2016 года. Это первый подобный комплекс мер для банков по выстраиванию эффективности системы мониторинга для минимизации риска утечек информации.

Между тем, ряд финансовых структур недооценивает реальный уровень угрозы ИБ, надеясь на защиту своей инфраструктуры со стороны оператора сетей, провайдера. Как правило, оператор связи, предлагая сервисное обслуживание сетевой инфраструктуры финансовой организации, обещает обеспечить также и защиту от DDoS-атак, правда, в качестве дополни- тельной услуги. В абсолютном большинстве случаев для предоставления услуги по нейтрализации атак операторы связи используют фермы вендорских аппаратных решений: Arbor, Radware или отечественные варианты, такие как АПК МФИ Периметр. (Ферма аппаратных решений — это группа серверов, соединенных между собой в единую сеть передачи данных и работающих как единое целое).

В исчезающе редких случаях применяются облачные решения в формате партнерства, когда оператор связи выступает реселлером облачного решения при минимальной или вообще отсутствующей технологической интеграции.

ИБ-эксперты отмечают, что метод операторского противодействия хакерским атакам становится все менее эффективным, поскольку арсенал злоумышленников зачастую имеет более продвинутую технологическую базу. Более того, в договоре между банком и оператором связи отсутствуют гарантии обеспечения доступности ресурса в случае проведения широкополосных атак и атак с использованием механизма мимикрии под легитимных пользователей.

Также возможности провайдера ограничены доступным для него каналом, и в случае возникновения серьезной атаки он не всегда может справиться с ней самостоятельно, поскольку стандартные операторские сети не способны выдерживать экстремальные нагрузки при высокоскоростных атаках. А это значит, что любая масштабная атака может перекрыть всю имеющуюся канальную емкость оператора, выведя из строя большинство клиентов его сервиса. К тому же такие средства практически никогда не поставляются в комплекте с интегрированным WAF (Web Application Firewall) либо сканером сетевого периметра, обеспечивающим защиту от хакерских атак.

Наиболее прогрессивными мерами противодействия DDoS-атакам сегодня эксперты признают специализированные геораспределенные удаленные решения, например, Cloudflare, Prolexic, Qrator, «Лаборатория Касперского», Incapsula, Arbor. Преимущество их в том, что подобные решения изначально проектировались для работы в режиме постоянного воздействия массированных атак.

Такая система активно перераспределяет нагрузку, а значит, DDoS-атаки, проводимые на ресурс одного из клиентов, никак не скажутся на работоспособности сетевых ресурсов других клиентов, поскольку каждый сервер будет функционировать автономно. Чтобы обеспечить эффективное противодействие атакам, необходимо постоянно вести исследовательскую работу: четко отслеживать источники атак, используемые злоумышленниками инструменты, отслеживать изменение ситуации в глобальной сети, понимая логику ее внутренних связей. Такая работа, безусловно, требует инвестиций, сформированной команды квалифицированных специалистов, соответствующего оборудования.

С позиции операторов связи это весьма затратное и неспецифическое направление. Альтернативным решением могло бы стать внедрение специализированных геораспределенных решений для противодействия DDoS-атакам. Причем такие системы, благодаря встроенным алгоритмам машинного обучения, имеют механизм самосовершенствования. Они также могут настраиваться под конкретных клиентов, чтобы учитывать особенности бизнеса, что невозможно в случае с операторскими решениями.

Хотя в банковской среде противодействие кибератакам сегодня, как правило, опирается на привлечение ИБ-сервисов операторов связи, уже четко обозначилась тенденция кардинально изменить механизм защиты на основе внедрения распределенных сервисов. Это обусловлено новыми вызовами, например, использованием хакерами передовых технологий, повышением социальной значимости и роли ДБО, безналичных форм расчета.

Киберпреступники, выявляя в сетевой инфраструктуре финансовых организаций уязвимости, незамедлительно организует атаки. На нечестные средства конкурентной борьбы есть спрос, который рождает предложение. Поэтому финансовые организации, использующие устаревшие средства защиты, оказываются не просто в зоне особого риска, а буквально перед угрозой уничтожения.

Оценивая угрожающий уровень роста сетевых атак на финансовые организации, регулятор взял курс на ужесточение мер ИБ. В частности, Банк России намерен уже в 2019 году обязать отечественные банки функционировать по нормативам нового ГОСТа, предусматривающего соблюдение финансовыми организациями порядка 400 положений по ИБ. И сегодня такая политика регулятора вполне адекватно отвечает не только интересам бизнеса и клиентов, но и национальной безопасности России.

Журнал «Банковские технологии», №6, 2017.