Как защищаются банки

29 март, 2016 - 13:10Леонід Бараш

С наступлением постиндустриальной эры ушли в прошлое физические способы ограбления банков. Сейчас для этого не нужно изучать систему сигнализации, открывать хитроумные кодовые замки, выносить тяжелые сумки из хранилищ, рисковать жизнью, спасаясь от полицейской погони. Достаточно освоить информационные технологии, и грабить можно сидя дома в удобных тапочках, с чашкой кофе и любимым котом на коленях. А банкам, кроме традиционных физических методов защиты, приходится строить еще одну линию обороны – защиту информации. Такова расплата за использование ИТ.

О том, как строить, и из чего строить, речь шла на Международном форуме «Информационная безопасность банков», по словам организаторов и участников, самом крупном мероприятии этой тематики в Украине. Форум проходил в течение трех дней, работа шла, не считая пленарного заседания, в четырех секциях. В Секции 1 рассматривалось обеспечение информационной безопасности системными методами; в Секции 2 – организационные мероприятия и прикладные средства обеспечения ИБ; тематика Секции 3 охватывала системы менеджмента и аудита ИБ, а на Секции 4 участники могли прослушать доклады по ИБ платежных систем.

В данной публикации мы остановимся несколько подробнее на некоторых выступлениях на Секции 1, поскольку рассматриваемые там вопросы наиболее близки тематике нашего информационного ресурса.

Она началась с доклада инженера по безопасности из Check Point Александра Раппа, в котором он рассмотрел защиту частных и публичных облачных инфраструктур.

Как защищаются банки

Александр Рапп: «Решение Check Point vSEC позволяет инспектировать трафик между любыми двумя ВМ и применить те политики, которые требует конкретная задача»

Характеризуя состояние облачных технологий, докладчик отметил, что на протяжении последних нескольких лет они постоянно развивались. Сначала виртуализовались некоторые приложения, затем серверы, сейчас виртуализуются сети и ЦОД’ы. Заказчики положительно воспринимают эти процессы, поскольку они позволяют не покупать дорогостоящее оборудование и не содержать многочисленные ИТ-отделы.

Виртуализовать сети позволяет, в частности, такой продукт, как VMware NSX. В нем появляются определенные средства защиты, которые существенно упрощают управление ЦОД. Трафик, выходящий за пределы ЦОД (north—south), контролируется, как правило, внешними системами безопасности, к примеру, брандмауэрами. Но есть еще внутренний трафик (east—west), который может составлять 80% внешнего. И здесь возникает проблема, как обеспечить его безопасность, поскольку, взломав низкоприоритетный сервис, можно атаковать более критические сервисы. Кроме этого, у виртуальных серверов есть ряд особенностей, которые делают их защиту более сложной. Одно из решений – распределение серверов по VLAN, однако существуют средства, которые позволяют подключаться к разным VLAN. Еще одной особенностью виртуализованных сред является их динамичность. Для таких сред и инструменты защиты должны быть динамичными и адаптивными.

Для решения этих проблем компания предлагает продукт Check Point vSEC, который интегрируется с VMware NSX. Он осуществляет многоуровневую защиту трафика east—west внутри ЦОД, в которых развернута VMware. vSEC прозрачно обеспечивает безопасность на уровне гипервизора и между виртуальными машинами, автоматически переводит в карантин зараженные машины для восстановления и обеспечивает полную видимость угроз и особенностей трафика виртуальной сети. Компонентами решения являются vSEC Gateway – шлюз безопасности, который непосредственно занимается контролем трафика, и vSEC Controller, по сути Check Point Management Server. vSEC Gateway устанавливается на каждом физическом хосте в кластере VMware, а vSEC Controller автоматически разворачивается NSX на каждый физический хост после интеграции VMware с vSEC. Решение позволяет инспектировать трафик между любыми двумя ВМ и применить те политики, которые требует конкретная задача. У компании также есть средства защиты для публичных облаков – это Security Gateway для Azure и Amazon, соответственно. На этих шлюзах можно инициировать систему DLP, которая будет фильтровать трафик облачной почты организации.

О том, какая должна быть современная архитектура системы защиты банков от киберугроз, рассказали на примере реализованного проекта менеджер по информационной безопасности Владимир Илибман, Cisco, и директор департамента ИБ Александр Тимошик, «Райффайзен Банк Аваль».

Как отметил Владимир Илибман, большинство банков фокусируются на защите периметра сети, а о защите внутри периметра часто забывают. Но если разобраться с тем, что происходит внутри периметра, то оказывается, что многие компании не знают, какие устройства подключены в данный момент к сети. Это подтверждается аудитами. Данная ситуация приводит к тому, что банк, защищая свой периметр, открывает доступ к ресурсам изнутри. Статистика атак показывает, что большинство из них, начинаясь на периметре, распространяются дальше внутри сети. И, к сожалению, отсутствие внутреннего контроля приводит к тому, что вредоносный код, поступивший, к примеру, в виде письма, которое может открыть один сотрудник из десяти, распространяется на другие компьютеры. Сегодня периметр не является  столь монолитным, как это было раньше, и наличие брандмауэра не гарантирует безопасность. Взломы происходят, но что более опасно, они остаются незамеченными длительное время, иногда 8—10 месяцев. Все это время сети находятся под полным контролем злоумышленников. Статика показывает, что среднее время обнаружения взлома составляет от 100 до 200 дней. Это происходит по той причине, что компания не имеет инструментов для отслеживания состояния безопасности внутри сети.  

Как защищаются банки

Владимир Илибман: «Результатом реализованного проекта явилась полностью контролируемая сеть, возможность выявления и блокирования неавторизованных устройств, полная информация о пользователях, подключившихся к сети»


Система безопасности, реализованная в «Райффайзен Банке Аваль» на базе Cisco ACS, выполняет несколько задач. Она идентифицирует все подключаемые к сети устройства, внедряет политики безопасности по всей корпоративной сети, от филиалов до ЦОД. На основании информации о том, кто и что подключается к сети, каковы права пользователей и насколько безопасны подключаемые устройства, система внедряет политику, которая обеспечивает сквозной контроль доступа. Это достигается за счет мониторинга трафика и соответствующих политик безопасности.
По словам Александра Тимошика, система улучшила надежность и контролируемость сети банка. Однако работа по повышению безопасности продолжается, и сейчас тестируется в пилотном режиме проект на базе Cisco ISE. Переходя к архитектуре решения, выступающий отметил, что на сегодняшний день банк имеет два кластера по четыре узла в каждом. Один кластер - это Cisco ACS, а второй - Cisco ISE. Кластеры располагаются в двух ЦОД’ах. Распределенная территориальная сеть содержит около 15 тыс. устройств. Сейчас ведутся работы для обеспечения удобного гостевого доступа – парольного и беспарольного. Второй имеет большие ограничения.

Результатом реализованного проекта явилась полностью контролируемая сеть, возможность выявления и блокирования неавторизованных устройств, полная информация о пользователях, подключившихся к сети.

Программно-определяемые сети (SDN) создали ряд новых проблем в области ИБ. Выступление менеджера по работе с заказчиками Мирослава Мищенко из Fortinet было посвящено обеспечению безопасности в таких средах. Одной из проблем является размывание границы корпоративных сетей. Появление в архитектуре SDN-контроллеров увеличивает поверхность атак. Положение с ИБ усложняется также по мере повышения популярности такой облачной услуги, как SaaS, при которой защита данных обеспечивается провайдером.

Как защищаются банки

Мирослав Мищенко: «Продукты Fortinet реализованы как в виде аппаратных устройств, так и в виде виртуальных решений»

У компании Fortinet, по словам выступающего, вероятно, самый большой портфель продуктов безопасности на рынке, который решает 90% задач в этой сфере. Продукты реализованы как в виде аппаратных устройств, так и в виде виртуальных решений. Они интегрируются с SDN-технологиями, платформами IaaS и SaaS, с VMware NSX, а также с продуктами многих производителей сетевого оборудования.

Выбор темы «Построение центров управления информационной безопасностью» был обусловлен, как сказал руководитель направления ИБ в СНГ, Молдове и Венгрии из HPE Евгений Нечитайло, множеством вопросов от украинских заказчиков. Это также, по его мнению, говорит о том, что заказчики доросли до уровня построения процессов. В то же время он обратил внимание аудитории на то, что, согласно статистике, около 50% инцидентов можно предотвратить за счет обучения пользователей основам ИБ.
Сегодня во многих компаниях реальность такова, что зачастую высокооплачиваемые специалисты в области ИБ занимаются рутинной работой, не оставляющей времени на профессиональный рост. Центры управления ИБ (Security Operation Center, SOC) позволяет автоматизировать многие процессы. За последние три года компания НРЕ построила по всему миру более 50-ти SOC. Однако докладчик выразил сомнение в том, что при существующей экономической ситуации в стране многие банки могут позволить себе довольно значительные затраты на построение SOC. Один из выходов, который успешно используется по всему миру, это предоставление SOC как сервис. Такую услугу можно получить и у НРЕ. В компании существует отдельное подразделение – Security Professional Service, насчитывающее более 200 сотрудников, которое помогает заказчикам построить SOC. В СНГ уже отрабатываются первые проекты.

Как защищаются банки

Евгений Нечитайло: «HPE SIEM позволяет автоматически работать с массивами собранных данных и обнаруживать новые паттерны и корреляционные связи»

Какие же продукты в области ИБ предоставляет НРЕ? Прежде всего, это HP Enterprise ArcSight, в состав которого входит Security Information and Event Management (SIEM). Решение позволяет управлять информационной безопасностью (SIM) и управлять событиями безопасности (SEM). Уникальной возможностью этого продукта является мощная экспертная аналитика, в частности, анализ поведения пользователей (User Behavior Analytics), которая значительно упрощает работу офицера ИБ. В системе используются технологии машинного обучения. SIEM позволяет автоматически работать с массивами собранных данных и обнаруживать новые паттерны и корреляционные связи. В целом система значительно повышает уровень безопасности информации организаций.

В заключение данного репортажа рассмотрим еще одну презентацию, в которой инженер-консультант Андрей Кострецкий из Группы компаний МУК рассказал об обновленных решениях Juniper Networks по безопасности. Был обновлен виртуальный брандмауэр, ряд аппаратных решений и добавилась новая функциональность – защита от атак нулевого дня (Advanced Threat Prevention, ATP).

Как защищаются банки

Андрей Кострецкий: «В портфеле продуктов Juniper Networks обновлен виртуальный брандмауэр, ряд аппаратных решений и добавилась новая функциональность – защита от атак нулевого дня»

Практически все модели брандмауэров SRX будут заменены новыми. Устройство SRX345 заполнит нишу между моделями 240 и 550, появится также новая модель SRX1500. Это брандмауэр масштаба кампуса, который может поддерживать до 1000 пользователей. Функциональность виртуального брандмауэра vSRX ничем не будет отличаться от функциональности физического устройства.

Что касается системы безопасности Junos Space, то недавно обновился ее компонент Space Director, который сейчас проходит тестирование. В новой версии будет более дружественный интерфейс, который можно настроить по ролям. Появится также карта, на которой будут отображаться география событий, будет также обновлено визуальное представление активности приложений Application Visibility.

В рамках каждой секции состоялись круглые столы, на которых активно обсуждались выступления и текущие проблемы информационной безопасности банков.