«Зачем нам вообще на профильных не маркетинговых мероприятиях говорить о SOC, если более чем в 80% российских банков его просто нет физически? И ведь все живы, работают, и Центральный Банк не предъявляет претензий?!» − этот вопрос из зала от коллеги из службы информационной безопасности на одном из прошедших форумов сразу породил полемику среди участников экспертной панели и слушателей. «Наверное, затем, что в 20% банков SOC в том или ином виде все-таки есть и для них эта тема актуальна!» − парировал один из экспертов. Неудивительно, это был представитель вендора. «А как же вы и вам подобные будут исполнять директивы № 187-ФЗ и постановлений ЦБ о постоянном мониторинге и регистрации инцидентов ИБ?» − ответил вопросом на вопрос коллега по отрасли. «SOC − это ваше будущее, не нужно становиться препятствием на пути прогресса вашей организации», − поддержал полемику представитель регулятора.
Потребность в SOC
А ведь все коллеги, в принципе, говорят об одном и том же, и все, как ни странно, правы − в своем контексте. Дежурная смена/дежурный оператор, специалист инженерной службы по мониторингу работоспособности, круглосуточная техническая поддержка, контрольно-измерительная служба, отдел координации и восстановления после сбоя, группа аварийных комиссаров и многое другое − при погружении в описание сути задач и детали должностных инструкций каждого из представителей перечисленных выше «сущностей» неизбежно наткнешься на аналогии с функционалом и задачами сотрудников SOC. Так ли «далека от народа» тема SOC?
Согласно данным ежегодного отчета профильного подразделения Центрального Банка РФ по основным типам кибератак на кредитно-финансовые институты за 2017 г., количество целевых атак на банки в России растет лавинообразно и не поддается прогнозированию. Всеобщая информатизация современного общества и постепенный отказ от традиционных способов ведения бизнеса в пользу новых, ранее не используемых технологий, например, мобильного банкинга, дистанционного расчетного центра корпорации на базе SaaS или систем моментальных переводов без открытия счета и пр., − в списке основных причин номинального возрастания количества актуальных киберугроз в отношении как клиентов различного типа и уровня, так и финансовых организаций. Ранее, начиная с 2016 г., эксперты по информационной безопасности фиксировали несущественное увеличение и развитие вариативности в целевых атаках.
По мнению FinCERT ЦБ, отличительной особенностью 2016 г. стало использование для компрометации информационных систем и сетей в банках легальных, не определяемых антивирусными средствами инструментов и программного обеспечения, предназначенных для регулярного администрирования и проведения штатного тестирования на проникновение. Многие группировки киберзлоумышленников и реализованные ими резонансные атаки получили свои псевдонимы и громкие заголовки по названию применяемых методик и технических средств (Cobalt Strike, Armitage, Empire). Используемые в целевых атаках наборы инструментов, разработанные с применением техник, затрудняющих их обнаружение, по факту предоставляли простой механизм удаленного управления зараженными компьютерами, а также включали утилиты, предназначенные для сбора информации о сети организации и потенциального хищения данных, необходимых для эффективного продолжения целевой атаки.
Согласно исследованию, проведенному представителями отечественных криминалистических лабораторий, в 2017 г. набор инструментов Cobalt Strike стал самым часто применяемым инструментом для кибератак на системы и каналы дистанционного банковского обслуживания (в том числе мобильные приложения и банкоматы). В том же отчете ЦБ отмечено, что потери российских банков от кибератак с использованием ПО Cobalt Strike в 2017 г. превысили 1 млрд руб. По оценкам отдельных независимых экспертов и представителей служб информационной безопасности банков Top 3, эти показатели не соответствуют реальным потерям и занижены как минимум в два-три раза.
Не секрет, что банковская сфера традиционно весьма чувствительна к современным кибератакам. В прошедшем году основные потери понесли те клиенты банков, которые регулярно пренебрегали минимальными требованиями по обеспечению информационной безопасности при работе с финансовыми инструментами и в дистанционных каналах обслуживания. Если даже в экспертных оценках не учитывать масштабы и последствия успешно реализованных злоумышленниками в целях нарушения доступности атак на финансовые организации по всему миру с использованием вирусов-шифровальщиков (Wanna Cry, NotPetya, BadRabbit – это только то, что на слуху), то резонансные атаки на файловые перекладчики в АРМ КБР/АРМ КБР-С или на транспортную подсистему клиентской части платежной системы SWIFT в отдельных российских банках осенью 2017 г. наглядно иллюстрируют дефекты в подсистемах защиты и торжество выбранных методов совершения злоумышленниками комплексных атак через Интернет.
«Новогодние уязвимости» в архитектуре аппаратных платформ (Spector и Meltdown) крупнейших производителей аппаратных вычислительных компонентов, наличие уже в конце I квартала 2018 г. на их основе более 200 эксплойтов, готовых к применению в различных средах и не детектируемых основными антивирусными вендорами, – все это создает реальные предпосылки для совершения более масштабных кибератак, в фокусе которых могут оказаться и российские банки. Реальные цифры, подтверждающие эффективность противодействия со стороны служб информационной безопасности целевым кибератакам с использованием ставших известными уязвимостей, в общем доступе найти достаточно сложно. Но статистика портала bankir.ru, демонстрирующая за любой выбранный период в разрезе по месяцам увеличение количества негативных (без анализа причин) отзывов и неудовлетворенных обращений озадаченных клиентов банков (представителей юридических или физических лиц), неожиданно столкнувшихся с фактом несанкционированного доступа к собственному счету, не согласованного перевода или нарушения доступности в дистанционных каналах обслуживания с последующей попыткой вывода средств в сторонние банки, говорит о стабильно высоком интересе кибермошенников к совершению все новых атак.
Защита SOC
Одним из наиболее востребованных инструментов для борьбы с современными киберугрозами, как показывает статистика Центрального Банка, является комплекс организационно-технических методов и инструментов под общим названием «ситуационный центр по информационной безопасности» (не дословный перевод с английского языка термина SOC). Сам термин, как и методы, и технологии, его реализующие, − далеко не нов для российского сообщества специалистов по ИБ. Прошедшие сложные этапы становления внутри компании или привлеченные к сотрудничеству по договору аутсорсинга SOC последовательно развивались в России на протяжении как минимум последних трех-пяти лет. По состоянию на 2018 г. Наиболее высокий интерес вызывает уже не фактическое наличие или процесс создания, а повышение уровня эффективности и качества повседневной работы SOC по прогнозированию, своевременному выявлению и минимизации последствий реализации событий с признаками инцидентов.
По мнению ЦБ, успехи злоумышленников при проведении целевых атак на финансовые организации в 2017−2108 гг. обусловлены следующими факторами:
- снижение бдительности сотрудников организации и нарушение исполнительской дисциплины;
- повышение квалификации злоумышленников в части социальной инженерии и совершенствования способов доставки загрузчиков вредоносного программного обеспечения;
- появление в свободном доступе программного обеспечения, предназначенного для проведения тестирования на проникновение;
- недостаточная бдительность или оснащенность техническими средствами сотрудников служб ИТ и ИБ.
Мнение ЦБ разделяют и другие отечественные службы и регуляторы. Результатом совместного обсуждения и выработки предложений по противодействию современным киберугрозам стали разработка и принятие в III квартале 2017 г. Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Основной целью появления важного для отрасли документа является комплексное обеспечение информационной безопасности отдельных объектов и организаций в России для их устойчивого функционирования при проведении в отношении них кибератак. Для трех категорий объектов КИИ в законе определены краткие требования по организации защиты информации, способы проведения оценочных и контрольных мероприятий в отношении владельцев и организаторов объектов КИИ, а также меры ответственности за несоблюдение этих требований. В целом на этом описание открытых для интернет-аудитории мероприятий по обеспечению сохранности и безопасности объектов КИИ заканчивается.
В III квартале 2017 г. Правительством РФ было принято решение всю текущую деятельность организационного и технического плана по реализации указанных в Федеральном законе № 187-ФЗ требований проводить под грифом секретности и конфиденциальности. Разработка подзаконных документов и дополнительных нормативно-правовых актов в период с августа 2017 г. по апрель 2018 г. проходила согласно утвержденному заместителем Председателя Правительства РФ Плана (от 28.09.2017 № 5985п-П10). В плане собраны инициативы различных министерств, федеральных органов исполнительной власти и служб по созданию правовой базы для последовательного внедрения Федерального закона № 18-ФЗ в 2018−2019 гг.
Как эти инициативы связаны с отечественными банками? Согласно ст. 2 п. 8 Федерального закона № 187-ФЗ субъектами КИИ являются помимо прочего российские юридические лица, которым на правах собственности принадлежат информационные системы, функционирующие в банковской сфере и иных сферах финансового рынка. Это означает, что при реализации определенных дополнительных условий (в том числе на должном уровне автоматизации и выпуске подзаконных нормальных актов в сроки, указанные в Плане 5985п) кредитно-финансовым организациям будет вменено, в целях регулярного контроля со стороны ответственных государственных исполнителей, передавать стандартизованную информацию об имевших место событиях с признаками инцидентов в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Что дальше госорганы будут делать с этой информацией и что будет, если ее не передать в срок или частично, – говорить пока преждевременно, но задуматься о том, какими техническими инструментами и средствами выявлять, собирать, регистрировать, учитывать, обрабатывать, коррелировать, расследовать, минимизировать потенциальные негативные последствия для бизнеса от появления атомарных событий или цепочек событий с признаками инцидентов и как методологически корректно и превентивно организовать этот процесс в организации до поступления официального (часто достаточно срочного) постановления Правительства РФ лучше заранее. Должна ли это быть SOC, CERT или иная структура – по тексту № 187-ФЗ не указано. Однако хорошо зарекомендовавшая себя мировая практика внедрения в организациях инцидентно-ориентированного подхода идеально сочетается с видением российских регуляторов организации защиты информации на объектах КИИ.
Варинаты повышения эффективности SOC
Сегодня, чтобы обеспечить оперативное реагирование на инциденты кибербезопасности и минимизировать возможный ущерб, экспертам-аналитикам в SOC необходимость обладать релевантной информацией об актуальных киберугрозах и инцидентах, в частности, имевших место в сторонних финансовых организациях. Для этого существует ряд подходов, проверенных на практике и подтвердивших в отдельных ситуациях свою эффективность реальными результатами.
Первый из них, традиционный и слабо автоматизированный, – постоянный оперативный обмен данными о событиях и признаках инцидентов (без взаимного раскрытия конфиденциальной информации и банковской тайны) в рамках сообщества представителей служб информационной безопасности в финансовом секторе РФ посредством электронной почты и/или телефонного взаимодействия. По состоянию на апрель 2018 г. в этом неформальном сообществе числится 384 финансовые организации и более 700 персональных участников – офицеров по информационной безопасности, работающих в банковской системе РФ (клуб «Антидроп»). Ежедневное общение между отдельными участниками сообщества, а также еженедельные рассылки неструктурированной информации об актуальных угрозах ИБ и имевших место инцидентах при правильной обработке и применении позволяют превентивно реагировать на современные киберугрозы. Выбранный для общения по электронной почте способ – не самый технически совершенный, однако для многих российских банков он, в силу ограниченности финансирования и нестандартизованного ИТ-ландшафта, является единственно доступным.
Этими же аргументами руководствовались представители FinCERT ЦБ РФ, которые с 2015 г. ежедневно рассылают информацию об актуальных угрозах по ограниченному списку контактных адресов электронной почты известных им сотрудников российских банков. И эти рассылки действительно работают. Офицеры по информационной безопасности внимательно читают письма коллег и представителей регулятора и предпринимают все необходимые действия для сдерживания кибератак злоумышленников согласно приложенным рекомендациям. В 2016 г. злоумышленники попытались реализовать серию атак класса «фишинг» (подмена адреса доверенного отправителя) на всех участников рассылок «клуба Антидроп» и FinCERT ЦБ РФ. К сожалению, некоторые банки не устояли против такой комплексной спланированной атаки. Но сообщество ИБ-специалистов реализовало необходимые меры защиты, и в 2017−2018 годах подобные кибератаки злоумышленников не увенчались успехом.
Второй подход – получение финансовыми организациями на коммерческой основе актуальных индикаторов компрометации в структурированном виде от профильных исследовательских организаций и внешних SOC. Специалисты коммерческих SOC- и CERT- структур по всему миру ежедневно обрабатывают миллионы атомарных событий с признаками инцидентов, определяют основные характеристики и вероятностные показатели, находят предпосылки, изучают сценарии и последствия реализации данных угроз, проводят комплексное исследование инструментов злоумышленников и «на выходе» выделяют доступные по унифицированному протоколу «рафинированные» признаки киберугрозы, типы уязвимостей, основные контрольные точки сценария атаки и рекомендованные способы выявления и противодействия. Именно эти готовые к применению во внутренней инфраструктуре информации индикаторы компрометации (IOC) являются продуктом аналитиков по ИБ, которые при корректном использовании внутренними службами снижают до приемлемого минимума вероятность и масштабы вредоносного воздействия киберугрозы. Выполнение регулярных автоматических проверок и информирование специалистов SOC о появлении событий с признаками IOC во внутренних системах снижают вероятность и ущерб от проведения кибератак на целевые системы.
В качестве примера можно привести стандартные сценарии автоматической загрузки из внешнего хранилища, анализа и последовательной проверки наличия событий с признаками IOC внутри периметра защиты. IOC могут использоваться для построения корреляций событий безопасности, при анализе данных и для сбора статистики, а также при построении отчетов. Использование полученных индикаторов компрометации позволяет изменять приоритет событий безопасности, поступающих от источников, снижать количество ложных срабатываний, а также формировать оповещения, отчеты или статистику для аналитиков SOC по выявленным угрозам.
Сценарии использования
Рассмотрим сценарий применения IOC для решения задачи: «Выявление массовых или целенаправленных фишинговых рассылок по электронной почте с вредоносным вложением, не определяемым антивирусными средствами»
Используемые для анализа данные из IOC: адрес электронной почты отправителя сообщения, перечень использованных в теле письма ссылок и наименований доменов, подконтрольных злоумышленникам, результаты вычисления HASH-функции от вложенных файлов и др.
Возможные источники поступления событий с признаком по данному IOC: внутренний почтовый сервер организации, внешний почтовый сервер организации, почтовые перекладчики, система анализа почтовых сообщений на предмет отнесения к категории SPAM, системы выявления и предотвращения вторжений и пр.
Рекомендация по выявлению событий с признаками IOC: правило на основе IOC осуществляет поиск в SMTP-трафике (и/или событиях от указанных выше источников) электронных писем с подозрительным содержимым (содержащих фишинговые ссылки, ссылки на вредоносные домены, вредоносные вложения и т. д.), которые были отправлены одному или нескольким получателям.
Действия после выявления: блокировка дальнейшей обработки на источники (в том числе внутри периметра безопасности) с обязательным уведомлением офицера информационной безопасности SOC.
Отличие третьего подхода к повышению эффективности работы SOC от первых двух заключается в высоком уровне автоматизации и большом объеме предварительной работы. Настроенные на обговоренные ранее, но гибкие форматы обмена информацией между банками и поставщиками шлюзы автоматически получают информацию об IOC по подключенным к ним каналам передачи информации (API для портальных решений, подписанная ключами e-mail рассылка с XML-вложениями, сформированные экспертами «черные» и «белые» списки или иное), обрабатывают ее, формируют на ее основе правила корреляции событий, которые по интеграционному контуру поступают под контролем экспертов во внутренний периметр, где средствами SIEM или ESM решений в цикле проводятся автоматические проверки с формированием отчетов и оповещением ответственных лиц. Источники здесь могут быть самые разные – коммерческие, экспертные, рассылки антивирусных компаний или международных CERT, обязательные к исполнению директивы регуляторов и пр. В данном случае сценарии применения инструментов SOC могут быть существенно усложнены, а принцип их действия из категории ретроспективного анализа переведен в категорию «псевдо-онлайн».
Поясним это на примере следующего сценария. Предположим, перед SOC стоит задача выявлять «попытки соединения с управляющими серверами зараженных станций внутри периметра защиты». Для этого могут быть использованы следующие IOC: перечень ссылок и доменных имен, подконтрольных злоумышленникам, списки IP-адресов в Интернете, к которым ранее были обращения с зараженных машин, а также перечень верхнеуровневых протоколов и портов для организации сокетов. Возможными источниками для сбора и анализа нужных атомарных событий выступят межсетевые экраны, серверы-посредники, серверы доменных имен, системы выявления и предотвращения вторжений. Базовый сценарий работы с этими IOC предполагает поиск в потоке трафика и журналах регистрации событий от указанных источников обращений на внешний сервер (хосты, IP-адреса, ссылки, доменные имена и пр.), являющийся командным сервером управления вредоносного ПО. Причем без динамически обновляемых списков актуальность этой информации будет ежеминутно снижаться. Настроенное автоматическое обновление «черных» списков (без привязки к типу атаки и названию групп злоумышленников) путем получения IOC через интеграционный контур позволит как режиме реального времени, так и в ретроспективе анализировать большие объемы данных, каждый раз используя для этого новые шаблоны и поисковые образы.
Заключение
Эффективное противостояние динамически изменяющимся угрозам, обеспечение гарантированной сохранности и стабильного увеличения прибыльности выбранного банковского продукта, минимизация финансовых рисков для клиентов – лишь малая часть того, что требуется от среднестатистического банка обычному клиенту в России в 2018 г. Понимая это, стараясь привлечь на обслуживание как можно больше клиентов, глубже погружаясь в тему киберугроз (на примере инцидентов в сторонних российских банках и приведенной FinCERT статистики) и прогнозируя для себя последовательное увеличение событий с признаками инцидентов информационной безопасности в будущем, кредитно-финансовые организации разного уровня все больше внимания уделяют вопросам эффективного выявления и превентивного противодействия мошенничеству и минимизации рисков совершения кибератак на стороне и клиентов, и собственных информационных систем. Без трансформации существующей структуры мониторинга в полноценный SOC, какой бы тип реализации ни был выбран, говорить об успешной борьбе с киберпреступностью становится все сложнее. Какой из путей повышения эффективности SOC и последовательной реализации требований № 187-ФЗ выбрать – этот вопрос остается на усмотрение руководителей и ответственных лиц в организации, но принимать решение нужно уже сейчас, ведь современные злоумышленники свой выбор в пользу скрытых киберпреступлений и отказа от открытой конфронтации уже давно сделали. В 2018 г. кибератак меньше не будет, а их методы и цели будут только совершенствоваться.
