Олег Галкин, Сбер Банк Беларусь: Финансовый сектор принял на себя основной киберудар
С рынка ушли ключевые зарубежные вендоры: IBM, SAP, HP, Microsoft, Oracle, Fortinet — и это еще не конец. Ситуация ограничений создала организациям РФ множество сложностей, начиная с отключения функционала приложений до инсайдерских рисков. Кроме того, за последний месяц наблюдался колоссальный рост киберугроз, контролировать которые вручную в большой ИТ-инфраструктуре невозможно. О том, как совершить миграцию с западных ИТ-решений и обеспечить безопасность бизнес-процессов финансовой организации, а также об актуальной роли SIEM-системы рассказал CNews Олег Галкин, директор Департамента кибербезопасности Сбер Банка Беларусь.
Расцвет кибермошенничества, разрушительные атаки вирусов-вымогателей и крупные утечки данных
CNews: Как изменился ландшафт угроз в крупных банках в последнее время? Без чего сегодня не может обойтись ИБ-стратегия финансовой организации?
Олег Галкин: Ускорение цифровизации и развитие финтех-продуктов, переход большинства бизнес-процессов в онлайн и повышенная ответственность перед клиентами за предоставление бесперебойных финансовых сервисов определяют стратегию и модель работы любого крупного социально-ответственного финансового учреждения. Для обеспечения стабильности финансового сектора банки должны соответствовать всему спектру нормативных требований по защите информации, осуществлять реагирование на киберинциденты, бороться с финансовым мошенничеством, а также, в свете событий последних недель, обеспечивать реализацию программы технологической независимости и импортозамещения в части ИТ- и ИБ-решений.
Ландшафт киберугроз формировался в последнее время вызовами, связанными с активностью киберпреступников, финансовых мошенников, хактивистов. В целом, киберпреступники сейчас активно применяют «сервисные модели» нелегальной деятельности, такие как Ransomware-as-a-Service (предоставление доступа к вирусам-шифровальщикам в обмен на процент от полученного выкупа), Exploit-as-a-Service (предоставление платного временного доступа к эксплойтам «нулевого дня»), Access-as-a-Service (предоставление несанкционированного доступа в атакованную инфраструктуру компании), Phishing-as-a-Service (предоставление фишинг-наборов и инфраструктуры для проведения мошеннических кампаний), DDoS-as-a-Service (организация заказных DDoS-атак).
Финансовые мошенники проводят атаки с помощью социальной инженерии на клиентов банков, в том числе используя технологии машинного обучения и искусственного интеллекта (deepfake-видео и аудио). Хактивисты осуществляют DDoS-атаки и взломы сайтов финансовых организаций для нарушения работоспособности веб-ресурсов или для размещения на них компрометирующей информации.
CNews: Какие актуальные тенденции кибератак и кибербезопасности в финансовой отрасли можно выделить?
Олег Галкин: Последний год для мировой кибербезопасности ознаменовался расцветом кибермошенничества, разрушительными атаками вирусов-вымогателей и крупными утечками данных. Финансовый сектор принял на себя основной удар все более изощренного компьютерного мошенничества: от простого телефонного обмана злоумышленники перешли к схемам создания фишинговых ресурсов, имитирующих поддельные страницы приема CNP-платежей: попав на такую страницу и введя данные банковской карты и код СМС-подтверждения, клиент теряет денежные средства и передает мошенникам данные карты. Такие атаки несут репутационные риски для банков и приносят ущерб мерчантам, чьи страницы использовались в фишинговых кампаниях — интернет-магазинам, маркетплейсам, сервисам доставки, шеринговым платформам.
Атаки вирусов-вымогателей по-прежнему популярны у киберпреступников, при этом современное вредоносное ПО имеет модульную структуру и позволяет вместо банального шифрования или вывода из строя всей инфраструктуры осуществлять, например, скрытное закрепление в сети для дальнейших атак на аффилированные компании, майнинг криптовалюты, хищение конфиденциальной информации с целью перепродажи на нелегальных аукционах в даркнете, шантажа, возможных финансовых манипуляций.
Угрозы утечки или хищения конфиденциальной информации до сих пор также актуальны: существуют риски неправомерного доступа сотрудников финансовых организаций к сведениям, составляющим банковскую тайну, например, с целью оформления кредитов или хищения денежных средств, что говорит о необходимости дальнейшего совершенствования методов и средств защиты от внутренних нарушителей. Кроме того, атаки на подрядчиков, поставщиков и аутсорсеров становятся трендом во всем мире: хакеры атакуют их менее защищенные инфраструктуры, чтобы затем добраться до первоначальной цели, например, внедрив бэкдор в очередное обновление продукта или получив сетевой доступ через настроенный VPN-туннель.
Санкционный драйвер и импортозамещение
CNews: Каковы сегодня главные проблемы и основные драйверы рынка информационной безопасности в Белоруссии?
Олег Галкин: Можно с уверенностью сказать, что сильными драйверами рынка информационной безопасности станут последние геополитические события и связанная с ними необходимость импортозамещения ушедших с рынка зарубежных решений. Предстоит провести существенную работу по замене привычных ИТ-решений и средств защиты, провести обучение сотрудников, встроить новые системы в текущую архитектуру, а также, при необходимости, адаптировать бизнес-процессы.
Кроме программы технологической независимости, присутствуют также иные нормативные требования, регламентирующие обеспечение информационной безопасности — это традиционно является драйвером рынка кибербезопасности. Такой актуальной законодательной нормой является, например, закон Республики Беларусь № 99-З «О защите персональных данных» от 7 мая 2021 г., в котором указаны требуемые меры по защите персональных данных, а также установлен временной срок (3 дня), отведенный на уведомление Национального центра защиты персональных данных Республики Беларусь о нарушении систем защиты ПДн. Соответственно, процессы реагирования на киберинциденты, в результате которых была затронута безопасность персональных данных, должны включать возможности автоматизации формирования такого уведомления.
CNews: В каких ИБ-решениях наметилась самая острая необходимость в связи с санкциями, ростом курса валюты и уходом множества зарубежных вендоров?
Олег Галкин: На белорусском и российском рынках средств защиты информации присутствует много успешных игроков и хорошо зарекомендовавших себя продуктов, поэтому есть широкий выбор программных решений для импортозамещения практически любого класса прикладных систем. При этом нельзя забывать, что комплексная кибербезопасность опирается не только на наложенные средства защиты, но и на функции безопасности, встроенные в операционные системы, а также зависит от технологической экосистемы: это и сетевые устройства, и аппаратное обеспечение серверов и конечных точек, и периферия.
Возвращаясь к ИБ-решениям, срочно требующимся в сложившихся условиях, можно ответить, что необходимы не какие-то конкретные решения (они почти все уже существуют и успешно эксплуатируются), а нужна скорее единая экосистема удобных продуктов, совместимых между собой, а также с оборудованием, операционными системами и прикладным софтом. Кроме того, с организационной точки зрения, вероятно, актуален процесс миграции с привычных работающих зарубежных решений на отечественные аналоги, однако сокращающиеся бюджеты и недостаток ИТ/ИБ-специалистов, подготовленных к работе с белорусским и российским программным и аппаратным обеспечением, могут внести свои коррективы.
Разработать план миграции с западного ПО и обучить сотрудников
CNews: Как банкам обеспечить быструю и безболезненную миграцию с зарубежных программных платформ?
Олег Галкин: Для любых изменений, в том числе и таких глобальных, следует подготовить тщательно проработанный план миграции, который может быть неким приложением к внутреннему регламенту обеспечения непрерывности деятельности и восстановлению работоспособности компании, поскольку внезапный отзыв лицензии на облачную платформу или отключение функционала ПО должно подпадать под действие данного документа, а подобную ситуацию можно рассматривать как полный выход из строя ИТ-системы, поддерживающей критичный процесс.
Для эффективной миграции следует иметь детальные и актуальные инвентаризационные данные об ИТ-активах компании, их критичности и взаимозависимости, типу используемых лицензий, зависимости критичных бизнес-процессов от ИТ-сервисов. Разумеется, если компания еще не накопила компетенций по российскому или белорусскому софту, то следует обратиться к компаниям-интеграторам или непосредственно к вендорам. Некоторые производители сейчас могут пойти на встречу и предложить временную лицензию на свой продукт в целях ускорения пилотирования или миграции.
Более того, не лишним будет отправить сотрудников на обучение технологиям и платформам, которые будут внедряться — такое обучение часто проводится самими производителями или авторизованными учебными центрами. Также можно порекомендовать обращаться с вопросами использования популярных продуктов к сообществу на форумах или тематических группах в мессенджерах. При этом, как всегда, нужно быть готовым пробовать новые технологии, преодолевать трудности и непрерывно повышать квалификацию.
CNews: Насколько решения Open Source могут помочь банковской сфере преодолеть ограничения, связанные с санкциями и уходом западных вендоров?
Олег Галкин: Правила Open Source прямо запрещают дискриминацию групп и отдельных пользователей проектов с открытым исходным кодом, а также дискриминацию по сфере использования Open Source-программ, однако от таких этических принципов частные разработчики и в особенности компании могут отступить, внеся ограничения на право использования Open Source лицензий и продуктов. За последнее время мы стали свидетелями того, что Open Source-продукты выполняют требования санкционного законодательства (Open Source-антивирус ClamAV, выпускающийся под GPL-лицензией и принадлежащий американской Cisco, стал недоступен для пользователей подсанкционных стран) и даже могут выполнить несанкционированные действия на устройствах пользователей. Таким образом, обновления пакетов, в том числе вспомогательных, потребуется тщательно контролировать на наличие «закладок», что не только повысит нагрузку на ИТ-специалистов и специализированные средства защиты (анализаторы кода, «песочницы»), но и снизит эффективность процессов CI/CD (непрерывная интеграция и доставка обновлений ПО).
Open Source-концепция допускает коммерческую деятельность разработчиков, такую как продажа технической поддержки, доработки под нужды заказчиков, продажа подписки на сервис, а также двойное лицензирование (когда проприетарное ПО содержит Open Source-компоненты). Все эти опции могут стать недоступны для клиентов из России, а компании-владельцы Open Source-продуктов будут выполнять требования санкционного законодательства своей юрисдикции (например, популярный репозиторий GitHub был куплен американской Microsoft еще в 2018 г.). Кроме того, частные сообщества и отдельные разработчики ПО также могут начать ограничивать использование своих разработок в санкционных странах. Таким образом, отечественные компании, использующие Open Source, могут столкнуться c невозможностью легального обновления и поддержки таких решений. Все указанные риски следует учесть перед принятием решения о переводе ИТ-систем на Open Source.
Как провести интеграцию отечественной ИБ-платформы с основными средствами защиты банка
CNews: В 2021 г. вы запустили управление инцидентами на базе платформы Security Vision. Как решение помогает Вам в текущей ситуации?
Олег Галкин: Реагирование на киберинциденты, обнаружение новых киберрисков, закрытие уязвимостей требуют оперативных, продуманных и проактивных действий. В последнее время неуклонно снижается время нахождения злоумышленников в сети после первичного заражения и до осуществления деструктивных действий (кража данных, шифрование с целью выкупа, вывод инфраструктуры из строя): если еще 5-7 лет назад можно было говорить о днях и неделях, то сейчас это время сократилось до минут и часов — и этим срокам должны соответствовать показатели MTTD (mean time to detect, среднее время обнаружения киберинцидента) и MTTR (mean time to respond, среднее время реагирования на киберинцидент).
Для автоматизации и ускорения реагирования на киберинциденты применяются системы IRP/SOAR. Системы IRP (Incident Response Platform, платформы реагирования на киберинциденты) используются для автоматизации действий по анализу и обработке киберинцидентов, сбору дополнительной обогащающей информации по инцидентам, а также для интеграции с разнообразными системами для выполнения автоматических/автоматизированных действий по реагированию. Платформы IRP эволюционировали в более совершенные системы SOAR (Security Orchestration, Automation and Response, платформы оркестрации, автоматизации и реагирования на киберинциденты), которые предназначены для комплексной автоматизации процессов реагирования на киберинциденты.
В функционал SOAR-систем входит, как правило, обработка событий ИБ, получаемых непосредственно от средств защиты или из SIEM-решений, автоматизация действий по обработке данных событий в соответствии с рабочими процессами реагирования, а также непосредственное выполнение действий по реагированию с помощью оркестрации (централизованного управления) ИТ/ИБ-системами. Дополнительный функционал SOAR-решений может включать в себя инструменты совместной работы аналитиков над инцидентами, ведение общей базы знаний и закрытых инцидентов, интеграцию с инструментами обработки данных киберразведки, возможности для визуализации данных, построения timeline инцидентов, расширенной аналитики, в том числе с помощью механизмов обработки «больших данных», машинного обучения и искусственного интеллекта.
CNews: Расскажите, пожалуйста, как проходило внедрение. Почему выбрали именно платформу Security Vision?
Олег Галкин: Продукты Security Vision на практике доказали свою высокую эффективность, так что для нас выбор системы этого вендора был вполне очевиден.
Платформа Security Vision выходит за рамки классических SOC/IRP/SOAR/SGRC систем, позволяя адаптивно автоматизировать как ИБ, так и ИТ процессы. Так что при ее внедрении мы не пытались автоматизировать сразу все свои процессы, а решили сначала выбрать ключевые и двигаться последовательно.
В ходе работ специалисты Security Vision совместно с сотрудниками Сбер Банка Беларусь осуществили интеграцию Security Vision с основными средствами защиты банка, а также с системой класса ITSM. Данная интеграция обеспечила взаимодействие подразделения киберзащиты с другими ИТ службами банка в рамках решения их профильных задач.
Внедрение проходило в течение нескольких месяцев, в ходе которых были определены основные функции системы — плейбуки, интеграции, роли и визуализация. Каждый из перечисленных элементов прорабатывался с ответственными специалистами по соответствующим направлениям деятельности в банке. При этом учитывалась сервисная модель оказания услуг в банке, при которой часть функций управления и администрирования реализованы внешними подрядчиками. Были настроены интеграции для формирования реестра технических активов заказчика.
По итогам по каждому типу обрабатываемых инцидентов ИБ был реализован процесс с учетом специфики реагирования на него в банке, а также формы отчетности, позволяющие контролировать текущее состояние обеспечения безопасности и реагирования на аномалии, а также исторические сводки по обрабатываемым инцидентам ИБ.
CNews: Каких результатов удалось добиться?
Олег Галкин: Внедрение Security Vision позволило объединить множество систем и процессов банка в едином механизме, обеспечив качественно более высокий уровень защиты его информационных активов.
Важным результатом создания ситуационного центра стали автоматизация и оптимизация рутинных операций подразделения киберзащиты. Благодаря функциям оркестрации работа аналитиков по обработке инцидентов, заведению заявки, получению аналитической информации стала выполняться в единой среде Security Vision.
По итогам реализации проекта мы усовершенствовали контроль обеспечения информационной безопасности в ключевых процессах, влияющих на сохранность ИТ-активов. Это важная задача для банка.
Какие планы по централизации и автоматизации ИБ-процессов?
Олег Галкин: Сбер Банк Беларусь планирует развивать сотрудничество с Security Vision в направлении дальнейшей автоматизации ключевых процессов информационной безопасности банка. Основными задачами автоматизации на текущий момент является реагирование на инциденты ИБ. Далее в планах — автоматизация процессов, связанных с управлением активами и уязвимостями в инфраструктуре, а также интеграция с системой мониторинга технических сервисов банка.
Мы последовательны в своих действиях как с точки зрения интеграции с новыми средствами защиты информации и ИТ системами, так и в процессном направлении, двигаясь от процесса к процессу.