Банки скрывают 20% успешных хакерских атак

Банки скрывают 20% успешных хакерских атак

С начала года кредитные организации не сообщили в FinCERT о каждой пятой успешной атаке хакеров. Банкиры не доверяют структуре, созданной внутри ЦБ для обеспечения информационной безопасности в финансовом секторе, опасаясь привлечь надзорное внимание регулятора.

Недобросовестные финансисты готовы смириться с потерей средств, украденных хакерами, а глобальная информбезопасность, для которой такое молчание крайне вредно, их волнует куда меньше собственного спокойствия.

Как сообщили “Ъ” участники банковского рынка и собеседники в правоохранительных органах, за год произошло около 50 успешных атак группировки Cobalt на банки. В своем последнем отчете FinCERT, специализированное структурное подразделение ЦБ по информбезопасности, назвал атаки группировки Cobalt «основным трендом». По словам главного специалиста по компьютерной криминалистике Group-IB Весты Матвеевой, атакам Cobalt были подвержены банки разного масштаба, суммы хищений варьировались от нескольких миллионов до полумиллиарда. Но, несмотря на украденные средства, в 10 из 50 случаев банки предпочли не информировать FinCERT и правоохранительные органы. По данным собеседников “Ъ”, максимальная сумма хищений по скрытым атакам составляла 20 млн руб.

Эксперты отмечают, что основная причина неразглашения информации об атаках — передача информации из FinCERT в надзорный блок ЦБ. С этого года сотрудники FinCERT активно участвуют в проверках главной инспекции Банка России (см. “Ъ” от 24 мая). При этом они сообщают в надзор обо всех замеченных нарушениях, выявленных при расследовании инцидентов.

«FinCERT как структура ЦБ плотно взаимодействует с надзором,— подтвердил “Ъ” заместитель начальника ГУБиЗИ Банка России Артем Сычев.— У нас нет задачи выявлять проблемные вещи в банках, но если мы их обнаружим, то, естественно, поделимся информацией с надзором». При этом он уверен, что такое сотрудничество с надзорным блоком не вредит работе FinCERT. По словам господина Сычева, со стороны FinCERT действует принцип «добровольность + доверие», поэтому они санкций к «молчунам» применять не будут, пишет kommersant.ru.

Впрочем, о надзорном блоке ЦБ этого сказать нельзя.

«Крупное хищение денежных средств не скроешь, о фактах хищения сообщат контрагенты банка,— отметил Артем Сычев.— И к недобросовестным банкам надзор все равно придет, и, если потеря средств выявится на уровне надзора, им будет хуже».

Однако, по словам собеседников “Ъ” из числа экспертов в области информационной безопасности, в схеме хищений Cobalt необязательно задействуется второй банк для вывода денег, вывод может быть осуществлен и через собственные банкоматы. Таким образом, информация об атаке может так и остаться тайной для FinCERT, а значит, и других участников рынка.

Эксперты считают, что подобная скрытность отдельных участников рынка несет угрозу для остальных игроков. «Хакеры постоянно совершенствуют вредоносные программы, и крайне важно, чтобы о каждой новой атаке оперативно узнавал FinCERT и мог предупредить рынок»,— говорит директор по маркетингу компании Solar Security Валентин Крохин. По словам Весты Матвеевой, информирование об инцидентах позволяет неатакованным банкам превентивно реагировать на эти угрозы, обращаясь к экспертам в области информационной безопасности и используя соответствующие технологии защиты. Специалисты по информбезопасности банков подтвердили, что им важна информация об успешных атаках на сопоставимые с ними по размеру организации, у которых схожие с ними бюджеты. По словам собеседников “Ъ” из правоохранительных органов, своевременное информирование о хищении средств хакерами, быстро начатое расследование и больший объем информации о совершенных преступлениях существенно повышают шансы на выявление преступников.

По мнению экспертов, решить проблему могло бы отделение FinCERT от ЦБ или создание аналогичной независимой рыночной структуры. В противном случае все равно найдутся банки, которые готовы терять деньги, но упорно молчать, чтобы не привлекать внимание регулятора. При этом «молчуны» рискую стать излюбленными жертвами хакеров. По словам Весты Матвеевой, не сообщая о таком прецеденте и не привлекая экспертов к его расследованию, банк может подвергнуться повторной атаке. Нередко специалисты банка не справляются с нейтрализацией вредоносных программ и последствиями взлома, и лазейка остается, продолжает она. По словам собеседника “Ъ”, близкого к правоохранительным органам, как минимум один случай успешной повторной атаки группировки Cobalt на банк был зафиксирован.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

R-Vision представила продукт класса Deception

Компания R-Vision, российский разработчик систем кибербезопасности, анонсировала выпуск нового продукта – R-Vision Threat Deception Platform. Новинка относится к технологиям класса Deception, которые позволяют обнаруживать злоумышленников, проникших в инфраструктуру предприятия, и предотвращать атаки на ранних этапах.

Под технологиями Deception (в переводе с английского, «введение в заблуждение») понимают технологии создания цифровых имитаций объектов ИТ-инфраструктуры с целью выявления злоумышленников, проникших в корпоративную сеть. С помощью набора ловушек и приманок такие системы детектируют присутствие хакера, замедляют его продвижение внутри сети, запутывая среди ложных объектов, и дают возможность ИБ-специалистам остановить развитие атаки на ранней стадии. Одно из важных преимуществ технологий Deception – практически нулевой процент ложных срабатываний. Поскольку ловушки и приманки предназначены только для привлечения внимания злоумышленника и не используются в нормальных рабочих процессах, любое взаимодействие с ними с высокой вероятностью свидетельствует об инциденте.

Согласно отчету Gartner Hype Cycle for Security Operations, 2020, платформы Deception могут стать высокоэффективным дополнением к классическим инструментам детектирования угроз, который к тому же требует минимальных усилий на этапе первоначальной настройки. По мнению аналитиков Gartner, эта технология на сегодня еще слабо используется ИБ-специалистами, однако в перспективе от 5 до 10 лет станет мейнстримом.

«Традиционные превентивные техники в современных условиях становятся все менее эффективными, что подтверждают многочисленные новости о крупных инцидентах и статистика исследований. Рано или поздно злоумышленники находят способ проникнуть в периметр, стараясь избегать грубых методов и оставаться незамеченными для классических средств мониторинга, – рассказывает Александр Бондаренко, генеральный директор R-Vision. – Основным преимуществом решений класса Deception является то, что они дают в руки служб информационной безопасности серьезный козырь – теперь злоумышленнику достаточно всего одной ошибки в выборе цели для атаки, чтобы он попал на радар служб мониторинга. Кроме того, системы класса Deception производят гораздо меньше ложных срабатываний, с высокой вероятностью указывая на присутствие злоумышленника в инфраструктуре».

Платформа R-Vision Threat Deception Platform позволяет автоматически разворачивать системы ловушек, эмулирующих реальные ИТ-активы организации, и управлять ими из единого центра. Ловушки могут воспроизводить приложения, устройства, сетевое оборудование, сервера, рабочие станции, сервисы, службы и имитировать сетевое взаимодействие. Для привлечения внимания атакующего на ловушках и по узлам реальной инфраструктуры автоматически расставляются приманки - информация, представляющая потенциальную ценность. Это могут быть файлы конфигураций, история браузера, черновики, ключи ssh, файлы с паролями и другими данными, которые генерируются автоматически, соблюдая характерные для организации параметры.

При регистрации взаимодействия с приманками и ловушками, R-Vision TDP собирает и обрабатывает эти события и направляет оповещение ИБ-специалисту. События безопасности могут также передаваться во внешние системы, такие как IRP/SOAR и SIEM для реагирования.

R-Vision TDP поддерживает тесную интеграцию с другими продуктами линейки R-Vision. Использование продукта в связке с R-Vision IRP позволит быстро оценить масштаб атаки, выявить другие скомпрометированные системы организации на основе данных по инциденту от платформы Deception и автоматизировать реагирование. Атрибуты и индикаторы компрометации, собранные R-Vision TDP в результате анализа действий злоумышленника, могут автоматически передаваться в платформу управления данными киберразведки R-Vision TIP. Платформа R-Vision TIP, в свою очередь, позволит дообогатить эти данные, выявить взаимосвязи с другими доступными сведениями, настроить автоматический мониторинг в событиях SIEM и блокировку средствами защиты. Таким образом, использование R-Vision TDP в комплексе с другими продуктами R-Vision дает ощутимый синергетический эффект.

Официальный релиз продукта запланирован на первый квартал 2021 года, но старт пилотных проектов планируется уже на ближайшее время.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru