Рабочий день сотрудника кредитного отдела небольшого банка в июле 2018 года начинался как обычно. Обычный поток писем от потенциальных заемщиков с затребованными для андеррайтинга документами – фотографии, тексты, таблицы. Каждый открыть, просмотреть, что-то распечатать, внести данные в АБС. Всё как и каждый день до этого. Единственным разнообразием в рутинной работе стал внезапный отказ принтера при попытке распечатать экселевский файл от какого-то смутно знакомого клиента из письма с пометкой «Срочно!». Да и компьютер стал себя как-то странно вести, выдавая непонятные сообщения. Но служба ИТ работает отлично, быстро пришел администратор, ввел свой пароль и все заработало как обычно.

В это же время, где-то в Европе, в бунгало на берегу Атлантического океана молодой человек облегченно вздохнул. Троян, замаскированный под. xls файл и отправленный с поддельного почтового адреса в банк, полностью выполнил свою работу. После перехвата пароля администратора домена обычной утилитой из состава MetaSploit был получен полный доступ к контроллеру домена и установлено средство удаленного управления, которое маскировало свою работу под штатное взаимодействие  с сервером Microsoft. Через несколько минут троян удалит себя из памяти компьютера в кредитном отделе, и сеть банка окажется под полным контролем злоумышленника.

Но целью злоумышленников было не просто посмотреть, что там внутри банка. Они очень четко знали, что ищут после получения контроля над сетью. После пары дней исследований ИТ инфраструктуры, они вычислили рабочее место системы межбанковских переводов. С ним, конечно, пришлось повозиться – установить кейлогер на компьютеры в казначействе (ведь они были теперь полными хозяевами в сети банка), написать свой код, который встраивался в программное обеспечение для осуществления платежей и осуществлял подмену реквизитов получателя до подписания документа электронной подписью. Особую гордость вызывало то, что для работы этого кода не нужна была сеть, он работал полностью автономно. Итак, заложив эту мину и подчистив за собой все следы своего пребывания, им оставалось только ждать. И ждать пришлось недолго.

Это не сценарий очередного сериала или выдержка из научно-фантастического романа. «После затишья более чем в полгода совершена успешная хакерская атака на банк – ПИР-банк лишился более 58 млн руб. с корсчета в Банке России», – писали в  газете «Коммерсант» в июле 2018 года. К сожалению, это практически дословное описание методов проникновения и хищения средств, публикуемых в отчетах специализированных организаций.        

Так, в обзоре основных типов компьютерных атак 2018 года, сделанным ФинЦЕРТ ЦБ РФ приводятся следующие данные:

– если в начале 18 года было отмечено 93 атаки на организации кредитно-финансовой сферы, то к концу 18 уже более 395;

– зафиксировано 317 случаев массовой рассылки вредоносного программного обеспечения, при этом в 84% случаев применялась подмена адреса отправителя;

– среднее время от момента проникновения в сеть организации до момента хищения составляет 20-30 дней;

– ущерб от атак только одной группировки Cobalt составил более 44 млн. руб.

При этом, общим трендом является увеличение количества атак на организации финансово-кредитной сферы и усложнение используемого профессиональными группировками инструментария. Также, видимо, в силу широкого распространения специализированных фреймворков для взлома, доступ к ним получают малоквалифицированные взломщики, атаки которых находятся на совершенно примитивном уровне. Однако и такие атаки находят своих жертв.

Естественной реакцией на эту ситуацию со стороны регулятора – Банка России, является модернизация и усложнение нормативно-регулирующих документов в области информационной безопасности, направленных, в том числе, и на предотвращение переводов денежных средств без согласия клиента.

Для успешного противодействия не только подобного рода атакам, но и действиям злоумышленников в целом, недостаточно наличия работающих средств защиты. Как показывает современная практика и анализ векторов реальных атак, для их выявления и пресечения на ранних стадиях необходимо собирать и анализировать данные с как можно большего количества источников событий, находящихся как внутри, так и на периметре организации. К числу таких источников относятся не только специализированные средства защиты, но и данные инфраструктуры, системного и прикладного программного обеспечения.

Эта позиция нашла отражение в целом ряде нормативно-регулирующих документов, которые предъявляют, в том числе, и обязательные требования в таких областях обеспечения защиты информации, как сбор, обработка и хранение данных о событиях информационной безопасности и управление инцидентами.

В состав этих документов суммарно включено 43 различных вида контроля, относящихся к сбору событий информационной безопасности или управлению инцидентами, обязательных к исполнению сейчас или в ближайшие два года. Например, уже с 1 июня банк обязан информировать Банк России о выявленных инцидентах информационной безопасности. К 1 января 2021 должна быть обеспечена возможность выявления и анализа событий защиты информации, потенциально связанных с инцидентами защиты информации, организован мониторинг и централизованный сбор данных регистрации о событиях защиты информации, выделены группы реагирования на инциденты и многое другое. Сроки хранения информации об инцидентах устанавливаются от трех до пяти лет, в зависимости от области применения.

Необходимо отметить, что сама по себе работа по сведению и интеграции требований из всех нормативных документов в единую непротиворечивую систему, к тому же позволяющую экономически эффективно внедрить технические решения, крайне сложна, трудоемка и требует специфических знаний и навыков. Скорее всего, уже начиная с этого этапа, многим организациям потребуется помощь квалифицированных консультантов.

Что же касается организационно-технической реализации всего массива требований по сбору событий информационной безопасности и управлению инцидентами, то не стоит обольщаться сроком реализации к 1.01.2021. Фактически, речь идет о функционале полноценного Security Operation Center. По нашему опыту внедрения и оказания услуг SOC, построение полнофункционального SOC занимает 1,5 – 2 года, начиная от проектирования собственно технических средств и инфраструктуры и заканчивая подбором и обучением персонала и созданием релевантных для организации регламентов работы, выявления и реагирования на инциденты.

При этом, при создании SOCа самостоятельно, организация в любом случае столкнется с проблемой отсутствия на рынке в достаточном количестве квалифицированных аналитиков и технических специалистов, обслуживающих решения данного класса. Необходимость работы в круглосуточном режиме приведет к существенному увеличению штата подразделения ИБ за счет необходимости организации сменной работы. По нашим оценкам, затраты только на содержание персонала небольшого SOC с режимом работы 24х7 могут составить более 30 млн. руб. в год, при этом капитальные затраты на построение технической инфраструктуры слабо поддаются оценке, с учетом требований по срокам хранения данных. С другой стороны, в случае использования внешних аутсорсинговых сервисов, необходимо четко соблюдать баланс в части цены и сервиса получаемых результатов, так как с определенного момента итоговая стоимость затрат на внешний SOC может превысить стоимость создания своей собственной инфраструктуры, при том, что MSSP провайдер, уходя из организации, не оставляет ничего –  ни технических средств, ни знаний и компетенций.

В данной ситуации, мы могли бы порекомендовать следующие подходы к реализации этой задачи. Для небольших и средних организаций затраты на создание своего SOC бессмысленны, им имеет смысл использовать внешний SOC. Годовая стоимость обслуживания в этом случае будет однозначно выгоднее, чем построение своей инфраструктуры. Средним и крупным организациям стоит  посмотреть в сторону гибридной модели, когда требуемый функционал частично оказывается на технических средствах и инфраструктуре заказчика внешним провайдером. При этом параллельно ведется построение своей полнофункциональной инфраструктуры и набор соответствующих знаний и компетенций. Крупнейшие представители индустрии, думаю, в наших советах не нуждаются и уже давно реализовали аналогичные проекты.

Таким образом, мы живем в сильно усложнившемся мире, где с киберугрозами приходится сталкиваться не только на экранах кинотеатров, но и в реальной работе практически каждого кредитного учреждения. Ответной реакцией государства на эти вызовы является существенное усложнение нормативно-регулирующих требований и возрастание объема требований, обязательных к исполнению. В результате, сложность и затратность реализации всех этих требований самостоятельно внутри организации также существенно вырастают. И, несмотря на кажущуюся отсрочку в сроке приведения в соответствие, может оказаться, что начинать нужно было вчера.

При этом, развитие рынка сервисных услуг и появление все большего количества MSSP провайдеров позволяют с минимальными затратами перенести непрофильную и крайне сложную деятельность на внешних подрядчиков, оставив себе только функции по управлению сервисами и стратегическому планированию.

Текст: Иван Мелехин, директор по развитию компании «Информзащита», руководитель IZ:SOC.

Полную версию этого материала читайте в печатной версии журнала (№ 7-8, июль-август 2019).