Октябрь 2015 года отметился крупными атаками сразу на две известные финансовые организации. Взлом глобального поставщика информационно-аналитических услуг Experian затронул 15 млн. абонентов T-Mobile, а нападение на инвестиционную компанию Scottrade скомпрометировало конфиденциальные данные более 4,6 млн. клиентов. Реальность заключается в том, что в корпоративных программах по безопасности финансовых учреждений до сих пор имеются огромные пробелы. Согласно исследованию Check Point Security Report, в 2014 г. в 33% финансовых организаций информация о кредитных картах была отправлена за пределы корпоративной сети. Если не устранить эти пробелы, нас ожидают еще большие проблемы, которые могут привести к серьезным последствиям для всех.
Вот сообщение компании Experian: «По последним результатам нашего внутреннего расследования, несанкционированный доступ к данным был единичным и длился в течение ограниченного периода времени. В результате инцидента был совершен несанкционированный доступ к серверу, содержащему идентификационные данные некоторых организаций и персональную информацию физических лиц, в том числе абонентов оператора T-Mobile в США, которые в период с 1 сентября 2013 г. по 16 сентября 2015 г. пользовались услугами постоплаты или кредитования, требовавшими проверки кредитоспособности. Данные содержали имя, адрес, номер социального страхования, дату рождения, идентификационный номер (обычно номер водительского удостоверения, удостоверения военного или паспорта) и дополнительную информацию, необходимую T-Mobile для оценки кредитоспособности клиентов...».
Компания Scottrade также опубликовала на своем сайте уведомление для клиентов: «Хотя в системе, к которой был осуществлен несанкционированный доступ, хранились номера страховых свидетельств, адреса электронной почты и другие конфиденциальные данные, по всей вероятности, целью злоумышленников была все же контактная информация. Нет оснований предполагать, что нападение каким-либо образом затронуло торговые платформы Scottrade или средства клиентов. Клиентские пароли все время оставались полностью зашифрованными, и мы не обнаружили никаких признаков мошеннических действий, возникших в связи с данным происшествием. Мы заблокировали обнаруженную точку вторжения и провели расследование инцидента с помощью одной из ведущих компаний в области компьютерной безопасности. Мы предприняли все необходимые меры для усиления защиты нашей сети».
Очевидно одно — любая финансовая организация имеет критически важные данные, будь то потребительский или коммерческий банк с филиалами, разбросанными по всему миру, страховая или торговая компания, и киберпреступники пойдут на все ради того, чтобы эти данные получить.
Анализ инцидентов позволяет нам выделить три вида атак, наиболее вероятных, если речь идет о финансовых организациях.
1. Advanced Persistent Threats — таргетированные атаки
Таргетированные угрозы (APT) представляют огромную опасность для организаций, так как в них на разных стадиях применяются самые разные и многочисленные инструменты атак. Эти угрозы имеют конкретную цель, и их очень трудно обнаружить, потому что они могут происходить в течение нескольких дней, недель, месяцев или даже лет. Каждая атака состоит из множества мелких событий, которые по отдельности могут выглядеть безобидными. Когда угроза, наконец, обнаружена, часто бывает слишком поздно что-то предпринимать. Разработанные специально для заражения систем и избегания обнаружения, APT-атаки помогают хакерам действовать против конкретной компании и получать доступ к определенным активам в течение длительного времени.
2. Безопасность сети и рабочих мест
Одна из самых сложных задач для финансовых учреждений — это необходимость постоянно адаптироваться под изменяющиеся потребности клиентов. Цифровые технологии сегодня определяют то, как мы общаемся, оплачиваем счета, делаем покупки и повседневные банковские операции. Поэтому банки должны быть уверены в безопасности данных, пересылаемых по разнообразным сетям через сайты и приложения. Не так важно, что используется для передачи информации — Интернет, облако, мобильные приложения или даже текстовые сообщения — хакеры уже разработали методы использования уязвимостей в мобильных технологиях, позволяющие получить доступ к учетным данным и информации об аккаунтах.
3. DoS — атаки типа «отказ в обслуживании»
DoS-атаки используют единственное интернет-соединение для обрушения систем, подключенных к Интернету, с помощью передачи значительных объемов данных. На первый взгляд такая атака выглядит безобидно, но в конечном итоге она приводит к блокировке сети и уровней приложений огромным объемом трафика. DoS часто используются как часть более широкой стратегии атаки. Например, DoS-методы можно применять в качестве отвлекающего маневра в многовекторной атаке, целью которой, в конечном счете, является кража данных.
Что делать?
Финансовая кибербезопасность — сложная и многообразная экосистема, которая требует продвинутой защиты от изощренных угроз. Это создает необходимость в интегрированных решениях, которые защитят компании и от таргетированных угроз, и от атак нулевого дня и одновременно с этим помогут организациям соответствовать нормативным требованиям и иметь четкое видение всех операций при централизованном управлении безопасностью. Защита должна автоматически адаптироваться к меняющемуся ландшафту угроз без необходимости со стороны администраторов безопасности вручную исполнять тысячи распоряжений и рекомендаций. Все эти меры также должны легко интегрироваться в более широкую ИТ-среду, а архитектура — обеспечивать оборонительную позицию, в которой будут совместно использоваться как внутренние, так и внешние источники данных об угрозах.
Автор статьи — директор по работе с финансовыми организациями Check Point Software Technologies.