Безпечний сучасний банкінг

Багаторічна співпраця «ОТП Банку» — однієї з провідних фінансових установ України, з Check Point — постачальником комплексних рішень безпеки, дозволила банку модернізувати та суттєво вдосконалити багаторівневу систему захисту ІТ-систем, швидко адаптуватися до «нових реалій» і впевнено дивитися в майбутнє, розвиваючи безпечні цифрові сервіси для клієнтів.

Історія українського «ОТП Банку» налічує майже чверть століття — фінансова установа була створена у 1998 році і починала працювати під назвою «Райффайзенбанк Україна», який у 2006 році був придбаний угорським OTP Bank. Новий власник є найбільшим банком в Угорщині з ринковою часткою близько 25%. В свою чергу «ОТП Банк» входить у десятку провідних фінансових установ України. Згідно з рішенням НБУ, з 2019 г. він включений до переліку системно важливих банків нашої країни.

«ОТП Банк» — це універсальний банк з повним спектром послуг для корпоративних і приватних клієнтів. Наразі він є ядром фінансової групи, до складу якої також входить компанія з управління активами та лізингова компанія. Фінансова установа має в своєму розпорядженні мережу з 85 відділень по всій країні, обслуговує понад 1 млн. роздрібних клієнтів.

На українському ринку «ОТП Банк» має репутацію надійної структури, що пропонує споживачам сервіси європейської якості. В тому числі завдяки постійному впровадженню нових цифрових послуг та розвитку електронного банкінгу.

У 2017 році, у процесі цифрової трансформації бізнесу, паралельно з розвитком банківських послуг, що надаються онлайн та за допомогою мобільних простоїв, «ОТП Банк» запустив декілька проектів з модернізації захисту інформаційних систем. Передумовою стало моральне та технічне застаріння наявних засобів захисту корпоративної мережі. До цього установа використовувала рішення Cisco ASA, яке відносилось до попереднього покоління фаєрволів і було позбавлено ряду важливих можливостей систем класу next generation firewall. Крім того, на той час банк не мав систем протидії атакам нульового дня.

Коли бізнес починає використовувати інформаційні технології для взаємодії з клієнтами, тим більше, коли це пов’язано з фінансовими операціями, в основу ІТ необхідно покласти технології для протидії сучасним атакам, захистити систему від неавторизованого доступу та забезпечити конфіденційність даних банку та користувачів.

Вибору нового рішення передував ґрунтовний аналіз ринку, в тому числі на основі тестів незалежної NSS Labs, для визначення переліку провідних вендорів, які згодом потрапили до short list з чотирьох претендентів. Основний акцент при виборі був зроблений на здатності системи виявляти та блокувати шкідливе програмне забезпечення та 0-day експлойти в мережевому трафіку.

Тестування проводилося співробітниками банку з метою оцінити не тільки ефективність захисту, але й такі важливі фактори як: комплексність рішення, зручність адміністрування, можливості інтеграції з існуючими системами в банку. Для цього фахівцями банку було розроблено низку тестових malware експлойтів, які імітували найбільш поширені техніки проникнення та поширення в мережі. Також пріоритет віддавався техніці pre-prevention щодо детектування та блокування malware, перед post-prevention. Це дещо різні підходи до антивірусного аналізу потоку даних. В одному випадку можна не дозволяти проходження контенту в середину мережі до його завершення. Натомість альтернативний підхід передбачає, що контент потрапляє всередину мережі і вже потім за результатами пост-аналізу відбувається його блокування, якщо виявлена загроза. Останній підхід мінімізує затримки доставки контенту внаслідок antimalware аналізу.

Найкращі результати щодо виявлення та знешкодження тестових наборів malware показало рішення від Check Point. Це послужило основним чинником прийняття рішення на його користь. Незважаючи на те, що раніше банк не мав досвіду роботи з продуктами цього розробника.

Від самого початку впровадження і до сьогодні проект супроводжує компанія «СВІТ ІТ», що має статус CCSP (Check Point Certified Support Provider). З боку інтегратора участь брали три фахівці, з боку банку для впровадження рішення було сформовано окрему проектну команду зі складу фахівців ІБ, ІТ та бізнесу, з урахуванням того, що фактично проводилася заміна вузлу доступу банку в Інтернет.

Те, що проект виконувався на реально працюючий інфраструктурі банку, зумовило дуже жорсткі умови його виконання — міграція з існуючої системи захисту на кластер Check Point Security Gateway 5600 проходила у дуже щільне вікно обслуговування (maintenance window) — всього 45 хвилин, оскільки банк не міг собі дозволити тривалий простій системи. Це пов’язано з тим, що навіть, коли в Україні ніч, десь в іншому куточку Землі є клієнти банку, які використовують його послуги.

Проект впроваджувався в тісній взаємодії фахівців інтегратора з професіоналами департаментів мережевої інфраструктури та інформаційної безпеки банку. Це дозволило не тільки в повній мірі задіяти та використати можливості рішення Check Point, але і дещо розширити їх. Оскільки згодом також були відпрацьовані кілька запитів від «ОТП Банк» на додавання необхідних замовнику функцій в продукти вендора.

Банк дотримується принципу «щоб співробітник був ефективний, його необхідно навчити». Тож на початковому етапі інтегратор провів базове навчання фахівців банку в своїй лабораторії, а решту навичок вони здобували вже в ході проекту. Такий підхід дозволив ефективно впровадити рішення Check Point в працюючу, велику і складну систему банку.

Впровадження комплексу Check Point проходило поетапно, в першу чергу було реалізовано захист периметра мережі і налаштовані політики доступу, як всередину банку, так і назовні. Надалі NGFW Check Point були інтегровані з існуючою SIEM системою банку для автоматизації реакції на типові атаки, такі як сканування мережі або спроба проникнення за допомогою відомих методів атаки.

Потім було прийнято рішення активувати емуляцію файлів в «пісочниці» для захисту від цілеспрямованих атак і атак «нульового дня». На інспекцію потрапляли всі файли, які співробітники банку завантажували через веб або отримували по електронній пошті. Згодом, патентована технологія CPU level detection, що застосовується на всіх пристроях Check Point типу SandBlast, неодноразово дозволяла на початковому етапі виявляти небезпечні атаки.

Третій етап побудови комплексу захисту — застосування Check Point Endpoint Security на робочих станціях співробітників. Це досить важливий етап реалізації проекту, так як працівники банку територіально розташовані по всій Україні і для мобільності активно використовують ноутбуки. Основне завдання Endpoint Security полягає в наданні такого ж рівня захисту для співробітників, які знаходяться за межами корпоративної мережі, і, тим більше, коли пристрій знаходиться в режимі офлайн.

«Проект мав високий рівень складності, через те що рішення Check Point інтегрувалося з працюючими банківськими системами, щодо яких встановлено дуже жорсткі показники якості сервісу. Будь-які затримки з аналізом мережевого трафіку були неприпустимі. Іноді доводилося проводити окремі дослідницькі роботи для з’ясування особливостей функціонування інформаційних систем в умовах роботи через фаєрвол, можливостей інспекції трафіку та її впливу на якість сервісу. Доводилося ставити задачі командам розробників інформаційних систем, долаючи природний спротив та небажання щось змінювати. Вирішувалось також багато проблем із сумісністю, наприклад, SandBlast Agent з програмним забезпеченням, що використовується в банку», — розповідає Дмитро Янішевський, начальник управління інформаційної безпеки «ОТП Банк».

Ключовою особливістю і навіть «родзинкою» проекту були інтеграційні механізми з інфраструктурою банку, реалізація підтримки рольової моделі доступу до ресурсів Інтернет, інтеграція з банківськими PKI. Але такі рішення «з коробки» не працюють або працюють лише з базовим набором функцій. Найбільший ефект досягається саме за рахунок інтеграцій з діючими інфраструктурними рішеннями, SIEM системою. Що, наприклад, дозволило автоматизувати процес обробки інцидентів.

«Можна зазначити й складності — проекти такого масштабу не можуть проходити зовсім гладко. У процесі впровадження виникали питання, які вимагали уточнень та неочевидних відповідей, що потребувало додаткового часу», — відзначив також Дмитро Янішевський.

Кажучи про склад рішення — банк обрав схему on-prem — з урахуванням того, що основна інфраструктура установи також розташована у власних дата-центрах. До складу впровадженого рішення увійшли відмовостійкий кластер next generation firewalls Check Point 7000 NGTX, пристрій захисту від 0-day атак Check Point TE1000, агенти захисту кінцевих точок SandBlast Agent, проксі сервер, вузол доступу мобільних користувачів Mobile Agent. Система повністю інтегрована з почтовим сервером та іншими інфраструктурними елементами корпоративної мережі. Трохи пізніше банк впровадив захищений додаток для роботи на мобільних телефонах Capsule Workspace.

«Слід зауважити, що на старті проекту було впроваджено менш потужне рішення (5600-та серія). Але у зв’язку із потребою забезпечення масової дистанційної роботи минулого року банк прийняв рішення мігрувати на 7000-ту серію за програмою trade-in», — додає Дмитро Янішевський. Все це дозволило банку швидко адаптуватися до «нової реальності» під час COVID-19.

Таким чином захист мережевої інфраструктури банку виведений на якісно новий рівень. Впровадження технологій Check Point дозволило побудувати багаторівневий ешелонований захист, доповнивши інші рішення та системи інформаційної безпеки, що експлуатуються в банку. Завдяки цьому на сьогодні «ОТП Банк» має одну з найбільш передових систем захисту серед українських банків.

Але розвиток системи не припиняється. Найближчі задачі пов’язані з розвитком функціональності додатку Capsule Workspace та захищеного доступу до ресурсів банку. Також у планах протестувати нове рішення в портфелі Check Point — Cloud Guard AppSec. Воно призначене для захисту веб-додатків та API, що використовуються для взаємодії додатку клієнта і сервера, у тому числі — для захисту від атак та шахрайства, спрямовних на мобільні додатки та онлайн банкінг.