CIO 2. IT-безопасность

Наш Клуб постепенно набирает обороты. В апреле 2017 года в Университете Инха в Ташкенте ICTNEWS в очередной раз собрал экспертов и профессионалов IT-сферы для обсуждения одного из самых животрепещущих вопросов современной hi-tech индустрии – IT и безопасность.

Как известно, прошлый год ознамено­вался наиболее серьезными проблемами в этом направлении и четко показал, насколько слабыми и неподготовленными оказались не только «узкие» специалисты, формирующие саму индустрию, но и ря­довые потребители высокотехнологичных услуг.

О том, какие механизмы и инструменты используют злоумышленники, что может ожидать кибермир в этом году, поделился руководитель поддержки продаж ESET Russia Виталий Земских.

– Многие из нас уже знакомы со ста­тистикой проведенных кибератак, в том числе затрагивающих финансы, в про­шлом году. К примеру, в 2016 году только в России злоумышленники похитили около 2,2 млрд рублей, и это далеко не предел. В этом году количество подобных дей­ствий явно не уменьшится, и «нападения», в частности на финансовый сектор, будут производиться до тех пор, пока матери­альная выгода от успешной операции будет превышать стоимость затрат на ее реализацию.

Факт, что возможность получения относительно «легких денег» для кибер­преступников будет реальна до тех пор, пока IТ и ИБ-департаменты банков не откажутся от формального подхода к во­просам обеспечения безопасности. Нашей компанией отмечается постоянный рост числа целенаправленных атак на финан­совый сектор уже с 2015 года. В текущем году наши аналитики, по самым скромным подсчетам, прогнозируют рост числа атак на 50%, что, вполне вероятно, приведет к увеличению нанесенного ущерба орга­низациям. Основная причина продол­жения кибератак по уже отработанным и «классическим» схемам, по-прежнему позволяющая получать выгоду хакерам, – в первую очередь, слабая осведомлен­ность структур о критических точках и узлах инфраструктуры организации, по которым может быть нанесен киберудар. Направления этих атак до банального просты: фишинг, знание и использование уязвимостей программного обеспечения, социальная инженерия и точечные атаки на наиболее слабые сервисы внешнего IT- периметра, к примеру, слабо защищенный веб-сервис. Обычно механизм атаки отработан до автоматизма: получив несанкционированный доступ к сети организации, киберпреступник начинает проводить разведку, изменяет уровни доступа и категории привилегий, ищет транзакционные системы, связанные с системами дистанционного банкинга, или другие системы вывода средств. Простые, на первый взгляд, схемы атак сочетаются, как правило, с тщательной и всесторонней подготовкой. Изначальная разведка и анализ, которые предшествуют краже, могут продолжаться как несколько дней, так и несколько месяцев. Для проведения непосредственно вывода средств может быть достаточно и нескольких минут. Основные и крупные «игроки», регулярно проводящие атаки на банковские структуры в СНГ и России, достаточно известные кибергруппы Corkow, Carbanak и Buhtrap. Часто их хакеры используют аналогичные методы.

Corkow (англ. corkow – затаивать) – анонимная кибер- преступная группа (второе название Metel), проводящая активную деятельность с 2011 года. Прославилась созданием одноименного банковского трояна Win32/Corkow, который используется злоумышленниками для кражи данных онлайн-банкинга. В отличие от Carberp, который получил мировую известность, Corkow (Metel) не удостоился такого же внимания со стороны исследователей или общественности и был незаметен все это время. Ситуация изменилась в 2014 году, когда совокупный баланс скомпрометированных трояном Corkow (Metel) счетов клиентов превысил $250 млн.

Большинство атак стартует с фишингового электронного письма с вложенным вредоносным файлом, обычно это документ Microsoft Word или изображение эксплойтом. Как только пользователь запускает файл в системе, на его компьютер автоматически устанавливается целый комплекс вредоносных инструментов, а затем следуют уже описанные шаги. Конечный результат, идеальный для киберпреступника, – хищение денег или ценной информации. Что же позволит снизить риски? Сегодня информация – это оружие. В первую очередь, на снижение потенциальных рисков положительно влияет информированность сотрудников, ответственных за обеспечение IT-безопасности в организации, о новейших угрозах, постоянное обучение штатного персонала, использование меха­низмов двухфакторной аутентификации и, конечно, постоянное и своевременное обновление соответствующего антивирус­ного и системного ПО.

Тематику заседания продолжил Олег Бакшинский, руководитель направления систем управления ИБ в IBM, который вы­сказал свое мнение о грядущем будущем информационной безопасности и о слож­ностях анализа кибератак.

– В области информационной или кибербезопасности компания IBM имеет, пожалуй, уникальный опыт подключения элемента в виде когнитивных систем. То есть суперкомпьютер, у которого есть написанные определенным образом программы искусственного интеллекта. Но мне хотелось бы описать наш опыт, отличающийся от опыта других компаний. IBM потратила массу времени на то, чтобы в первую очередь научить Искусственный Интеллект (ИИ) понимать азы информаци­онной безопасности.

В принципе, это было сделано в по­мощь обычным людям, которых в компа­ниях называют аналитиками ИБ и перед которыми ставятся задачи по обеспече­нию этой самой безопасности. В перечень его основных задач обычно входят: рас­следование потенциальных угроз, вклю­чающее внешний анализ по IT-угрозам, внутренний анализ и расследование потенциальных сетевых проблем, постоян­ный мониторинг очереди оповещений и потенциальных угроз. Далее следуют уже постоянная отчетность и последующая настройка правил корреляции.

К примеру, один аналитик в среднем разбирает максимум 20 инцидентов в сутки, а вот их число на одну компанию только за 2016 год составило 54 млн. Вы представьте: даже если 50 млн инциден­тов поделить на 500 дней, выйдет 100 тыс только за один день. А сколько тогда нужно аналитиков для разбора такого объема? По самым скромным подсчетам, в среднем около 5 тыс человек на одну компанию. Пожалуй, такой объем персона­ла будет слишком велик.

Кто слышал о IBM Watson? Так вот, этот суперкомпьютер может действительно по­мочь делу – подключение одной из самых совершенных в современности систем Ис­кусственного Интеллекта именно для того, чтобы человек смог кратко, на понятном языке формулировать вопросы и, самое главное, быстро и внятно получать ответы.

Конечно, возникает вопрос: чем же конкретно может помочь ИИ в работе аналитиков. Для начала – использовать огромные массивы существующих данных для обнаружения новых шаблонов атак, а впоследствии – становиться умнее и по­строить свои т. н. «инстинкты ИБ». Кроме того, ИИ позволяет в разы уменьшить не­достаток знаний по ИБ, а именно приори­тезировать угрозы, подготовить рекомен­дации по их устранению с математической уверенностью, большой масштабируе­мостью и скоростью, которая недоступна обычному человеку.

IBM Watson – суперкомпьютер фирмы IBM, оснащенный вопросно-ответной системой искусственного интеллекта, соз­данный группой исследователей под ру­ководством Дэвида Феруччи. Его создание – часть проекта DeepQA. Основная задача Уотсона – понимать вопросы, сформулиро­ванные на естественном языке, и находить на них ответы в базе данных. Назван в честь основателя IBM Томаса Уотсона.

(Wikipedia)

Основное и самое главное, что позволяет делать Watson, – это сокращение времени для анализа и разбора инцидента и, как следствие, гораздо более быстрого времени на его реагирование и устране­ние последствий. Помимо всего ИИ дает возможность более глубоко влиять на суть самого инцидента через усвоение обшир­ного числа источников, из которых можно получить данные.

И, как уже было сказано, в результате это позволяет проводить расследования быстрее, быстрее вычищать бэклог, значи­тельно улучшить возможности расследова­ний, избавить человека от тяжелой работы и делать ее заранее.

На втором заседании CIO Club помимо зарубежных экспертов выступил предста­витель отечественной IT-сферы Шухрат Курбанов. Как авторитетный эксперт в области финансов, он рассказал о суще­ствующих потенциальных угрозах потери средств через банковские карты.
– Для начала, чтобы понять, как может происходить кража данных, давайте пред­ставим, как производится онлайн-оплата с карты, к примеру, в интернет-магази­не. Первое: после осуществления всех действий, связанных с выбором товара, клиент попадает на страницу оплаты, где он должен ввести свои данные и номер карты. Дополнительно может потребовать­ся адрес владельца карты – это тоже один из способов проверки. После чего система проверит его данные, и оплата пройдет. И вот именно на этом этапе чаще всего и мо­жет осуществляться кража данных с карты.
Нужно заметить, что по действующим правилам международных платежных систем клиент не должен страдать от мо­шеннических действий – в таких случаях ущерб должен возмещать банк-эмитент. Это и понятно, доверие к картам между­народных платежных систем не должно быть подорвано. В то же время есть и ис­ключения из этих правил. Если сам клиент стал виновником мошенничества, то в этом случае возмещение он не получит.

Теперь, если вернуться к самим мошен­ническим действиям или к тому, как могут исчезать деньги с карты, нужно перечис­лить возможные действия злоумышленни­ков.

Как уже упоминалось, один из самых распространенных способов – это фишинг, то есть действия, вследствие которых владелец карты самостоятельно передает данные своей карты мошенникам. Обычно это происходит следующим образом. На электронную почту владельца приходит письмо из его банка, интернет-магазина или платежной системы, в котором будет ссылка на сайт и просьба совершить какие-либо действия. При этом адрес бу­дет похож на адрес вашего банка, извест­ного вам интернет-магазина. В итоге вы введете данные своей карты, а мошенни­кам потребуется не так уж много времени, чтобы снять средства с вашей карты.

Отдельно стоит затронуть т. н. «man in the middle» (человек посередине) – вот в этом случае с помощью технических и программных средств мошенник встает между клиентом и сервером банка (или процессинга). Вы будете думать, что мо­шенничает банк, а банку будет казаться, что мошенник – это его клиент. В итоге клиент, ничего не подозревая, введет дан­ные, которые уйдут к злоумышленникам.

Без классических взломов тоже не обойтись – взлом браузера. При этом сценарии в компьютер внедряется вредо­носное ПО, которое будет перехватывать данные из браузера в режиме реального времени.

И уж виртуозный способ, требующий наибольшей подготовленности хакера, – взлом базы банка или платежного про­вайдера. Как я уже сказал, это наиболее сложный способ украсть данные, при кото­ром злоумышленники получают доступ к данным миллионов клиентов и их бан­ковских карт. Как ни странно, но обычно, с учетом репутационной составляющей, о таких взломах редко становится известно.

Фрод (англ. Fraud – «мошенничество») – вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи.

Итак, мы рассмотрели причины, по которым пользоваться банковскими кар­тами при онлайн-покупках опасно. Но при соблюдении определенных правил опас­ность эту можно миновать, так как банки и процессинги уже позаботились о нас и внедряют системы фрод-контроля, управ­ления и другие способы идентификации и защиты пользователя.

Отдельно Шухрат Курбанов отметил способы обеспечения безопасности. К примеру, система Fraud-контроля подразумевает разработку правил и алгоритмов проверки каждого платежа на соответствие «обычному» поведению клиента или клиентской группы. Система 3D Secure позволяет подтверждать каждую онлайн-покупку через разовый пароль (SMS) или через набор кодов на карте. В заключение эксперт рассказал и о картах с динамическими CVV кодами – пластиковых картах с дисплеем на базе электронных чернил, на котором вместо пропечатанного CVV отображается меняющийся через определенное время код (DCV). Встреча участников и экспертов CIO Club, как и ожидалось, была яркой и насыщенной. Профессионалы активно обсуждали затронутые темы, делились накопленным практическим опытом и задавали интересующие их вопросы.

ОСТАВЬТЕ КОММЕНТАРИЙ: