Журнал "Системы Безопасности" № 5‘2018

w w w . a l l - o v e r - i p . r u n S E C U R I T Y A N D I T M A N A G E M E N T 61 Причина№7 Вопрос. Построен ли в вашей организации ситуационный центр по ИБ?* *Cвой или на аутсорсинге – значения в данном случае не имеет ☐ Да ☐ Нет При наличии в структуре финансовой органи- зации непрофильного для бизнеса ситуацион- ного центра по информационной безопасности (далее – SOC, Security Operation Center) руко- водство всегда интересует вопрос возврата вло- женных в его создание и эксплуатацию инвести- ций. если финансовая организация пока не достигла объемов операций, продуктовой линейки и масштабов внутренней инфраструк- туры банков-конкурентов из топ-20, то про- иллюстрировать успехи в работе SOC выдающи- мися результатами по противодействию атакам реальных злоумышленников возможно не все- гда/не регулярно. Заключение внешней незави- симой компании об уровне защиты в такой финансовой организации по результатам теста на проникновение в режиме Red Team с одной стороны, и отчет SOC о мониторинге, выявлен- ных и предотвращенных попытках реализации атак на инфраструктуру финансовой организа- ции – с другой, вместе с аналитическими мате- риалами SOC о реализации схожих сценариев атак в сторонних банках и потерях этих банков, выраженных в рублевом эквиваленте, позволят эффективно и понятно продемонстрировать руководству финансовой организации значи- мость работы подразделения по информацион- ной безопасности и необходимость в укрепле- нии участка оперативного мониторинга SOC. Причина№8 Вопрос. Получаете/применяете ли вы рекомендации от производителя (вендора) по повышению уровня защищенности программно-аппаратных компонентов инфраструктуры? ☐ Да ☐ Нет Большинство вендоров, работающих на рынке программно-аппаратного обеспечения финан- совых организаций (банкоматы, POS-термина- лы, кассовые решения, информационные киос- ки, валидаторы купюр и пр.), постоянно заду- мываются о повышении уровня защищенности своих продуктов, внедренных в инфраструктуру клиента. обновления, патчи, рекомендации по настройке регулярно поступают в адрес ответ- ственных лиц на стороне клиента. однако по разным причинам не все вендоры уделяют должное внимание тестированию и/или доку- ментированию своих рекомендаций. Поэтому даже при наличии совершенно корректного обновления нередки ситуации, когда его некор- ректная установка приводит к снижению обще- го уровня защиты устройства/продукта/процес- са. И наоборот, корректная установка уязвимого обновления, о наличии дыры в котором стано- вится известно злоумышленникам, приводит к реализации цепочки рисковых событий. Прове- дение тестирования на проникновение после установки наиболее критичных обновлений от вендоров (степень критичности определяется экспертно представителями финансовой орга- низации) позволит до этапа тиражирования этих потенциально уязвимых обновлений на всю сеть в финансовой организации удостове- риться в том, что вендор подошел к процессу осознанно и ответственно. По практике можно сказать, что в случае выявления уязвимостей стоимость привлечения для теста на проникно- вение сторонней экспертной организации пол- ностью покрывается нерадивым производите- лем уязвимого программно-аппаратного обес- печения. Причина№9 Вопрос. Планирует ли ваша финансовая организация вывод части ИТ-функций на полный или частничный аутсорсинг* или фриланс**? * К примеру, мониториг или техподдержку ** Разработка программного обеспечения, тестирование кусков кода или иные задачи ☐ Да ☐ Нет Для финансовых организаций, столкнувшихся с задачей по удаленному аутстаффингу, одним из первых встает вопрос организации надежно- го и безопасного доступа к инфраструктуре извне. с этой целью выстраивается многоуров- невая подсистема безопасности, часто приме- няются облачные решения, внешние хранили- ща, выбранная часть процессов трансформиру- ется, данные полностью или частично выносятся из закрытых внутренних сегментов в VLAN с ограниченным доступом – в общем и целом уровень информационной безопасности, мягко выражаясь, потенциально может быть снижен. Но не будем забывать, что речь все еще идет о финансовых организациях, а это деньги, пер- сональные данные клиентов, финансовые дан- ные о транзакциях, банковская строгая отчет- ность, юридически значимые электронные доку- менты и электронные подписи. все перечислен- ное при наличии удаленного доступа из Интер- нета может и очень быстро становится лакомым куском для злоумышленников. внешний нару- шитель вряд ли станет взламывать многоуров- невую дорогостоящую защиту, он с большим интересом воспользуется доверием или безала- берностью аутстаффера и через него, как через плацдарм, получит доступ в промежуточную систему, закрепится и совершит свое вредонос- ное (в прямом смысле) воздействие. такой сце- нарий имел место в 2015 г. в практике работы одного немаленького банка в казахстане. оши- бочно полагать, что своевременное проведение теста на проникновение смогло бы полностью защитить такой банк от атак и внимания зло- умышленников. однако анализ и частичная реа- лизация рекомендаций специалистов по без- опасности – тестировщиков системы защиты после проверки (в режиме "серого" или "белого ящиков"), согласованных с заказчиком сценари- ев доступа через типовые уязвимости позволили бы снизить вероятность проведения типовых атак (в том числе через скомпрометированную машину легального пользователя) и подложить в нужные места "соломку". Причина№10 Вопрос. Изменилось ли в последнее время количество подозрений на инциденты ИБ для инфраструктуры?* *В общем по банку, не только в терминах 203-й формы отчетности ☐ Да ☐ Нет если вы как лицо, ответственное за обеспечение защиты информации в финансовой организа- ции, наблюдаете подозрительно меняющуюся (не только в сторону увеличения, но и в сторону уменьшения) динамику подозрений на инциден- ты, это в обязательном порядке должно привести к анализу причин такого изменения данных ста- тистики. рост количества событий с признаками инцидентов (вне зависимости от природы и ущерба для финансовой организации и клиен- тов) свидетельствует о повышении интереса к объекту защиты со стороны третьих лиц. сниже- ние количества инцидентов может демонстриро- вать неэффективность выбранных ранее крите- риев инцидента и/или способов и инструментов для получения атомарных событий. возможно, что обновление какой-либо системы способство- вало изменению профилей защиты, а возможно, что целевая система давно взломана злоумыш- ленниками, а подсистема журналирования пере- настроена таким образом, чтобы не фиксировать и не информировать службу мониторинга о наступлении критических событий (типовой сце- нарий – построение ботнета и прикрепление к нему круглосуточно работающих серверов с нефильтруемым Web-доступом в Интернет). так или иначе, проведение теста на проникнове- ние в этой ситуации позволит развеять (или под- твердить?) все несостоятельные гипотезы и сни- зить общий уровень паранойи в коллективе. Выводы если хотя бы на один из поставленных мною выше вопросов вы ответили "да", и это "да" под- тверждается реальной задачей (контекст и нюансы могут быть совершенно разными), то будьте уверены, что тестирование на проникно- вение (внутренне или внешнее – также не суть важно) обязательно поможет в нахождении безопасного решения вашей задачи. Продикто- ванное обязательными требованиями законо- дательства или выбранное инициативно, на коммерческой основе или силами собственных экспертов по информационной безопасности – какой бы тип и способ реализации ни был выбран, используя предложенную мною выше аргументацию в качестве справочной, вы смо- жете выстроить эффективную коммуникацию и сформировать у руководителя не только понимание, но и живой интерес к этой работе. а результаты тестирования на проникновение применительно к вашей финансовой организа- ции могут стать очень неожиданными… n www.secuteck.ru октябрь – ноябрь 2018 отраслевой фокус БаНкИ Ваше мнение и вопросы по статье направляйте на ss @groteck.ru