Сегодня, когда преступники все активнее нацеливаются на банковские операции и клиентов, пренебрегать онлайновой безопасностью было бы верхом безрассудства. Эту простую истину давно уже поняли в банках Wells Fargo и SVB Silicon Valley Bank.
За последний год в мире онлайнового бизнеса наметилась совершенно новая тенденция. Хакеры и другие "плохие парни", которым раньше было достаточно потешить свое самолюбие, обрушив корпоративную инфраструктуру, стали действовать гораздо прагматичнее. Сейчас они все чаще преследуют совершенно конкретную задачу - выкрасть у компаний деньги и информацию о клиентах.
В середине октября тревожное сообщение поступило из отдела лондонской полиции по борьбе с компьютерными преступлениями. На изъятом в США ноутбуке оказалась база данных с адресами электронной почты примерно 83 тыс. британских покупателей, номерами их кредитных карточек и историей покупок. По мнению британских правоохранительных органов, файл был украден в одном из банков Великобритании (его название не раскрывается) с помощью засланного через черный ход "троянского коня", который регистрировал и отправлял своим разработчикам индивидуальные пароли пользователей.
Дэйв Уэбб из SVB: “Наилучшие
результаты дает эшелонированное
применение защитных средств”
Подобные случаи лишний раз подчеркивают необходимость защиты систем. Цена победы над злоумышленниками сегодня оценивается не в долларах и центах. Успех таких компаний, как Well Fargo и SVB Silicon Valley Bank, во многом зависит от того, насколько эффективно они способны отражать потенциальные атаки и сколько клиентов будут готовы проводить операции через Интернет. А это, в свою очередь, позволяет надеяться, что банкам больше никогда не придется тратить на традиционные залы обслуживания столько, сколько уходило на них до перевода операций во Всемирную сеть.
Но есть и другая не менее важная причина. Банки не хотят, чтобы их названия муссировались прессой в связи с очередными скандалами, которые то и дело возникают из-за неспособности обеспечить адекватный уровень защиты информации. Именно такие опасения, как считают аналитики, приводят к тому, что барьеры ИТ-безопасности воздвигаются в этом секторе быстрее, чем нарастает угроза.
Фишинг нацеливается на финансовые организации Эксперты признают: схемы фишинга создают очень серьезную опасность, и в первую очередь - для финансовых учреждений. Набирают все больший размах попытки одурачить пользователей, и нацелены они преимущественно на онлайновые банки. Показательная характеристика этого явления приводится в только что опубликованном докладе фирмы Symantec. За первые шесть месяцев текущего года тестовая сеть этого известного производителя средств защиты зарегистрировала 157 477 уникальных фишинговых кампаний, ведущихся по электронной почте, что на 81% больше, чем за предыдущее полугодие (во второй половине 2005 г. было отмечено 86 906 таких кампаний). Не менее тревожные данные содержатся и в исследовании рабочей группы по борьбе с фишингом. По ее данным, с июня 2005 г. по июнь 2006-го количество фишинговых сайтов удвоилось, причем 93% атак через них было нацелено на пользователей финансовых услуг. Правда, как отмечают исследователи фирмы TippingPoint (это подразделение 3Com специализируется на программных средствах обеспечения безопасности), большинство атак такого рода производится на довольно низком техническом уровне. Их организаторы ограничиваются подложными сообщениями электронной почты и Web-узлами, пытаясь обмануть таким образом ничего не подозревающих пользователей финансовых услуг. В то же время уже начинают отмечаться случаи небывало изощренных атак, в том числе с помощью недавно обнаруженной уязвимости языка VML (Vector Markup Language - векторный язык разметки) в браузере Internet Explorer корпорации Microsoft. Через эту брешь злоумышленники пытались внедрить на компьютер жертвы шпионскую программу, регистрирующую все манипуляции пользователя с клавиатурой. "Можно смело сказать, что в ближайшее время будет возрастать количество примитивных атак, в ходе которых злоумышленники постараются обмануть как можно больше чересчур доверчивых пользователей. Но при этом мы будем видеть и все больше высокотехнологичных угроз, нацеленных на кражу информации у клиентов учреждений определенного типа, - предупреждает Тод Бердсли, ведущий инженер фирмы TippingPoint по борьбе с мошенничеством. - Ситуацию будет усугублять и сама индустрия финансовых услуг. Сегодня компании этой отрасли слишком уж охотно рассылают приглашения по электронной почте, и конечный пользователь привыкает к ним. Поэтому и письмо злоумышленника он может воспринять с доверием". Мэтт Хайнс |
Распоряжаясь активами в 500 млрд. долл., Wells Fargo занимается банковскими операциями, страхованием, инвестициями и недвижимостью, а также оказывает финансовые услуги. В общей сложности это кредитное учреждение обслуживает более 23 млн. клиентов. При этом компания гарантирует, что никто из них не станет жертвой онлайнового мошенничества, будь то фишинг, контроль за нажатиями клавиш или фарминг.
Защиту Web-приложений в Wells Fargo обеспечивает мощный комплект лучших в своем классе средств, способных обезопасить онлайновые транзакции на любом уровне. Как отмечает Смит, в банке применяется широчайший спектр технологий разных провайдеров - для решения каждой конкретной задачи здесь используется тот инструментарий, который позволяет сделать это с наивысшей отдачей. Есть у подобного подхода и еще одно немаловажное достоинство: таким способом удается нейтрализовать бреши безопасности, которые могут существовать в отдельных решениях.
Со времени перехода на онлайновые банковские операции, состоявшегося в 1995 г., пользовательская информация на Web-сайтах Wells Fargo шифруется целиком и полностью. Ввод паролей, обработка транзакций, функции управления - все это закрыто методами криптографии. А начиная с 2000 г. на бизнес-портале Commercial Electronic Office производится двухфакторная аутентификация.
Среди множества инструментов защиты, которыми пользуется компания, заметное место занимают приложения фирмы Bharosa, специализирующейся на средствах аутентификации и обнаружения мошеннических действий, а также системы других производителей - Actimize, Quova, RCA Security. Все они, по словам Смита, действуют согласованно, обеспечивая в реальном времени четкий анализ рисков по всем пользовательским транзакциям.
В арсенале Wells Fargo имеется два решения Bharosa корпоративного уровня. Первое из них под названием Tracker постоянно следит за онлайновыми учетными записями пользователей и информацией об устройствах с целью выявления подозрительных действий, а также помогает идентифицировать клиентов. Второе приложение - Authenticator - создает уникальный "виртуальный жетон безопасности", применяемый для шифрования пароля пользователя или информации о персональном PIN-коде. Такая операция производится в начале каждого сеанса работы клиента.
Предлагает Bharosa и ряд довольно экзотических технологий идентификации пользователей. Ее программный пакет Slider, например, избавляет клиентов от клавиатурного ввода имени и пароля - вход на Web-узел банка производится здесь посредством рисования простых графических символов наподобие кругов и треугольников. С помощью таких значков, каждый из которых соответствует определенному символу, можно ввести даже PIN-код, что намного затрудняет перехват столь конфиденциальной информации. Порядок расположения пиктограмм и их набор меняется при каждом входе в систему, благодаря чему сводятся на нет любые попытки вредоносных программ "подсмотреть" нажатия клавиш и похитить пользовательские данные в криминальных целях.
Регистрационная информация, которую Wells Fargo получает из приложений Bharosa, в реальном времени сверяется с данными из сканера пакетов Quova о местоположении IP-адреса. Полученная таким образом информация позволяет убедиться, что клиент входит в систему в своем городе и со своего компьютера. Если это не так, возникает подозрение в попытке мошенничества, и банк может запросить дополнительные идентификационные сведения.
Описанная выше система связана с инструментарием управления рисками, который поставила фирма Actimize. Для выявления подозрительных посетителей этот инструментарий анализирует каждую онлайновую транзакцию и характер пользовательских сеансов работы. Для еще большей надежности описанные выше оборонительные рубежи дополняются средствами генерации одноразовых паролей. Созданные на основе жетона двухуровневой аутентификации SecureID фирмы RSA Security и собственных программ Wells Fargo, они используются при проведении операций на крупные суммы.
А теперь несколько слов о пользовательском интерфейсе. В системах такого типа он должен не только обеспечивать полную безопасность работы, но и не обременять клиентов излишними сложностями. С этой точки зрения Смит хотел бы иметь нечто подобное тем средствам борьбы с мошенничеством, которые применяются эмитентами кредитных карточек. Работая совершенно незаметно для клиента, они строят модель покупок каждого из них и при обнаружении серьезных отклонений выбрасывают красный флаг.
"Главное - не мешать клиенту, - уверен Смит. - Онлайновые банки привлекают удобством, поэтому здесь не подойдет никакое новшество, если оно усложняет выполнение транзакций".
Защитные средства фирмы Bharosa находят применение и в других финансовых учреждениях. Одно из них - банк SVB Silicon Valley Bank со штаб-квартирой в калифорнийском городе Санта-Клара. Хотя количество его клиентов и далеко от многомиллионной базы Wells Fargo, но проблема ИТ-безопасности стоит здесь не менее остро, поскольку около 80% операций банк проводит в онлайновом режиме. К тому же местоположение банка - всемирно известная Кремниевая долина - определяет состав клиентуры, среди которой очень много компаний из сферы высоких технологий.
В январе нынешнего года SVB Silicon Valley Bank обратился к специалистам Bharosa с просьбой помочь в замене действующей системы парольной защиты и борьбы с мошенничеством на что-нибудь более удобное в работе и не слишком мудреное. В результате на сегодняшний день доступ ко всем учетным записям онлайновых клиентов здесь надежно защищен приложениями Bharosa и множеством других программ обеспечения безопасности.
Благодаря применению описанных выше пакетов Tracker и Authenticator банк совершенно точно знает, кто именно подключился к его системам и что делает с ними. Вот что рассказал нам по этому поводу исполнительный директор SVB Silicon Valley Bank Дэйв Уэбб: "Наши клиенты очень часто выполняют крупные транзакции и переводят по проводам большие суммы, поэтому было решено обеспечить дополнительные уровни проверки реквизитов и дать пользователям возможность производить аутентификацию на любом уровне. А единственный известный мне подход к реализации такой идеи на практике - это эшелонирование средств защиты. Чем разнообразнее применяемые в системе решения, созданные к тому же разными производителями, тем больше рубежей, на которых можно перехватить вероятную атаку".
В числе компаний, программные решения которых применяются в данном банке, Уэбб назвал фирмы Tablus и Vontu, специализирующиеся на средствах защиты данных. По его словам, их разработки не просто оберегают пользовательские пароли и онлайновые приложения. В дополнение ко всему прочему они защищают систему от атак, базирующихся на методах "социальной инженерии", направленных против сотрудников, и не допускают злонамеренных действий изнутри.
"На горизонте постоянно маячат все новые угрозы, - отмечает Уэбб, - и это заставляет нас трудиться не покладая рук. Только так можно уверенно смотреть в будущее и крепить свою оборону еще до появления первых признаков атаки".