Михаил Хлебунов, представитель компании Servicepipe, заявил: «Даже школьники пытаются атаковать Сбербанк».

2024-09-23T11:40:27+03:00

Михаил Хлебунов, представитель компании Servicepipe, заявил: «Даже школьники пытаются атаковать Сбербанк».

Новость: нейтральная. Михаил Хлебунов из Servicepipe: «Сбербанк атакуют даже пионеры». Хакеры теперь не столько пытаются украсть деньги, сколько посеять панику, считает директор по продуктам Servicepipe Михаил Хлебунов. Летом 2024 года крупным банкам постоянно приходилось оправдываться за сбои в приложениях. И только меньшая часть смогла признать, что подверглась DDoS-атакам хакеров. Сбоили сайты Центробанка и Московской биржи, приложение Национальной системы платежных карт. С конца июня сектор узнал, что такое массовые многовекторные ковровые атаки, которые к тому же, видоизменяясь, наносят банкам репутационный ущерб. Frank Media обсудили с одним из провайдеров информационной безопасности — Servicepipe, почему у атакующих нет цели, почему источник все большего количества атак оказывается в России, и сколько банк может себе позволить не работать. Мы все наблюдаем череду атак на финансовый сектор. Вы часто говорите о политически мотивированных атаках на банки. Как вы отличаете политически мотивированные атаки от всех остальных видов? Финансовый сектор этим летом столкнулся с вниманием хактивистов — политически мотивированных атакующих. Они атаковали финансовый сектор в июне, июле особенно активно. Их целью была критическая инфраструктура в разных секторах. Это большой спектр объектов, в том числе банки. Они подвергались ковровым атакам и лето для них было неспокойным. Этим летом мы видели, как «ложились» сайты и приложения банков, ЦБ и биржи. Можно ли сказать, что атакующие успешны в своем деле? Вообще каковы критерии успешной атаки и того, что защита недостаточна? Основная цель нападающих в первую очередь — общественный резонанс. Если удалось добиться недоступности сервисов и об этом узнали все — атака успешна. Но конечная цель какова? Паника вкладчиков? Паника банков? Скажем так, цель — постоянно держать общество в напряжении: из-за новостного фона, из-за проблем с переводом средств, например. Чтобы каждый человек в обществе это напряжение чувствовал, опасался за сбережения. Атаки хактивистов именно этим и отличаются, все остальные виды атак имеют конечной целью получение денег. То есть, если мы выпустим новость о неработающем приложении или сайте, то атаку можно считать успешной? В принципе, да. При этом организация несет в основном репутационные потери, которые в будущем могут стать финансовыми. Нам это оценить сложно, потому что у каждого банка есть модель угроз, категоризация сервисов в зависимости от важности и уязвимости. Например, если атака коснулась сайта-визитки какой-то услуги, то для банка это может быть не очень важно. Но если атака затронет работу, например, автоматизированной банковской системы, то это уже серьезное последствие. В нашей практике был случай приостановки совершения транзакций банка в результате атаки. Инцидент длился более 30 минут. Другое дело что и у сайта-визитки и АБС есть общие элементы, отвечающие за их работу и доступность для пользователей. И ковровые атаки этого лета показали, что злоумышленники могут быть “ковром” по всем IP-адресам, в том числе и по имеющем отношения к сайту-визитке. И потому банкам сейчас важно защищать все и сразу, вне зависимости от критичности. Изменилась ли мощность атак? Мощность и характер атак меняется постоянно и это не только про их усиление. Так, у ковровых атак есть особенность — это направление небольшой мощности на большое количество адресов банка. Блокировать ее сложно. Банк не видит всплеска трафика на каждый свой адрес, но суммарно атака может повлиять на пропускную способность каналов связи. Такие атаки были в 2020 году, в прошлом году, но совсем массовыми они стали летом 2024 года. Какое-то время спустя хактивисты изменили тактику — и стали бить большим количеством трафика по меньшему количеству IP-адресов. В июне мы видели атаки 98,5% адресов, а уже в июле было атаковано примерно 10-15% адресов финансового сектора, но с другой мощностью. Сейчас острота проблемы снята с ковровыми атаками? В августе-сентябре атак стало меньше. Но если говорить про хактивистов, у них нет как таковой конечной цели, у них есть путь. Они и дальше будут менять тактику и атаковать. Острота проблемы не снята. Это может быть временная передышка. Как сейчас строится защита банков и и финансовых компаний от атак, отличается ли она в зависимости от размера банка? У крупных банков, вроде «Сбера» — сложная система, его защищают многие вендоры и операторы. Но в целом у любого банка есть карта сервисов, которая составляется исходя из критичности — самое ценное и уязвимое защищается наиболее тщательно. Плюс соблюдается принцип эшелонирования. Если все критичные сервиса защищаешь решениями от одного провайдера, то это может тебя подвести. Все же их должно быть несколько. Уровень дублирования и количество эшелонов зависит от важности сервиса и от бюджета. Многие банки, даже до этого лета пребывавшие в идеальном мире, взгляды на защиту от атак пересмотрели. Мы часто видим, что атакуют банки, в этом году к ним добавился ЦБ и Московская биржа. А как насчет брокеров, страховщиков и остальных участников финансового рынка? Если говорить про остальных участников финансового рынка, то в марте мы заметили всплеск в 4,5 раза в количестве атак на микрофинансовые организации, до 12,5%. Они были на уровне приложений. В 2023 году атак на МФО было гораздо меньше. С весны 2024 года появились атаки на коллекторов. Их раньше не атаковали. Что касается брокеров и страховщиков, то на них приходилось 10% и 3% всех атак и доля их не менялась в последний год. Судя по обращениям потенциальных клиентов, в первом квартале 2024 года атаковали небольшие банки, а во втором — шли атаки на крупные. Информация на финансовом рынке об атаках асимметрична, с этим большие проблемы. ЦБ говорит о 20%-ном снижении атак на банки, но регулятор знает преимущественно о тех атаках, которые удались, так как банк обязан в этом случае уведомить регулятора. Если провайдер отбивает атаки хорошо, то с большой долей вероятности отчета в ЦБ не будет — банк просто не сочтет нужным репортить. Откуда географически нападают именно на финансовые компании? До начала 2022 года 90% атак и ботовых сетей находились за границей. А сейчас более 50% трафика идет из России. То есть значимые мощности и прокси арендуются и используются нападающими в России. Они вполне могут ими управлять из-за рубежа, то есть это не значит, что атакующий находится внутри России. Это связано с тем, что наш рунет становится все сувереннее и сувереннее? Нет, это просто так удобнее и дешевле. Мы смотрели, как географически устроены атаки ботов — часто ботовый трафик идет из регионов, где серверные мощности дешево арендовать и дата-центров много и эта география меняется. Например, в мае в лидерах были Екатеринбург, Казань и Новосибирск. В последнюю мощную атаку в июле мы видели, что некоторые хостеры находились даже в пределах Москвы. С хостером можно связаться и повлиять на ситуацию, или нет? Интернет очень сложно устроен, можно увидеть откуда идет массовая атака из какого угла, но конкретно распознавать, что вот эти клиенты кого-то DDoSят, можно только после целого расследования, которое … Не все могут провести? Да. А если говорить об ущербе, который можно как-то посчитать, то что вы считаете самым крупным ущербом на финансовом рынке? У нас нет внутренних данных, какие потери понес банк или брокер, или страховщик. Но существуют атаки, где мы можем посчитать ущерб. Например, из-за утечки персональных данных хактивисты заходят на страницу авторизации банковского приложения вот логин, пароль и отправляют смс-уведомление клиенту. И вот затраты банков на рассылку уведомлений могут быть вполне значимыми. Мы видели случай, когда ботами инициировалось до 2 млн смс-сообщений в сутки. Убытки при такой атаке могут исчисляться сотнями тысяч рублей в день (такой случай в Модульбанке Servicepipe раскрывали ранее — FM). Какие виды атак распространены сейчас в финансовом секторе, кроме ковровых? Есть ли еще какие-то, про которые интересно рассказать? Обычный DDOS, парсинг сайтов и приложений, распространен взлом. Распространены атаки на подсистемы авторизации ботами. В этом смысле та же двухфакторная аутентификация спасает клиента, но при атаке бота финансовая компания теряет, потому что идет рассылка смс-сообщений за ее счет. Из России невозможно попасть на сайты некоторых западных компаний. И, наоборот, например, сотрудники, которые работают за пределами России не могут входить на сайты компаний российских. Такое закрытие контура спасает от атак, учитывая, что больше половины мощностей атакующих внутри России находится? Вы спрашиваете про геофильтрацию, которую применяют некоторые наши организации. Если говорить о банковском секторе, то каждый банк выбирает использовать или нет этот метод фильтрации, исходя того, как он представляет свою целевую аудиторию. Если он считает, что основная целевая аудитория в России и лишь небольшое количество целевой аудитории за ее пределами, то с точки зрения первого самого грубого шага геофильтрация в отдельных случаях, когда идет атака полностью из-за рубежа, может быть оправдана. При этом конечно небольшая часть аудитории, целевой аудитории, которая находится за пределами России должна будет использовать VPN-сервисы. Если же банк работает широко и он понимает, что у него есть пользователи за пределами России, используемая геофильтрация возможна только в случае пика атак в короткий промежуток времени. Например, Сбербанк использует геофильтрацию в моменты, когда публикует отчетность. В чем тут может быть причина для ее использования? «Сбер» — сам по себе довольно привлекательный для атак. Его атакуют даже пионеры. Когда я работал в “Лаборатории Касперского”, то самый большой всплеск атак, в том числе и ботов, приходился на период школьных каникул в Китае. Есть такой интересный факт. Мы их даже в календаре отмечали. В целом та структура защиты, которую применяют банки с приоритезацией, с планированием, насколько она успешна? В этом году она стала более успешной, поскольку банки активно модернизировали структуру защиты после атак. Это вынужденная модернизация? Почему же? Хорошо, что этот шаг сделан. И теперь они более защищены. А насколько она успешна показывает отчет Центрального банка, рассказывающий о снижении количества атак. То есть успешных атак, которые условно говоря парализуют работу приложений и сайта стало меньше? Да. ФСТЭК требует расширять каналы передачи данных для пропуска двукратного объема трафика, чтобы снизить воздействие хакеров. Как вы эти идеи оцениваете? Расширение — это хороший метод, который в ряде случаев может быть спасением от атак. Но этого недостаточно. Потому что уже этим летом мы явно видели объединение нескольких атакующих групп, которые уже имеют мощность, превышающую расширенную вдвое мощность канала связи. Если они видят, что они достигли своей цели по парализации работы одного ресурса они могут снять нагрузку и перенаправить ресурс на другой объект. И в этом случае мощность атакующей стороны больше, чем… Чем пропускная способность канала? Да. Пропускная способность канала защищает от атак невысокого интеллектуального уровня, когда просто летит трафик. Но есть еще интеллектуальные атаки. И при этом сценарии увеличение каналов не поможет. Намного важнее, как нам кажется, обмениваться информацией во время атаки, чтобы был какой-то интерфейс или какая-то система обмена информацией. А ее сейчас нет? Систематизированной нет. И тут дело не в конкуренции, потому что банки используют решения нескольких вендоров. Такая система помогла бы сократить время на разработку контрмер против атаки. То есть кооперация на рынке не принята? А это нормально? Сейчас это в каких-то чатиках добровольно происходит. То есть хочу-сообщу, не хочу — не сообщу. А действительно ли есть такая нехорошая практика, когда компания или банк вообще никому ничего не говорят об атаках? Да, увы. К сожалению, созданный ЦБ «ФинЦЕРТ» тоже не ставит задачей именно обмен с рынком информационной безопасности. Его отчеты доступны только для банков, вендоры не имеют к ним доступа и зависят от банков. Но если бы такой обмен был налажен, мы бы сэкономили время для всех участников. Все же как поменялась стратегия защиты после лета? Вот вы сказали, что все стало надежнее… Чтобы было понятнее, приведу пример. Мы знаем кейс, когда крупный банк из топ-5 сменил провайдера защиты, после того, как его предыдущий провайдер защиты не справился с атакой. Этот банк пришел к нам под атакой и мы помогли. К нам примерно 20% новых клиентов приходит, будучи под атакой. В целом спрос в это лето на услуги по защите от DDOS-атак вырос в три раза. Мы подключали под атакой несколько организации из финансовой сферы. То есть банки все-таки не очень хорошо подготовлены. По-хорошему если банк нормально защищен он под атакой не придет. Один крупный финансовый игрок проводил тендер на защиту от DDOS, который выиграла компания, предложившая услуги за 50 тысяч рублей в месяц. При первой более менее серьезной атаке этот игрок лег. И его приоритеты при выборе провайдера явно поменяются. И составляя техническое задание он будет учитывать разные типы атак. А в целом эта стратегия отдавать разным провайдерам разные объекты инфраструктуры под защиту. Вы можете назвать их успешными? Совокупность разных поставщиков и выработанных эшелонированных решений, она, конечно, успешна. Защиту нельзя строить на решении одного провайдера. Это чревато. Какой самый сложный вид атак? Из предыдущего опыта могу сказать, что самая сложная ситуация, когда атака идет изнутри организации. Человек садится внутрь компании и крадет данные. Был такой кейс в 2016-2017 году, когда банк из топ-5 в своем штате обнаружил с помощью провайдера шесть человек — целую группу, которая пыталась дестабилизировать его работу изнутри. Всего шесть человек на банк из топ-5? Хактивисты никогда не работают у нас массово. Обычно это немногочисленная группа очень квалифицированных людей. Если такая группа нечаянно окажется внутри организации, то выявить и вычленить эту группу очень тяжело. Потому что они знают как обходить средства защиты. Нашли их в том банке только через несколько месяцев. Провайдер увидел некую аномалию в сетевом трафике и сообщил в банк. Сейчас сколько банк может себе позволить неработающее приложение? Есть какая-то гигиена элементарная? С нашей точки зрения, банк не может себе позволить не работать. Ответ — нисколько, то есть работа сервисов 24/7. Клиенту дискомфортно не иметь доступа к деньгам в приложении, или не иметь возможности перевести средства. С точки зрения нормативных документов ЦБ для крупного банка совсем критичной является недоступность в течение двух часов. Некоторые наши клиенты говорят о том, что для них самих критична недоступность в 5 минут. При этом очень важно, что недоступность именно с точки зрения банка, она поразительно отличается от доступности онлайн-магазинов, где недоступность может длиться десятки минут. Один из банков потерял связь с банкоматами и некоторые его счастливые клиенты смогли по несколько раз снять крупные суммы. Устройства были неуправляемы в течение получаса, но ущерб только по Москве составил несколько миллиардов рублей. Атаки на банки и мошенничество с гражданами, когда люди передают данные о картах и счетах или берут кредиты, отдавая деньги мошенникам, это условно одна группа сил, товарищей, или нет? Нет, все же в первом случае это немногочисленные и обособленные группы специалистов, а социальная инженерия требует большого количества вовлеченных людей. Цели у них разные: в первом случае резонанс, а во втором — получение денег. У нас нет данных, что они где-то пересекаются. Автор: Татьяна Воронова. Источник: www.frankmedia.ru