ИТ-портал компании «Инфосистемы Джет»

«Не думайте, что хакеры живут на других планетах…»

«Не думайте, что хакеры живут на других планетах…»

На российском рынке не так много компаний, кого можно назвать передовиками в сфере ИТ-технологий, одной из таких компаний является Тинькофф Банк. Несколько лет назад в Банке был реализован проект по противодействию таргетированным атакам. Сегодня своим практическим опытом с читателями Jet Info делится Станислав Павлунин, вице-президент по безопасности Тинькофф Банка.

Почему Тинькофф Банк заинтересовался решениями класса анти- APT ?

–Я считаю, что нельзя недооценивать риски, связанные с таргетированными атаками, они способны привести к большим финансовым потерям, что мы и наблюдали в начале этого года в финансовом секторе. Поэтому мы уже давно присматривались к решениям класса Anti-APT.

– Как Вы подошли к выбору решения?

– Прежде всего, мы искали вендора, у которого за плечами была бы большая экспертиза в решениях подобного класса. Таких игроков всего несколько, и все они есть в Gartner Magic Quadrant. Также на этапе выбора мы очень плотно общались с двумя российскими специализированными компаниями, которые занимаются антивирусными расследованиями и борьбой с хакерами. В итоге мы пришли к пониманию, что, как это часто и бывает, идеального единого решения не существует, лучше использовать многоступенчаую защиту. Приведу в пример эшелонированную антивирусную защиту: на рабочих станциях стоят одни антивирусы, на серверах другие, а в инфраструктуре – третьи. Мы решили построить Anti-APT защиту по тому же принципу. Ядром системы является продукт одного вендора, вспомогательная же функциональность реализована решениями других производителей. Конечно, перед тем как купить и внедрять весь комплекс решений, мы его тщательно протестировали.

– Расскажите, пожалуйста, о порядке тестирования? Вы проверяли его на живом трафике или использовали имитацию?

– При планировании тестирования мы отталкивались от требования: главное, не остановить бизнес-процесс! У нас, как и у врачей, работает принцип «Не навреди». Поэтому мы пилотировали системы так, чтобы они работали с копией трафика. По результатам тестирования Anti-APT, мы сравнили его поведение с уже существующими в банке решениями, чтобы понять, было ли найдено что-то новое. Тестирование проходило как на известных типах угроз, так и на живом трафике.

– Вы наверняка составили список критериев перед тем как приступить к тестированию, поменялся ли он после испытаний?

– Этот перечень появлялся постепенно и для каждого решения он был свой, но, конечно, существует и список общих критериев, на которые стоит обратить внимание прежде всего. Во-первых, это качество обнаружения и количество ложных срабатываний. Находит ли решение известные угрозы и угрозы «нулевого дня». Далее этот список дополнялся нашими специфическими критериями, сформированными на основе личной практики. Конечно, мы проверяли методы, которые используют злоумышленники, и смотрели, определяет ли их Anti-APT решение.

– Сколько обычно занимает тестирование решений данного класса?

– Очевидно, что длительность тестирования не может быть единой для разных решений, иногда оно может занимать месяц, иногда три, а иногда и полгода. Например, мы, чтобы проверить на сколько эффективно работает выбранное решение, проводили внешние тесты на проникновение. Опираясь на наши знания, мы старались ответить себе на вопрос: какие еще злонамеренные действия могут быть? Чем больше таких вопросов во время тестирования вы будете себе задавать, тем лучше. Важно отметить, что в процессе тестирования критерии постоянно обновляются – это достаточно динамичный процесс. В нашем случае тестирование выявило нюансы, о которых мы изначально не думали.

– Сейчас, когда решение Anti-APT активно эксплуатируется, как часто Вы регистрируете инциденты ИБ с его помощью?

– Инциденты, на которые реагирует служба безопасности, происходят ежедневно. Инциденты, которые мы относим непосредственно к таргетированным атакам происходят несколько раз в неделю. Мы их фиксируем и смотрим, заблокировалась ли данная атака.

– Вы используете режим блокировки? Для каких каналов угроз применим такой режим?

– Если говорить о комплексном подходе к защите, то режим блокировки в реальном времени на периметре сети при корректно построенной системе не всегда необходим. Компоненты системы Anti-APT, функционирующие на других уровнях, могут заблокировать вредоносное ПО и его активность уже внутри сети. Например, пользователь скачивает в браузере зловредный файл, а система определяет, что файл заражен, в таком случае рабочая станция этого пользователя может быть изолирована от сети или заблокирована с помощью компонентов Anti-APT, работающих на уровне конечных станций пользователей. В ряде случаев можно даже заблокировать попытку запуска этого файла. Даже если пользователь успеет открыть файл, вредоносная активность и попытки распространения все равно будут заблокированы на уровне сети, так как система уже знает об этом зараженном файле и может предугадать его дальнейшее поведение.

Если вы планируете активно использовать режим блокировки, то, прежде всего, стоит обратить внимание на производительность выбранного вами решения и на количество ложных срабатываний. Я бы не рекомендовал сразу ставить решение Anti-APT «в разрыв», сначала посмотрите на него в работе. После того, как убедитесь в его надежности, можно переводить его в режим блокировки, но помните, что эта ваша ответственность. В этом вопросе нужно найти тонкий баланс между бизнесом и безопасностью. Это не всегда просто: если вы где-то перекрутите, то пользователи будут недовольны, а ослабите – и эффективность решения сойдет на нет.

– Одна из частых проблем, о которой многие говорят, – это инспекция SSL трафика. Как Вы решили эту проблему у себя в компании?

– Проблема с раскрытием SSL действительно существует и по мере роста объемов https трафика приобретает все более острый характер. Проанализировав возможные решения, мы пришли к компромиссному варианту – мы осуществляем расшифровку и инспекцию SSL только в тех местах сети, где это возможно без изменения ИТ-инфраструктуры и без создания новых потенциальных точек отказа.

На мой взгляд, такой подход позволяет получить довольно хороший уровень обнаружения атак, так как мы используем эшелонированный подход в противодействии таргетированным атакам, применяя продукты различных производителей на различных уровнях ИТ-инфраструктуры.

– Скажите, пожалуйста, повлияло ли внедрение Anti-APT решения на численность Вашего штата? Может быть, он увеличился или наоборот сократился после внедрения?

– В нашем случае внедрение на штат не повлияло. Мы – компания, которая стремится к автоматизации и максимальному исключению человеческого фактора при работе с высокоинтеллектуальными системами. Вы можете поставить SIEM-систему и завернуть на нее данные с Anti-APT, это сократит количество людей, которые будут мониторить Anti-APT и реагировать на выявленные инциденты. Мы за автоматизацию и высокие технологии.

– Какие ключевые функциональные и архитектурные особенности подобных решений Вы могли бы отметить? На что советовали бы обратить внимание вашим коллегам?

– Я, прежде всего, хочу сказать, что давно нужно перестать думать, что хакеры – живут на других планетах. Хакеры есть, и они воруют деньги. Дальше нужно осознать проблему и подумать над тем, как с ней бороться. Я всех призываю внедрять у себя системы класса Anti-APT. К сожалению, в данном случае, не будет какого-то одного универсального средства или совета. Есть лидеры рынка, есть специализированные решения, попробуйте их совместить. Защита от одного вендора не даст вам 100% защиты. Верьте в эшелонированность, это поможет.

– Как Вы видите дальнейшее развитие технологий Anti-APT? В какую сторону будут развиваться эти продукты?

– К сожалению, тренд сейчас такой, что плохие ребята, что-то делают, а хорошие постфактум реагируют, при этом плохие ребята постоянно меняют объект и методы атаки. Мне трудно делать прогнозы о дальнейшей судьбе решений этого класса. У крупных вендоров есть целые отделы аналитики, которые понимают тренды рынка и могут делать такие прогнозы. Как мне представляется, дальнейшее развитие данных решений может лежать в области появления комплексных систем, которые будут не только позволять проводить анализ на техническом уровне и блокировать по сигнатурам или по поведению, но и работать на более высоком интеллектуальном и аналитическом уровнях.

Спасибо за беседу!

Вернуться к списку статей
Оставьте комментарий
Мы не публикуем комментарии: не содержащие полезной информации или слишком краткие; написанные ПРОПИСНЫМИ буквами; содержащие ненормативную лексику или оскорбления.
О журнале

Журнал Jet Info регулярно издается с 1995 года.

Узнать больше »
Подписаться на Jet Info

Хотите узнавать о новых номерах.

Заполните форму »
Контакты

Тел: +7 (495) 411-76-01
Email: journal@jet.su