15, июнь 2016  —  Цели и задачи исследования

Целью настоящего исследования Qrator Labs и Wallarm, проведенного компанией 42Future, было изучить актуальность проблематики и масштаб угрозы DDoS- атак и атак на уязвимости приложений в российском финансовом секторе ( банки и платежные системы ), а также оценить уровень защищенности внешнего сетевого периметра организаций . 

В рамках исследования решались , в частности , следующие задачи :

•  определение основных угроз ИБ в российском финансовом секторе ,

•  определение уровня осведомленности об угрозе DDoS- атак и атак на уязвимости приложений , а также связанных с ними рисках ,

•  определение уровня проникновения средств защиты от DDoS и хакерских атак в исследуемом сегменте .

Методика исследования

Работы в рамках настоящего исследования проводились в формате опроса . Респондентам предлагалось ответить на вопросы анкеты .

Опрос проводился среди представителей банков и платежных систем , работающих в России . Было опрошено 150 представителей разных компаний финансового сектора . В выборку были включены в том числе некоторые банки из рейтинга Топ -100 по размеру активов .

Всего было опрошено 138 банков ( из 646 действующих кредитных организаций , имеющих право на осуществление банковских операций , по данным ЦБ РФ на май 2016 г .) и 12 платежных систем ( из 33 включенных в реестр операторов платежных систем ЦБ РФ на май 2016 г .).

В опросе участвовали руководители ИТ - подразделений , их заместители , а также руководители департаментов , отвечающих за вопросы информационной безопасности .

Результаты исследования

I. ПОНИМАНИЕ РИСКОВ

Информационная безопасность ( ИБ ) – один из основных приоритетов банковского бизнеса , который должен обеспечивать бесперебойность расчетов и конфиденциальность данных . Сбои в работе отдельных банков в результате инцидентов ИБ могут привести к системному кризису всей финансовой системы . Ущерб от киберпреступлений в российской банковской отрасли оценивается более 5 млрд руб . в 2015 году ( данные ЦБ РФ и « Сбербанка »). Причем главной целью злоумышленников уже являются сами финансовые учреждения , а не их клиенты . Обеспечение информационной безопасности в финансовом секторе регулируется объемной нормативно - правовой базой , отраслевыми стандартами и внутренними регламентами . Для усиления противодействия киберпреступности ЦБ РФ разработал рекомендации по обеспечению информационной безопасности , которые вступили в силу с 1 мая 2016 года . Это первый подобный комплекс мер для банков по выстраиванию эффективности системы мониторинга для минимизации риска утечек информации .

•  Бюджеты на ИБ в 2016 году

В силу высокого приоритета данной задачи банки и платежные системы исторически уделяют много внимания вопросам ИБ и даже в кризисные периоды не сокращают свои затраты по этому направлению . Глобально расходы финансового сектора на ИБ растут на 3-4% в год ( оценка PwC). По данным настоящего опроса около трети респондентов увеличили в 2015 году свой ИБ - бюджет , и еще 44% сохранили его в прежнем объеме .

Изменение бюджета на ИБ в 2015 году

На фоне постоянного увеличения количества инцидентов ИБ меры по противодействию киберпреступности также должны усиливаться . 100% опрошенных компаний подтверждают , что осуществляют контроль за сетевым периметром . Но , по мнению экспертов Wallarm, это не дает никакой гарантии защиты от взлома : плохо внедренные меры защиты позволяют атакующими использовать приложения , как самый простой способ для « пробоя » периметра и развития атаки внутри сети организации . Однако , полученный в ходе исследования результат , позволяет говорить о достижении российскими организациями определенного уровня зрелости в вопросах ИБ и управления рисками . В условиях цифровой экономики и формирования платформ промышленного интернета эта мера является минимально необходимой для выживания бизнеса .

•  Осознание рисков

В отрасли сформировалось четкое понимание , что киберпреступления — это серьезная угроза , которую нельзя сводить к рядовой технологической проблеме . 61% респондентов считают , что в случае инцидента ИБ ( в зависимости от его масштаба и серьезности ) повышается риск отзыва лицензии . Уже известно , что три банка , перенесших кибератаки , были лишены лицензий – в том числе , как отмечал регулятор , в связи с этими инцидентами .

Финансовые учреждения опасаются утечек персональных данных пользователей и других конфиденциальных данных в результате успешного взлома сервисов на сетевом периметре , что помимо прочего может грозить отзывом сертификации (PCI DSS).

Более трети опрошенных не рассматривают такой риск как первое и главное последствие киберпреступления , предполагая , что сначала идут репутационные и финансовые издержки . Однако абсолютно все респонденты уверены , что непредотвращенные инциденты ИБ сегодня означают серьезные потери для бизнеса .

Наиболее вероятные последствия от инцидента ИБ

•  Понимание меняющихся условий

В компаниях понимают , что подходы к обеспечению ИБ должны трансформироваться в соответствии с быстрыми изменения ситуации на рынке . Это соответствие определяет не только защищенность бизнеса , но и возможности его дальнейшего развития . 77% респондентов разделяют мнение , что устаревшие требования к безопасности мешают внедрению новых технологий и подходов к развитию ИТ - инфраструктуры .

Устаревшие требования к безопасности препятствуют внедрению новых технологий , новых подходов к разработке и управления инфраструктурой ?

•  Привлечение внешнего аудита по ИБ

Дополнительное подтверждение зрелости организаций финансового сектора в вопросах ИБ – привлечение внешнего аудита . Его проведение подтверждают более 80% респондентов .

Стандарт ЦБ РФ рекомендует проводить аудит ИБ ежегодно , с целью проверки выполнения требований регулирования , либо проверки надежности и защищенности используемых решений . При этом в планах Центробанка , заметно ужесточающего надзор в сфере ИБ – перевести стандарт СТО БР ИББС в формат ГОСТа , сделав его обязательным .

Использование внешнего аудита безопасности / нагрузочного тестирования

По результатам проведенного аудита 19% опрошенных говорят о выявлении недостаточной эффективности защиты . Формально это может означать повышение риска отзыва лицензий у данной группы респондентов . Выше отмеченное увеличение расходов на ИБ ( на 27%) выглядит в этой ситуации закономерным шагом для решения обозначившейся проблемы .

Половина респондентов обнаруживали благодаря аудиту , что эксплуатация решений обходится слишком дорого . Это открывает возможности для оптимизации затрат , на которую ориентирован сегодня весь российский бизнес .

По нашему опыту , возможная оптимизация расходов в области ИБ относится к аппаратным решениям , когда заказчик недооценивает необходимость в дальнейшей донастройке и поддержке .

Кроме того , системы обеспечения безопасности дают слишком много событий . У служб ИБ часто ограничены ресурсы , в результате , события безопасности не обрабатываются или обрабатываются недостаточно эффективно и не полностью . По мнению Wallarm, даже в случаях внедрения центров реагирования – SOC (Security Operation Center) – на базе дорогостоящих продуктов класса SIEM (Security information and event management), проблема реагирования на большое число срабатываний не решается должным образом . Ключевая особенность , которую признает рынок : в сетях общего доступа , таких как Интернет , атакующие могут создавать столько событий безопасности , сколько захотят . При этом , защитные меры в виде блокировок по IP адресам или подсетям практически неэффективны против современных автоматизированных средств для атак .

Почти треть респондентов также ответила , что заявленные характеристики оборудования продуктов информационной безопасности не соответствуют реальности . « Будучи ограниченными в возможностях масштабирования , компаниям приходится идти на компромисс и защищать только часть приложений или определенную часть трафика » — добавляет Иван Новиков , генеральный директор компании ОНСЕК , разрабатывающей Wallarm.

Основные недостатки , выявленные по результатам аудита решений

II. ТИПЫ УГРОЗ

Более трети респондентов отмечают , что не сталкивались в 2015 году с инцидентами ИБ . Тут нужно учитывать традиционную закрытость и чувствительность именно банковской отрасли к публичному признанию фактов киберпреступлений . Однако большинство уже готово подтвердить зафиксированные атаки . Игроки осознают важность реального отражения ситуации с тем , чтобы более эффективно развивать стратегии кибербезопасности и бороться с мошенниками общеотраслевыми усилиями . К открытому обсуждению проблемы , размеров потерь и конкретных схем атак активно призывает и Центробанк .

•  DDoS- атаки

Наиболее часто компании финансового сектора сталкиваются сегодня с DDoS- атаками . Об этом говорит почти четверть респондентов . По - прежнему это средство недобросовестной конкурентной борьбы , которое можно применять результативно и со все меньшими затратами ( от 5 долл . в час ). В то же время DDoS- атаки часто используются для отвлечения внимания и проведения других типов атак – например , взлома сайта или веб - приложений . О том , что такого рода комплексные атаки становятся трендом , также говорилось в совместном исследовании « Тренды 2015 года в области интернет - безопасности в России и в мире » ( qrator.net/ presentations /QratorDDoSReport2015.pdf ), сделанном Qrator Labs и Wallarm по итогам 2015 года .

Попытки взлома приложений и сервисов на сетевом периметре отметил 17% респондентов . В реальности цифра гораздо выше , считают специалисты Wallarm: практически каждый публичный ресурс хотя бы раз в месяц подвергается автоматизированным ( часто не направленным на конкретную цель ) атакам на публичные уязвимости .

Наиболее часто фиксируемые инциденты ИБ в 2015 году

В числе других инцидентов респонденты называли вирусы , инсайдеров , инциденты , связанные с работой ДБО .

•  Атаки на инфраструктуру сети

В последние два года Qrator Labs в своих отчетах по исследованиям рыночных тенденций ( qrator.net/ presentations /QratorDDoSReport2015.pdf ) обращает внимание на новую угрозу – атаки на инфраструктуру сети , рассматривая их , как перспективный вектор . Более половины (58%) опрошенных экспертов подтверждают , что риски такого рода уже представляют собой опасность , и угроза будет расти . Однако 40% все еще находятся в неведении , отрицая критичность атак на инфраструктуру сети или протоколы маршрутизации . Впрочем , такая ситуация типична для восприятия новых угроз . Кроме того , среди респондентов высказывались оптимистичные предположения , что несмотря на серьезность угрозы , предпринимается достаточное количество мер для ее предотвращения – и соответственно , ее критичность снижается .

Оценка угрозы атаки на инфраструктуру сети / протоколы маршрутизации

99% респондентов действительно подтверждают , что предпринимают контрмеры против атак такого типа . Можно предположить , что в ряде случаев они считают , что такие контрмеры предприняты . В том числе , рассчитывая на средства защиты , обеспечиваемые провайдером связи . Однако в отсутствие специальных и последовательных шагов самой организации для противодействия атакам на инфраструктуру уровень ее защищенности нельзя считать достаточным .

  III. ТИПЫ ИСПОЛЬЗУЕМЫХ РЕШЕНИЙ

Большинство респондентов (69%) считают самым эффективным средством противодействия операторское решение по защите от DDoS. Однако по мнению экспертов Qrator и Wallarm сегодня этот метод устаревает . « Решение на стороне оператора уже не может обеспечить защиту от целых классов атак . К тому же такие средства практически никогда не поставляются в комплекте с интегрированным WAF (Web Application Firewall), обеспечивающим защиту от хакерских атак . Аналогично устаревают с точки зрения реальной эффективности решения CPE», – говорит Александр Лямин , генеральный директор Qrator Labs. Более подробную информацию о том , почему больше не работают операторские решения и решения на стороне клиента (CPE), можно найти в White Paper « Эволюция DDoS- атак и средств противодействия данной угрозе » (qrator.net/presentations/DdosEvolution.pdf). Показательно , что лишь 9% опрошенных считают эффективными облачные решения . В то же время практика показывает прямо противоположный результат , что иллюстрируют следующие примеры .

Пример компании QiWi

Компания QiWi, владеющая крупнейшей платежной системой в России опробовала все классы решений пока не остановилась на геораспределенной облачной сети фильтрации трафика .

« Наш бизнес – это высокотехнологичная система интернет - платежей . Сетевая безопасность – один из самых главных аспектов , который влияет на работу всей компании . Мы используем целый комплекс для защиты от угроз извне , и постоянно его совершенствуем . На мой взгляд облачное решение для фильтрации трафика на сегодняшний день является самым оптимальным способам противодействия одной из наиболее опасных угроз – DDoS- атакам . Правильнее всего использовать такой инструмент в комплексе с решениями для защиты от хакерских атак , которые часто производятся одновременно с DDoS- атаками », – говорит Кирилл Ермаков , руководитель департамента информационной безопасности группы QiWi.

Какие решения для защиты от DDoS- атак и взломов считаете наиболее эффективными ?

•  Передача трафика внешнему поставщику услуг

54% опрошенных уверены , что не пропускают трафик через внешнее решение . На самом деле зеркальная копия трафика отправляется в ЦОД оператора практически всегда . Это делается для анализа и обнаружения атак самим оператором . Кроме того , « выжимки » из мета - данных об этом трафике зачастую направляются оператором вендору того решения , которое он использует . Для оператора это критически важная активность , т . к . атака на отдельного клиента может задеть других клиентов или вовсе « забить » весь канал оператора на определенном участке сети .

« В связи с развитием сетевых технологий и технологий виртуализации сетей , становится все сложнее обозначить периметр сетевой безопасности корпоративной сети . Это несет дополнительные риски и требует переосмысления политик безопасности . Корпоративная сеть перестает быть четко очерчена границами физических устройств , и превращается в совокупность сервисных макросегментов , каждый из которых обозначается собственным периметром безопасности », – говорит Александр Лямин , генеральный директор Qrator Labs.

Пропускаете ли вы трафик через стороннее решение для защиты от атак ?

•  Восприятие решений фильтрации трафика

Исследование показало , что на рынке сформировалось понимание того , как работают фильтры трафика . 55% сталкивались с ложными срабатываниями подобных решений , но осознают неизбежность таких событий . В итоге этот фактор не особенно влияет на принятие решения о покупке инструмента для фильтрации . Скорее на этот выбор влияет SLA – число false positive ( ложных срабатываний ), но эта гипотеза пока ждет подтверждения .

По мнению экспертов Qrator Labs, действительно , ложные срабатывания неизбежны при использовании любых решений фильтрации трафика . Но при выборе решения показатель количества таких ситуаций не стоит недооценивать . Для бизнеса отфильтрованный клиент может означать потенциальные финансовые потери . Соответственно , при выборе решения рекомендуется учитывать процент false positive характерный для конкретного продукта наряду с остальными важными характеристиками : скорость реакции на атаку ( время обнаружения и нейтрализации атаки ), качество техобслуживания , способность противостоять сложным комплексным атакам .

ВЫВОДЫ

•  Как показало исследование , информационная безопасность – важный приоритет для организаций финансового сектора . Серьезность киберугроз здесь в достаточной мере осознают , что указывает на достижение определенной зрелости в вопросах ИБ .

•  В отрасли понимают основные риски и последствия инцидентов ИБ : 61% опрошенных говорят , что проблемы с безопасностью могут привести к отзыву банковской лицензии .

•  Наиболее частый тип инцидентов ИБ , с которым сталкиваются банки и платежные организации – DDoS- атаки . Об этом сообщает 24% опрошенных .

•  При этом , для противодействия наиболее распространенной угрозе (DDoS- атакам ) используются по большей части устаревающие и недостаточно эффективные средства , в том числе решения от оператора , которые в большинстве случаев не предоставляют никакой защиты от атак на уязвимости приложения ( услуга WAF). Более подробные объяснения того , почему старые средства более не эффективны , можно найти в White Paper « Эволюция DDoS- атак и средств противодействия данной угрозе », выпущенном Qrator Labs в июне 2016 года ( http://qrator.net/presentations/DdosEvolution.pdf ).

•  Попытки взлома приложений были зафиксированы 17% опрошенных . Поэтому компании уделяют все больше внимание защите своего периметра . Регулярно проводят аудит безопасности более 80% компаний .

•  Современные реалии требуют пересмотра подходов к ИБ , опирающихся на понятие периметра безопасности корпоративной сети . Сетевая виртуализация и другие современные сетевые технологии размыли границы сетевого периметра .