Сетевые угрозы в 2016 году
Июнь 2016
Цели и задачи исследования
Целью настоящего исследования Qrator Labs и Wallarm, проведенного компанией 42Future, было изучить актуальность проблематики и масштаб угрозы DDoS-атак и атак на уязвимости приложений в российском финансовом секторе (банки и платежные системы), а также оценить уровень защищенности внешнего сетевого периметра организаций.
В исследовании решались, в частности, следующие задачи:
- определение основных угроз ИБ в российском финансовом секторе,
- определение уровня осведомленности об угрозе DDoS-атак и атак на уязвимости приложений, а также связанных с ними рисках,
- определение уровня проникновения средств защиты от DDoS и хакерских атак в исследуемом сегменте.
Методика исследования
Работы в рамках настоящего исследования проводились в формате опроса. Респондентам предлагалось ответить на вопросы анкеты.
Опрос проводился среди представителей банков и платежных систем, работающих в России. Было опрошено 150 представителей разных компаний финансового сектора. В выборку были включены в том числе некоторые банки из рейтинга Топ-100 по размеру активов.
Всего было опрошено 138 банков (из 646 действующих кредитных организаций, имеющих право на осуществление банковских операций, по данным ЦБ РФ на май 2016 г.) и 12 платежных систем (из 33 включенных в реестр операторов платежных систем ЦБ РФ на май 2016 г.).
В опросе участвовали руководители ИТ-подразделений, их заместители, а также руководители департаментов, отвечающих за вопросы информационной безопасности.
Результаты исследования
- ПОНИМАНИЕ РИСКОВ
Информационная безопасность (ИБ) – один из основных приоритетов банковского бизнеса, который должен обеспечивать бесперебойность расчетов и конфиденциальность данных. Сбои в работе отдельных банков в результате инцидентов ИБ могут привести к системному кризису всей финансовой системы. Ущерб от киберпреступлений в российской банковской отрасли оценивается более 5 млрд руб. в 2015 году (данные ЦБ РФ и «Сбербанка»). Причем главной целью злоумышленников уже являются сами финансовые учреждения, а не их клиенты. Обеспечение информационной безопасности в финансовом секторе регулируется объемной нормативно-правовой базой, отраслевыми стандартами и внутренними регламентами. Для усиления противодействия киберпреступности ЦБ РФ разработал рекомендации по обеспечению информационной безопасности, которые вступили в силу с 1 мая 2016 года. Это первый подобный комплекс мер для банков по выстраиванию эффективности системы мониторинга для минимизации риска утечек информации.
- Бюджеты на ИБ в 2016 году
В силу высокого приоритета данной задачи банки и платежные системы исторически уделяют много внимания вопросам ИБ и даже в кризисные периоды не сокращают свои затраты по этому направлению. Глобально расходы финансового сектора на ИБ растут на 3-4% в год (оценка PwC). По данным настоящего опроса около трети респондентов увеличили в 2015 году свой ИБ-бюджет, и еще 44% сохранили его в прежнем объеме.
Изменение бюджета на ИБ в 2015 году
На фоне постоянного увеличения количества инцидентов ИБ меры по противодействию киберпреступности также должны усиливаться. 100% опрошенных компаний подтверждают, что осуществляют контроль за сетевым периметром. Но, по мнению экспертов Wallarm, это не дает никакой гарантии защиты от взлома: плохо внедренные меры защиты позволяют атакующими использовать приложения, как самый простой способ для «пробоя» периметра и развития атаки внутри сети организации. Однако, полученный в ходе исследования результат, позволяет говорить о достижении российскими организациями определенного уровня зрелости в вопросах ИБ и управления рисками. В условиях цифровой экономики и формирования платформ промышленного интернета эта мера является минимально необходимой для выживания бизнеса.
- Осознание рисков
В отрасли сформировалось четкое понимание, что киберпреступления — это серьезная угроза, которую нельзя сводить к рядовой технологической проблеме. 61% респондентов считают, что в случае инцидента ИБ (в зависимости от его масштаба и серьезности) повышается риск отзыва лицензии. Уже известно, что три банка, перенесших кибератаки, были лишены лицензий – в том числе, как отмечал регулятор, в связи с этими инцидентами.
Финансовые учреждения опасаются утечек персональных данных пользователей и других конфиденциальных данных в результате успешного взлома сервисов на сетевом периметре, что помимо прочего может грозить отзывом сертификации (PCI DSS).
Более трети опрошенных не рассматривают такой риск как первое и главное последствие киберпреступления, предполагая, что сначала идут репутационные и финансовые издержки. Однако абсолютно все респонденты уверены, что непредотвращенные инциденты ИБ сегодня означают серьезные потери для бизнеса.
Наиболее вероятные последствия от инцидента ИБ
- Понимание меняющихся условий
В компаниях понимают, что подходы к обеспечению ИБ должны трансформироваться в соответствии с быстрыми изменения ситуации на рынке. Это соответствие определяет не только защищенность бизнеса, но и возможности его дальнейшего развития. 77% респондентов разделяют мнение, что устаревшие требования к безопасности мешают внедрению новых технологий и подходов к развитию ИТ-инфраструктуры.
Устаревшие требования к безопасности препятствуют внедрению новых технологий, новых подходов к разработке и управления инфраструктурой?
- Привлечение внешнего аудита по ИБ
Дополнительное подтверждение зрелости организаций финансового сектора в вопросах ИБ – привлечение внешнего аудита. Его проведение подтверждают более 80% респондентов.
Стандарт ЦБ РФ рекомендует проводить аудит ИБ ежегодно, с целью проверки выполнения требований регулирования, либо проверки надежности и защищенности используемых решений. При этом в планах Центробанка, заметно ужесточающего надзор в сфере ИБ – перевести стандарт СТО БР ИББС в формат ГОСТа, сделав его обязательным.
Использование внешнего аудита безопасности/нагрузочного тестирования
По результатам проведенного аудита 19% опрошенных говорят о выявлении недостаточной эффективности защиты. Формально это может означать повышение риска отзыва лицензий у данной группы респондентов. Выше отмеченное увеличение расходов на ИБ (на 27%) выглядит в этой ситуации закономерным шагом для решения обозначившейся проблемы.
Половина респондентов обнаруживали благодаря аудиту, что эксплуатация решений обходится слишком дорого. Это открывает возможности для оптимизации затрат, на которую ориентирован сегодня весь российский бизнес.
По нашему опыту, возможная оптимизация расходов в области ИБ относится к аппаратным решениям, когда заказчик недооценивает необходимость в дальнейшей донастройке и поддержке.
Кроме того, системы обеспечения безопасности дают слишком много событий. У служб ИБ часто ограничены ресурсы, в результате, события безопасности не обрабатываются или обрабатываются недостаточно эффективно и не полностью. По мнению Wallarm, даже в случаях внедрения центров реагирования – SOC (Security Operation Center) – на базе дорогостоящих продуктов класса SIEM (Security information and event management), проблема реагирования на большое число срабатываний не решается должным образом. Ключевая особенность, которую признает рынок: в сетях общего доступа, таких как Интернет, атакующие могут создавать столько событий безопасности, сколько захотят. При этом, защитные меры в виде блокировок по IP адресам или подсетям практически неэффективны против современных автоматизированных средств для атак.
Почти треть респондентов также ответила, что заявленные характеристики оборудования продуктов информационной безопасности не соответствуют реальности. «Будучи ограниченными в возможностях масштабирования, компаниям приходится идти на компромисс и защищать только часть приложений или определенную часть трафика» — добавляет Иван Новиков, генеральный директор компании ОНСЕК, разрабатывающей Wallarm.
Основные недостатки, выявленные по результатам аудита решений
- ТИПЫ УГРОЗ
Более трети респондентов отмечают, что не сталкивались в 2015 году с инцидентами ИБ. Тут нужно учитывать традиционную закрытость и чувствительность именно банковской отрасли к публичному признанию фактов киберпреступлений. Однако большинство уже готово подтвердить зафиксированные атаки. Игроки осознают важность реального отражения ситуации с тем, чтобы более эффективно развивать стратегии кибербезопасности и бороться с мошенниками общеотраслевыми усилиями. К открытому обсуждению проблемы, размеров потерь и конкретных схем атак активно призывает и Центробанк.
- DDoS-атаки
Наиболее часто компании финансового сектора сталкиваются сегодня с DDoS-атаками. Об этом говорит почти четверть респондентов. По-прежнему это средство недобросовестной конкурентной борьбы, которое можно применять результативно и со все меньшими затратами (от 5 долл. в час). В то же время DDoS-атаки часто используются для отвлечения внимания и проведения других типов атак – например, взлома сайта или веб-приложений. О том, что такого рода комплексные атаки становятся трендом, также говорилось в совместном исследовании «Тренды 2015 года в области интернет-безопасности в России и в мире» (qrator.net/presentations/QratorDDoSReport2015.pdf), сделанном Qrator Labs и Wallarm по итогам 2015 года.
Попытки взлома приложений и сервисов на сетевом периметре отметил 17% респондентов. В реальности цифра гораздо выше, считают специалисты Wallarm: практически каждый публичный ресурс хотя бы раз в месяц подвергается автоматизированным (часто не направленным на конкретную цель) атакам на публичные уязвимости.
Наиболее часто фиксируемые инциденты ИБ в 2015 году
В числе других инцидентов респонденты называли вирусы, инсайдеров, инциденты, связанные с работой ДБО.
- Атаки на инфраструктуру сети
В последние два года Qrator Labs в своих отчетах по исследованиям рыночных тенденций (qrator.net/presentations/QratorDDoSReport2015.pdf) обращает внимание на новую угрозу – атаки на инфраструктуру сети, рассматривая их, как перспективный вектор. Более половины (58%) опрошенных экспертов подтверждают, что риски такого рода уже представляют собой опасность, и угроза будет расти. Однако 40% все еще находятся в неведении, отрицая критичность атак на инфраструктуру сети или протоколы маршрутизации. Впрочем, такая ситуация типична для восприятия новых угроз. Кроме того, среди респондентов высказывались оптимистичные предположения, что несмотря на серьезность угрозы, предпринимается достаточное количество мер для ее предотвращения – и соответственно, ее критичность снижается.
Оценка угрозы атаки на инфраструктуру сети/протоколы маршрутизации
99% респондентов действительно подтверждают, что предпринимают контрмеры против атак такого типа. Можно предположить, что в ряде случаев они считают, что такие контрмеры предприняты. В том числе, рассчитывая на средства защиты, обеспечиваемые провайдером связи. Однако в отсутствие специальных и последовательных шагов самой организации для противодействия атакам на инфраструктуру уровень ее защищенности нельзя считать достаточным.
III. ТИПЫ ИСПОЛЬЗУЕМЫХ РЕШЕНИЙ
Большинство респондентов (69%) считают самым эффективным средством противодействия операторское решение по защите от DDoS. Однако по мнению экспертов Qrator и Wallarm сегодня этот метод устаревает. «Решение на стороне оператора уже не может обеспечить защиту от целых классов атак. К тому же такие средства практически никогда не поставляются в комплекте с интегрированным WAF (Web Application Firewall), обеспечивающим защиту от хакерских атак. Аналогично устаревают с точки зрения реальной эффективности решения CPE», – говорит Александр Лямин, генеральный директор Qrator Labs. Более подробную информацию о том, почему больше не работают операторские решения и решения на стороне клиента (CPE), можно найти в White Paper «Эволюция DDoS-атак и средств противодействия данной угрозе» (qrator.net/presentations/DdosEvolution.pdf). Показательно, что лишь 9% опрошенных считают эффективными облачные решения. В то же время практика показывает прямо противоположный результат, что иллюстрируют следующие примеры.
Пример компании QiWi
Компания QiWi, владеющая крупнейшей платежной системой в России опробовала все классы решений пока не остановилась на геораспределенной облачной сети фильтрации трафика.
«Наш бизнес – это высокотехнологичная система интернет-платежей. Сетевая безопасность – один из самых главных аспектов, который влияет на работу всей компании. Мы используем целый комплекс для защиты от угроз извне, и постоянно его совершенствуем. На мой взгляд облачное решение для фильтрации трафика на сегодняшний день является самым оптимальным способам противодействия одной из наиболее опасных угроз – DDoS-атакам. Правильнее всего использовать такой инструмент в комплексе с решениями для защиты от хакерских атак, которые часто производятся одновременно с DDoS-атаками», – говорит Кирилл Ермаков, руководитель департамента информационной безопасности группы QiWi.
Какие решения для защиты от DDoS-атак и взломов считаете наиболее эффективными?
- Передача трафика внешнему поставщику услуг
54% опрошенных уверены, что не пропускают трафик через внешнее решение. На самом деле зеркальная копия трафика отправляется в ЦОД оператора практически всегда. Это делается для анализа и обнаружения атак самим оператором. Кроме того, «выжимки» из мета-данных об этом трафике зачастую направляются оператором вендору того решения, которое он использует. Для оператора это критически важная активность, т.к. атака на отдельного клиента может задеть других клиентов или вовсе «забить» весь канал оператора на определенном участке сети.
«В связи с развитием сетевых технологий и технологий виртуализации сетей, становится все сложнее обозначить периметр сетевой безопасности корпоративной сети. Это несет дополнительные риски и требует переосмысления политик безопасности. Корпоративная сеть перестает быть четко очерчена границами физических устройств, и превращается в совокупность сервисных макросегментов, каждый из которых обозначается собственным периметром безопасности», – говорит Александр Лямин, генеральный директор Qrator Labs.
Пропускаете ли вы трафик через стороннее решение для защиты от атак?
- Восприятие решений фильтрации трафика
Исследование показало, что на рынке сформировалось понимание того, как работают фильтры трафика. 55% сталкивались с ложными срабатываниями подобных решений, но осознают неизбежность таких событий. В итоге этот фактор не особенно влияет на принятие решения о покупке инструмента для фильтрации. Скорее на этот выбор влияет SLA – число false positive (ложных срабатываний), но эта гипотеза пока ждет подтверждения.
По мнению экспертов Qrator Labs, действительно, ложные срабатывания неизбежны при использовании любых решений фильтрации трафика. Но при выборе решения показатель количества таких ситуаций не стоит недооценивать. Для бизнеса отфильтрованный клиент может означать потенциальные финансовые потери. Соответственно, при выборе решения рекомендуется учитывать процент false positive характерный для конкретного продукта наряду с остальными важными характеристиками: скорость реакции на атаку (время обнаружения и нейтрализации атаки), качество техобслуживания, способность противостоять сложным комплексным атакам.
Сталкивались ли вы с ложными срабатываниями решений, фильтрующих трафик? В какой мере это влияет на выбор решения?
ВЫВОДЫ
- Как показало исследование, информационная безопасность – важный приоритет для организаций финансового сектора. Серьезность киберугроз здесь в достаточной мере осознают, что указывает на достижение определенной зрелости в вопросах ИБ.
- В отрасли понимают основные риски и последствия инцидентов ИБ: 61% опрошенных говорят, что проблемы с безопасностью могут привести к отзыву банковской лицензии.
- Наиболее частый тип инцидентов ИБ, с которым сталкиваются банки и платежные организации – DDoS-атаки. Об этом сообщает 24% опрошенных.
- При этом, для противодействия наиболее распространенной угрозе (DDoS-атакам) используются по большей части устаревающие и недостаточно эффективные средства, в том числе решения от оператора, которые в большинстве случаев не предоставляют никакой защиты от атак на уязвимости приложения (услуга WAF). Более подробные объяснения того, почему старые средства более не эффективны, можно найти в White Paper «Эволюция DDoS-атак и средств противодействия данной угрозе», выпущенном Qrator Labs в июне 2016 года (http://qrator.net/presentations/DdosEvolution.pdf).
- Попытки взлома приложений были зафиксированы 17% опрошенных. Поэтому компании уделяют все больше внимание защите своего периметра. Регулярно проводят аудит безопасности более 80% компаний.
- Современные реалии требуют пересмотра подходов к ИБ, опирающихся на понятие периметра безопасности корпоративной сети. Сетевая виртуализация и другие современные сетевые технологии размыли границы сетевого периметра.
По материалам компаний Qrator Labs и Wallarm