Тимур юнусов, positive technologies: «не рекомендуем оставлять операторские машины без антивирусной защиты»

- kbrbank

Тимур юнусов, positive technologies: «не рекомендуем оставлять операторские машины без антивирусной защиты»

Тимур Юнусов, начальник отдела безопасности банковских совокупностей Positive Technologies ответил на вопросы портала Bankir.Ru. — Антивирус для банка он по большому счету какой? Так как в банках употребляются весьма различные устройства, с различной функциональностью. Имеется ли смыл стремиться установить некое глобальное ответ либо несложнее и надежнее строить защиту из отдельных кирпичиков?

— Противовирусные ответы не универсальны и не ставят перед собой задачу защищать все вероятные устройства от всех вероятных атак. Это как первый барьер перед хакерами, как Firewall на внешнем периметре.

Мы не рекомендуем оставлять операторские автомобили без противовирусной защиты ни в банке, ни в каждый компании

Ежемесячно находятся десятки вирусов, каковые не обнаруживает ни один антивирус (независимо от того, с эвристическим он модулем либо без него). Но эти средства хороши в остановке возможности и массового инфицирования своевременно найти атаку. Кроме этого, в большинстве случаев, у одного вендора существует целая линейка ответов, трудящихся совместно: антивирусы для файловых серверов, рабочих станций и т. д. Мы бы не советовали оставлять операторские автомобили без противовирусной защиты ни в банке, ни в каждый компании.

— Заметна ли роль программных средств как раз в противодействии атакам? Способны ли они исправить разрушительное влияние антропогенного фактора либо это только дополнительная страховка на всякий случай?

— Сейчас, обратив внимание на усложнение и человеческий фактор хакерских атак в целом (так именуемые APT), производители стали создавать и деятельно рекламировать средства обнаружения атак: SIEM, SOC, средства по борьбе с APT. Конечно, делать ставку лишь на них не следует, хотя бы вследствие того что «на втором финише провода» сидят все те же люди, каковые реагируют на инциденты.

Средства обработки громадных разрешённых помогают увидеть одну единственную, по-настоящему серьёзную, иголку в стоге иголок

К примеру, известен случай, в то время, когда весьма аккуратные хакеры-преступники подбирали пароль к учетной записи в течение продолжительного времени, имея всего три попытки в сутки. У них это заняло пара недель, а при адекватно настроенных средствах мониторинга инцидентов их имели возможность поймать прямо в ходе атаки (подбора пароля). В любом случае средства обработки громадных данных оказывают помощь человеку (и ИБ-эксперту, а также) заметить одну единственную, по-настоящему серьёзную, иголку в стоге иголок.

— Имеется успешные примеры противодействия атакам при помощи программных средств?

— Успешные противодействия атакам посредством антивирусов — это история про то, как ничего не случается: финансовая система не падает, преступники не выводят деньги и т. д. В общем именно про то, о чем в прессе не пишут.

Но в действительности такие истории видятся. Одна из них случилась в конце прошлого года, в то время, когда FinCERT выпустил советы и IoC по борьбе с вирусом BuhTrap. Тогда-то CISO одного из банков и нашёл странную активность в логах SIEM.

Атаку удалось остановить благодаря своевременным действиям, выполненным в соответствии с рекомендациями: скомпрометированные АРМ КБР были отключены от платежной системы ЦБ, изолированы и «почищены» от вирусов. И лишь затем их ввели в работу опять.

Имеется, кстати, весьма показательный контрпример, в то время, когда вопреки всем регламентам и средствам защиты финансовая система была взломана. В банке правильно безопасности не разрещалось открывать вложения в письмах, сообщениях в ДБО и т. д. Преступникам было нужно зарегистрировать юрлицо и в полной мере легитимно трудиться с банком долгое время (практически полгода).

В какой-то момент они превратились в значимого для банка клиента, которому банк отправился навстречу, отойдя от принятых правил безопасности. Письма и вложения раскрывались по согласованию с управлением. Финалом для того чтобы «сотрудничества» стало фишинговое письмо, вложение в котором оператору дал открыть конкретно топ-менеджер.

Преступникам удалось войти в доверие, открыв счет заблаговременно и расслабив сотрудников, вступив с ними в активную коммуникацию и отправляя письма до этого пара раз. В этом случае никакой антивирус бы не помог — сверху совершенно верно так же была бы команда «отключить назойливое средство».

Тимур Юнусов: «Особенности проведения социотехнического тестирования на проникновение»

Похожие статьи, которые вам, наверника будут интересны: