Читаем Кибербезопасность в условиях электронного банкинга. Практическое пособие полностью

Учитывая, что финансовый и банковский сектора наиболее восприимчивы к внедрению новейших достижений в области ИКТ, рассмотрим три основных направления совершенствования кибербезопасности в условиях применения СЭБ и интернета вещей (рис. 30).

По мнению авторов, это далеко не полный перечень мероприятий, которые следует реализовать в рамках обеспечения кибербезопасности в условиях применения интернета вещей. Ведь на практике каждое направление будет включать в себя гораздо больше задач. В перспективе нужно стремиться не только создать систему надзора в виртуальном пространстве, но и повысить культуру поведения в нем всех участников информационного обмена. Компании должны хорошо понимать, что за рекламой различных IoT-систем стоит их ответственность за качество предоставляемых услуг. Финансовым институтам необходимо использовать защищенные программные продукты для IoT-систем, иметь квалифицированный обслуживающий персонал, способный оперативно и грамотно реагировать на кибератаки, а также готовый всегда прийти на помощь клиентам, оказавшимся в трудной ситуации.

Кредитные организации в соответствии с п. 3 ст. 27 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» [51] обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России и согласованными с федеральными органами исполнительной власти. Требования к обеспечению защиты информации при осуществлении переводов денежных средств установлены Положением Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» [21] (далее – Положение № 382-П).

Рис. 30. Направления совершенствования кибербезопасности в условиях применения СЭБ и интернета вещей

Необходимо отметить, что именно соблюдение кредитными организациями указанных требований позволит существенно снизить вероятность успешного исхода при проведении злоумышленниками атакующих действий. Векторы атак злоумышленников не всегда одинаковы, однако их можно классифицировать по основным группам и «точкам приложения».

В последние три года эксперты ФинЦЕРТ Банка России отмечают увеличение количества целевых атак на ОКФС. При компрометации информационных систем и сетей используются инструменты, предназначенные для проведения тестов на проникновение.

К таким инструментам можно отнести Metasploit Framework и основанные на Metasploit решения: Cobalt Strike, Armitage, Empire. Например, в 2017 г. ущерб от атак с использованием набора программ Cobalt Strike, разработанного американской компанией Strategic Cyber, LLC, согласно Обзору основных типов атак в кредитно-финансовой сфере, превысил 1 млрд руб. Данные инструменты, разработанные с применением техник, затрудняющих их обнаружение в системе, предоставляют простой механизм удаленного управления зараженными компьютерами, а также включают в себя утилиты, предназначенные для сбора информации о сети организации и хищения данных (паролей, документов и пр.).

Особенностью указанных атак является то, что они не требуют от атакующих особых технических знаний. Большинство компонентов уже соответствующим образом подготовлены производителями программного обеспечения.

Типовая схема целевой атаки на кредитную организацию выглядит следующим образом:

– производится массовая рассылка на адреса ОКФС электронных писем, содержащих вредоносные вложения;

– в случае запуска вредоносного вложения происходит скрытое внедрение программ (чаще всего загрузчика) в компьютер неосторожного получателя;

– после скачивания загрузчика на компьютере устанавливается компонент Beacon (основной инструмент из набора Cobalt Strike) и атакующий получает возможность удаленного доступа к зараженному компьютеру;

– атакующий проводит исследование доступных с зараженного компьютера сегментов сети и пытается открыть доступ к контроллеру домена сети для последующего получения паролей администраторов. Чтобы получить пароль, могут быть использованы возможности специальных инструментов (например, Mimikatz);

– после получения доступа к контроллеру домена и администраторских паролей атакующий ищет в сети интересующие его серверы и компьютеры. Прежде всего проводится поиск компьютера или сервера, с которого есть доступ в подсеть, где находятся банкоматы или иные сегменты сети (например, сегмент процессинга платежных карт);