В годовом отчете о работе FinCERT среди главных обстоятельств успешных атак на банки именуется отсутствие противовирусного ПО и (либо) несвежие базы зловредов. Мы решили разобраться в том, что такое антивирус для банка и как он защищает финучреждения от недружелюбных внешних действий.

направляться сходу оговориться, что определение «антивирус» безнадежно устарело и употребляется лишь для краткости и простоты. Современное противовирусное ПО сочетает в себе функции файлового сканера, сетевого экрана, антифишинга, контроля доступа к элементам совокупности (к примеру, веб-камере) и ряд других, зависящих от конкретных задач.

При банка под противовирусным ПО имеется в виду широкий комплект продуктов от стандартных ответов класса Internet Security для рабочих мест до комплексов, защищающих от целевых и DDOS-атак, со особыми модулями для возможно уязвимых элементов инфраструктуры банка. В зависимости от архитектуры сети, количества узлов, их типа и предъявляемых требований компоненты противовирусной защиты смогут изменяться.

Благодарю, что FinCERT Основная угроза для банков — не высоколобые хакеры, а личная расслабленность, разрешающая пробраться в святая святых кроме того не самым квалифицированным преступникам. По крайней мере, это направляться из отчета, подготовленного по результатам первого года деятельности FinCERT.

И все же в отчете FinCERT говорится как раз об довольно несложных противовирусных продуктах, защищающих рабочие места. Где тонко, в том месте и рвется. Где защита не сильный, в том месте и пробуют пробраться преступники. В каком-то совершенном мире атака на рабочее место приведет в нехорошем случае к утечке ограниченного комплекта не самой тайной и устаревшей информации.

Но опыт говорит, что компьютеры сотрудников становятся открытыми воротами на пути к АРМ КБР и масштабным кражам.

Окажет помощь ли антивирус?

Кибератаки возможно условно поделить на три категории по степени сложности обнаружения. К несложным относится рассылка писем с вредоносным ПО во вложении. В таковой ситуации пользователь точно заподозрит ловушку, а вдруг и постарается запустить вредоносную программу, ее заблокирует антивирус.

В атаках средней сложности употребляются многокомпонентные вредоносные инструменты и продвинутые механизмы маскировки. Такие атаки носят направленный темперамент — преступники отправляют фишинговые сообщения конкретным людям, к примеру сотрудникам бухгалтерии. Письма («Контракт подряда», «Взыскание задолженности» и пр.) грамотно составлены, вредоносное ПО мимикрирует под документ Word, таблицу Excel либо формат PDF.

В случае если пользователь пробует открыть вложение, вирус запускается в совокупности, а на экран выводится фальшивый документ для маскировки. Такие атаки смогут нанести банкам большой ущерб.

Антивирус ни при каких обстоятельствах не был и обозримой перспективе не станет панацеей в области защиты

В сложнейших атаках употребляется неповторимое вредоносное ПО и твёрдая нацеленность на конкретную жертву. Такие программы пишутся «под ключ» для конкретной кибератаки и больше нигде не видятся. Вредоносное ПО пробует ввести в заблуждение антивирус и скрытно трудится в скомпрометированной совокупности. Для его автоматического запуска употребляются эксплойты нулевого дня.

Вычислить атаку очень сложно, вероятен большой ущерб.

«В любых ситуациях влияние антропогенного фактора огромно,— вычисляет Артем Баранов, ведущий вирусный аналитик Eset Russia.— Ключом к совокупности для преступников может стать как некорректная настройка противовирусного продукта, так и неопытность пользователей, открывающих фишинговые сообщения».

«Антивирус ни при каких обстоятельствах не был и обозримой перспективе не станет панацеей в области защиты,— уверен Глеб Чербов, помощник главы департамента аудита защищенности Digital Security.— Единственная функция, которую способны действенно делать современные антивирусы, и задача, которую имеет суть на них возлагать,— недопущение эпидемий, отражение известных, массовых атак. Единого глобального ответа тут нет и не может быть. Для защиты отдельных противостояния и компонентов конкретным угрозам разумно применять специальные средства защиты».

Сохранять надежду, что обычный антивирус защитит от аналогичного, это как идти в «Макдональдс» за фуа-гра и удивляться, что персонал не осознаёт, о чем вы по большому счету

«Противовирусные ответы не универсальны и не ставят перед собой задачу защищать все вероятные устройства от всех вероятных атак. Это как первый барьер перед хакерами, как Firewall на внешнем периметре»,— додаёт Тимур Юнусов, начальник отдела безопасности банковских совокупностей Positive Technologies.

Вправду, добротный лицензионный антивирус не всегда защищает от стандартных атак кроме того домашний компьютер, в особенности в случае если пользователь отмахивается от предупреждений приложения и педантично ходит по каждой ссылке в письме. Атаки на банки, как уже говорилось выше, разрабатываются штучно, они проводятся при помощи намерено написанного либо как минимум персонализированного инструментария. И сохранять надежду, что обычный антивирус защитит от аналогичного, это как идти в «Макдональдс» за фуа-гра и удивляться, что персонал не осознаёт, о чем вы по большому счету.

Сейчас, обратив внимание на усложнение и человеческий фактор хакерских атак в целом (так именуемые APT), производители стали создавать и деятельно рекламировать средства обнаружения атак: SIEM, SOC, средства по борьбе с APT. Конечно, делать ставку лишь на них не следует, хотя бы вследствие того что «на втором финише провода» сидят все те же люди, каковые реагируют на инциденты. «Известен случай, в то время, когда весьма аккуратные хакеры-преступники подбирали пароль к учетной записи в течение продолжительного времени, имея всего три попытки в сутки. У них это заняло пара недель, а при адекватно настроенных средствах мониторинга инцидентов их имели возможность поймать прямо в ходе атаки (подбора пароля),— говорит Тимур Юнусов.— В любом случае средства обработки громадных данных оказывают помощь человеку (и ИБ-эксперту а также) заметить одну единственную, по-настоящему ответственную, иголку в стоге иголок».

Вы заберёте сходу либо частями?

Трудясь над совокупностью борьбы со зловредами, постоянно встаёт задача — выбрать решения от одного вендора либо выстроить все из «кирпичиков» различных производителей.

Плюсы глобального ответа в гибкости управления и унифицированности. Иначе, на рынке не так много ответов, в которых все нужные компоненты были бы одинаково действенны.

Не следует забывать о требованиях ЦБ к мультивендорной защите

В случае если строить защиту на базе продуктов различных вендоров, пострадает универсальность и гибкость управления. Преимущество в том, что возможно подбирать специальные ответы для конкретных задач.

«Банк может применять комплексное противовирусное ответ и дополнительно усилить защиту специальными продуктами различных вендоров — для защиты от кибератак, эксплуатирующих уязвимости нулевого дня, и для защиты от инсайда и утечек информации (DLP)»,— вычисляет Артем Баранов, ведущий вирусный аналитик Eset Russia.

Артем Баранов, Eset Russia: «В любых ситуациях влияние антропогенного фактора огромно» 

Кроме этого не следует забывать о требованиях ЦБ к мультивендорной защите. Кроме того надежно трудящаяся совокупность одного производителя может привлечь неприятное внимание регулятора.

«К сожалению, действия денежных организаций в противодействии угрозам довольно часто носит реактивный темперамент. Появились неприятности со спамом — приобретается ответ для борьбы. Хакеры пробрались в бреши сетевого экрана — давайте его модернизируем.

Итог напоминает лоскутное одеяло,— расстроен Радж Самани (Raj Samani), вице-президент CTO Intel Security в регионе ЕМЕА.— В случае если сначала продумать совокупность в целом и определиться с уровнями внимания к защите ее элементов, предстоящая работа будет намного проще и действеннее».

поражения и Победы

Бывает и так, что антивирусы, наоборот, разрешали удачно совершить атаку

Известны случаи, в то время, когда на протяжении направленной атаки преступникам получалось взять удаленный контроль над рабочей станцией сотрудника, и антивирус не являлся тому препятствием. Но уже в ходе предстоящей эксплуатации преступники применяли публично узнаваемые нужные нагрузки, и атака в итоге была обнаружена антивирусом и пресечена работой ИБ.

«Бывает и так, что антивирусы, наоборот, разрешали удачно совершить атаку на совокупность из-за наличия уязвимостей в них самих,— уточняет Глеб Чербов.— Так, антивирус может служить кроме того чтобы увеличить область атаки».

«Имеется весьма показательный контрпример, в то время, когда вопреки всем регламентам и средствам защиты финансовая система была взломана. В банке правильно безопасности не разрещалось открывать вложения в письмах, сообщениях в ДБО и т. д. Преступникам было нужно зарегистрировать юрлицо и в полной мере легитимно трудиться с банком долгое время (практически полгода),— говорит Тимур Юнусов.— В какой-то момент они превратились в значимого для банка клиента, которому банк отправился навстречу, отойдя от принятых правил безопасности.

Письма и вложения раскрывались по согласованию с управлением. Финалом для того чтобы „сотрудничества” стало фишинговое письмо, вложение в котором оператору дал открыть конкретно топ-менеджер. Преступникам удалось войти в доверие, открыв счет заблаговременно и расслабив сотрудников, вступив с ними в активную коммуникацию и отправляя письма до этого пара раз.

В этом случае никакой антивирус бы не помог — сверху совершенно верно так же была бы команда „отключить назойливое средство”».

Тимур Юнусов, Positive Technologies: «Не рекомендуем оставлять операторские автомобили без противовирусной защиты»

руки и Плечи

По каким-то мистическим обстоятельствам, о каких бы мудреных IT-ответах в банкинге мы ни говорили, в конечном итоге все сводится к антропогенному фактору. Другими словами IT-решения, без сомнений, необходимы, но настроить их раз и окончательно оказывается неосуществимым. Нужны намерено обученные и патологически важные люди, каковые будут присматривать, присматривать и давать рекомендации сотрудникам.

В случае если такие люди имеется, все будет прекрасно, даже в том случае, если антивирусы на десктопах прекратят обновляться. В случае если нет… Быть может, о том, что антивирус не обновился, вы определите из сводки расследования проишествия, связанного со взломом АРМ КБР. Как говорится, со всеми утекающими.

Антивирус ESET NOD32 — устроил мне АД

Интересные записи

• Ibm сформулировала четыре модели цифрового банкинга
• Экономическая статистика 25 апреля — 1 мая 2016: ожидания
• Опыт внедрения системы электронного документооборота в международном московском банке

Похожие статьи, которые вам, наверника будут интересны:

• Артем баранов, eset russia: «во всех случаях влияние человеческого фактора огромно»

  Артем Баранов, ведущий вирусный аналитик Eset Russia, поведал о собственном видении роли антивируса в банке. — Что мы имеем в виду, в то время, когда…

• Алексей субботин, opportunity network: «с помощью нашей платформы клиенты банков находят партнеров по всему миру»

  Сейчас банковские менеджеры обычно не смогут заинтересовать клиента банка новой услугой, по причине того, что не знают его настоящих потребностей. О том,…

• Несут ли итальянские банки угрозу всей европейской экономике?

  Пару дней назад ЕЦБ согласовал подробности очередного пакета спасательных мер для Banca направляться dei Paschi di Siena, ветшайшего банка планеты….

• Михаил дробышевский: «все больше госслужб, с которыми банки должны взаимодействовать»

  Задача интеграции с национальными информационными совокупностями делается все более актуальной для банков. Bankir.направляться поболтал с председателем…

• Без правильного банка в валютные сделки влезать не стоит

  Агентство Markswebb Rank Report совершило изучение банков на предмет дружелюбности совокупностей ДБО для тех клиентов денежных университетов, каковые…

• Главное, ребята, i—банком не стареть

  Интернет делается все более дешёвым в Российской Федерации, и работу с розничными клиентами уже нереально представить без активного применения разработок…