Журнал "Системы безопасности" #5, 2019

S E C U R I T Y A N D I T M A N A G E M E N T 35 чаях успешные атаки стали возможными из-за того, что финансовые организации использова- ли устаревшие версии AIX – без необходимых обновлений безопасности. Это еще один пример целевой атаки на финан- совые организации, в данном случае через про- цессинговые системы. При этом уровень слож- ности и проработки FASTCash очень высок и несопоставим ни с одним другим "стандарт- ным" ATMMalware. Обнаружение и противодействие. Best practice Для эффективного противодействия атакам с использованием ATM Malware необходимо обеспечить всестороннюю защиту инфраструк- туры, включая физическую безопасность самих банкоматов, безопасность используемого в системе ПО и всех сегментов сети, взаимодей- ствующих с банкоматами. Перечислим основные меры, которые должен учитывать каждый банк при организации защи- ты собственной сети банкоматов и успешного противодействия соответствующим угрозам: 1. Банкоматы и все связанные с ними системы должны работать под управлением актуальных версий ОС с установленными последними обновлениями безопасности. 2. Отключить автозапуск в Windows и возмож- ность загрузки с внешних носителей в BIOS, установить надежный пароль для защиты настроек BIOS. 3. Создать функционально-замкнутую среду на банкоматах, исключить доступ к рабочему столу. Сеансы RDP должны быть защищены несколькими факторами аутентификации. Рас- смотреть использование Privileged Access Mana- gement (PAM)-системы. 4. Отключить все неиспользуемые системные службы и приложения, чтобы устранить допол- нительные векторы атаки. 5. Реализовать надежное шифрование соеди- нения между банкоматами и хостом. 6. Применять механизмы контроля целостности и белых списков ПО (Whitelisting), чтобы разре- шать запуск только доверенного кода. Руковод- ствоваться принципом Default Deny: запрещено все, что явно не разрешено. Традиционное сиг- натурное АВПО бессильно против уязвимостей 0-day и APT-атак, используемых хакерскими группировками. 7. Запретить возможность подключения неавто- ризованных внешних USB-накопителей. 8. Поддерживать физически и логически сег- ментированную сетевую среду в организации. Банкоматы не должны располагаться в одной сети с рабочими станциями сотрудников. 9. Обеспечить надежную физическую защиту банкоматов и зон их размещения. Защита должна быть эшелонированной: в идеале наме- рения преступника должны пресекаться еще до его непосредственного проникновения к "внут- ренностям" банкомата. 10. Контролировать и ограничивать доступ сотрудников сервисных организаций, обслужи- вающих банкоматную сеть. 11. Проводить регулярное обучение по проти- водействию актуальным угрозам для сотрудни- ков, задействованных в процессах обслужива- ния и мониторинга работы банкоматов. 12. Организовать онлайн-мониторинг банко- матной сети как в части работоспособности банкоматов и непрерывности операций, так и состояния кибербезопасности. 13. Подписаться на получение threat intelligen- ce-фидов, чтобы оперативно узнавать о всех новых угрозах в отношении банкоматов и смежных систем. 14. Организовать онлайн-мониторинг событий кибербезопасности, основанный на агрегации событий в SIEM-системе и генерации необхо- димых алертов с целью оперативного реагиро- вания. Выводы ATM Malware потенциально может принести существенную выгоду злоумышленникам. За 10 лет с момента появления первой вредо- носной программы, созданной специально для атак на банкоматы, было обнаружено более 30 семейств ВПО этой категории, разной степе- ни сложности и с различным функционалом. В то время как подавляющее большинство атак на банкоматы с использованием ВПО являются точечными и осуществляются отдель- ными злоумышленниками либо небольшими группами, потенциальная возможность выгру- зить большие суммы наличности одновремен- но с нескольких десятков банкоматов все чаще привлекает в эту область профессиональные хакерские группировки, которые используют гораздо более изощренные и сложные инстру- менты для целевых атак на финансовые орга- низации. При этом, несмотря на растущую популярность логических атак, физическое воздействие все еще составляет подавляющее большинство среди общего количества атак на банкоматы. Для эффективного противодействия необходи- мо применять комплексный подход к обеспече- нию безопасности своей сети. Видеомонито- ринг зон установки банкоматов, охранные сиг- нализации с подключением на пульт группы быстрого реагирования, усиление корпусов и сейфов банкоматов, оснащение специальны- ми датчиками – эти физические меры защиты в сочетании со средствами киберзащиты мно- гократно усиливают общий уровень защищен- ности и уменьшают желание злоумышленника атаковать именно вас. Организация мониторинга киберугроз и опера- тивного реагирования – тоже важный шаг в обеспечении комплексной защиты инфра- структуры организации. Для решения этой зада- чи в Сбербанке функционирует собственный Security Operations Center (SOC), обеспечиваю- щий непрерывный онлайн-мониторинг и реа- гирование на киберугрозы. Совокупность используемых в нем современных методов про- тиводействия киберугрозам позволяет успешно выявлять и отражать атаки на начальных ста- диях их возникновения. Активное развитие ВПО для банкоматов – это тенденция сегодняшнего дня и ближайшего будущего. Киберпреступники не стоят на месте, и их методы становятся все изощреннее. Соот- ветственно, инвестиции организаций в кибер- безопасность должны быть не вынужденной мерой, а осознанным шагом руководства (в первую очередь бизнеса) – не только к защи- те собственной инфраструктуры и данных, но и к предоставлению клиентам надежного и без- опасного сервиса. n www.secuteck.ru октябрь – ноябрь 2019 СПЕЦПРОЕКТ БЕЗОПАСНОСТЬ БАНКОВ И ФИНАНСОВЫХ УЧРЕЖДЕНИЙ Основной интерфейс Cutlet Maker www.securelist.com Схема работы FASTCash из отчета компании Symantec www.symantec.com Ваше мнение и вопросы по статье направляйте на ss @groteck.ru