Контакты
Подписка
МЕНЮ
Контакты
Подписка

Реагирование на угрозы: новый подход Сбербанка

Реагирование на угрозы: новый подход Сбербанка

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Реагирование на угрозы: новый подход Сбербанка

По привычке старшее поколение называет Сбербанк сберегательной кассой, но сложно представить более технологически развитую финансовую организацию. Сбербанк не только шагает в ногу с современными тенденциями рынка, но и опережает их, уверенно ориентируясь в стремительно меняющихся технологиях и предпочтениях клиентов. Его услугами пользуются 70% населения России. Как не подвести своих клиентов и обеспечить безопасность их вкладов, рассказал руководитель службы кибербезопасности Сбербанка Сергей Лебедь.
Сергей Лебедь
Руководитель службы кибербезопасности Сбербанка

– Год назад Сбербанк презентовал открытие собственного SOC. Что было сделано за прошедшее время для повышения уровня его зрелости? Как проводилась оценка?
– За прошедший год у команды службы кибербезопасности Сбербанка было много задач, с которыми мы успешно справились, и к концу года можем с уверенностью говорить о том, что наш SOC вышел на новый уровень. Мы стали быстрее обнаруживать атаки, быстрее и эффективнее реагировать на угрозы и инциденты. Во многом этому способствовало внедрение в операционную работу новой процессной модели. В нашей большой технической инфраструктуре и организационно-штатной структуре использование процессной модели позволяет обеспечить управляемость на самом высоком уровне. Кроме того, наша команда разработала новый подход к реагированию на угрозы, разработке сценариев безопасности, управлению аналитикой киберугроз.

Что касается оценки уровня зрелости нашего SOC, то она проводилась на основании методики, разработанной и широко применяемой компанией IBM. Стоит отметить, что на сегодняшний день наша оценка находится на уровне топ-100 мировых банков. Для нас это не предел – мы знаем свои болевые точки и стремимся к повышению собственного уровня зрелости, в том числе путем приведения наших процессов в соответствие требованиям международных стандартов и применяя лучшие практики.

– Расскажите о регламентах реагирования на инциденты и метриках эффективности реакции в вашем банке, пожалуйста.
– Основными документами, описывающими процедуры реагирования в нашем SOC, являются политика и план реагирования на инциденты кибербезопасности.

Политика описывает принципы обработки инцидентов в условиях эскалации, а план представляет более детальное описание непосредственно для исполнителей. Он включает в себя метрики и конкретную информацию, которая необходима для реагирования.

В SOC Сбербанка созданы три линии реагирования и описан порядок их взаимодействия между собой и вовлеченными в процесс подразделениями.

Первая линия – это мониторинг событий, вторая линия – категоризация, третья – реагирование. Для каждой из линий существуют подробные процедуры, так называемые Play-book, с описанием действий дежурного.

Подчеркну, что процесс реагирования является измеряемым, поэтому метрики – неотъемлемая часть процесса. Наши метрики в целом не отличаются от типовых, используемых для измерения процесса Incident Management.

Это среднее время решения инцидента, количество инцидентов, вовремя обработанных или вовремя принятых в работу и т.п.

Процесс реагирования является измеряемым, поэтому метрики – неотъемлемая часть процесса. Наши метрики в целом не отличаются от типовых, используемых для измерения процесса Incident Management. Это среднее время решения инцидента, количество инцидентов, вовремя обработанных или вовремя принятых в работу, и т.п.

– Какое количество инцидентов фиксируется?
– Надо начать с того, что инцидент для нас – это уже подтвержденный факт атаки или нарушения политик безопасности. Но есть еще одна цифра, которая тоже представляет интерес, – это количество подозрений на инцидент, которое обрабатывает наш SOC. Для их обозначения мы используем термин "событие кибербезопасности".

Теперь сами цифры. За год мы зафиксировали около 25 тыс. событий кибербезопасности (КБ), это примерно 70 в сутки. Из них инцидентов за год – чуть более 6 тыс.: примерно 20 инцидентов в сутки. Помимо этого, наш SOC осуществляет мониторинг средств защиты, а это дополнительно еще около 20 тыс. событий в год, которые требуют реагирования, что превращается почти в 5 тыс. подтвержденных инцидентов в год.

– Есть ли примеры устранения неизвестных угроз за счет автоматического обнаружения нарушений безопасности?
– Такие примеры есть. Мы стремимся к максимальной автоматизации мониторинга аномальных активностей и выявлению в этих аномалиях атак или злонамеренной активности. Для повышения эффективности детектирования таких угроз мы применяем комплексный мониторинг различных каналов. Например, мониторинг трафика на периметре, анализ поведения устройств и пользователей внутри инфраструктуры, анализ журналов событий и пр. Такой подход дает положительный эффект даже в случае, если уровень нашего настроенного автоматического обнаружения недостаточно высок.

– Имеет ли смысл хранить всю собранную информацию? Как обеспечить сохранность юридически значимых улик?
– Хороший вопрос, на который нет однозначного ответа. В каждом конкретном случае требуется оценка: будет ли польза от хранения той или иной информации и не перевесят ли затраты на ее хранение эту пользу.

По второй части вопроса: поскольку мы говорим о "цифровых уликах", то надо отметить, что судом принимаются не сами "цифровые улики", а заключения экспертов по ним. Поэтому наша задача – в случае доведения расследования до суда обеспечить и показать экспертам неизменность улик. Например, в случае работы с образами систем необходимо с помощью специальных инструментов компьютерной криминалистики сделать две полные копии: основной образ (контрольная копия, которая хранится в библиотеке) и рабочий образ (используется для проведения сбора и анализа доказательств). В случае работы с логами SIEM-системы необходимо показать обеспечение контроля доступа к системе и ее инфраструктурным элементам.

– Как вы технически реализовали хранение этих гигантских объемов данных и поиск в них необходимой информации?
– Да, действительно, объемы хранимых данных в масштабах банка огромны. Пока мы еще справляемся с хранением и обработкой их в SIEM-системе. Это геораспределенная, выполненная в отказоустойчивой конфигурации система, построенная на нескольких высокопроизводительных серверах. Но, понимая пределы ее возможностей и учитывая постоянный рост объема собираемых данных, некоторое время назад мы начали активные работы по разработке новой, собственной системы, построенной на базе технологий Big Data. Она обеспечит нам необходимую производительность в операциях с данными за счет горизонтального масштабирования, как по вычислительным мощностям, так и по хранению, а также надежность и безопасность хранения.


– Какие важные шаги в развитии операционной эффективности вашего SOC вы могли бы выделить?
– В первую очередь это рост компетенций нашей команды, автоматизация типовых операций и развитие технологической платформы SOC.

Первый, уже реализованный нами шаг – это определение KPI и метрик для измерения эффективности. Думаю, не надо пояснять, что метрики должны быть понятными и измеримыми. Например, на первом шаге – это время реакции наших линий реагирования, количество событий в очереди на обработку, полнота покрытия/охвата, количество инцидентов, количество ложноположительных и ложноотрицательных срабатываний и т.д. На следующих шагах добавляются более интересные вещи – это экономические показатели, такие как затраты на обработку одного события.

Второй шаг – достижение конкретных значений и показателей метрик и KPI, с постепенным повышением требований к себе.

Третий шаг – снижение затрат условно на одну операцию SOC. Оно происходит за счет автоматизации процессов, замены людей, где это возможно, ботами и другими решениями на базе технологий искусственного интеллекта. Мы высвобождаем человеческий ресурс для новых задач, давая возможность нашим сотрудникам развивать в себе новые, необходимые нам компетенции.

– Какую статистику по атакам регистрирует сегодня SOC Сбербанка? Отличается ли она от других финансовых организаций России?
– Статистика по атакам на Сбербанк в целом не сильно отличается от общего фона, который присутствует в последнее время в отношении финансового сектора России. Мы не можем сказать, что наш банк подвергается "особенным" атакам, направленным исключительно на него.

Если говорить о среднемесячных показателях, то это единицы ощутимых DDOS-атак в месяц и десятки инцидентов, связанных с попытками проникновения в инфраструктуру банка с использованием каналов электронной почты или Web-каналов.

– Как вы оцениваете эффективность работы FinCERT Банка России и ценность информации, поступающей из него?
– Мы считаем, что для нас важно иметь разные источники информации, поэтому мы используем несколько поставщиков (ИТ-компании, производители средств защиты, государственные службы) в нашей аналитической системе. Fin-CERT – один из них. У каждого источника своя ценность и специфика. Если говорить конкретно про FinCERT, то мы всегда внимательно анализируем информацию, полученную от этого источника, и, безусловно, используем ее в работе наших подразделений.

– Можно ли выделить какое-то одно направление банковского мошенничества, которое встречается наиболее часто?
– Я бы выделил получение злоумышленниками доступа к системам дистанционного банковского обслуживания и совершение ими не санкционированных клиентами операций. И, конечно, наиболее распространенным видом мошенничества в отношении клиентов банка уже долгое время остается мошенничество с использованием методов социальной инженерии, основанных на доверчивости клиентов к "тревожным" сообщениям или возможности получить дополнительные доходы или различные компенсации.

Стоит отметить, что в декабре этого года Сбербанк стал первым банком в России, чей SOC сертифицирован Британским институтом стандартов на соответствие международному стандарту ISO 27001:2013. Почему это важно для Сбербанка? Современный мир предъявляет высокие требования к цифровым компаниям прежде всего в области кибербезопасности. Качество и доступность цифровых услуг напрямую зависит от способности эффективно противодействовать киберугрозам. Поэтому Сбербанк считает это направление одним из стратегически значимых. Сертификат подтверждает, что наши процессы мониторинга и реагирования на кибератаки соответствуют международным требованиям. Это позволяет нам уже сегодня обеспечить защиту ИТ-платформы на уровне мировых лидеров, а в перспективе – и всю цифровую экосистему Сбербанка.

Типичный пример использования методов социальной инженерии – фрод-рассылки ложных сообщений через СМС, e-mail, мессенджеры о блокировке карты или якобы совершенном переводе средств, после чего клиенты сами выходят на контакт с мошенниками по указанному в сообщении телефону и сами совершают все нужные мошенникам операции.

– Насколько удалось продвинуться Сбербанку в части предотвращения утечек средств со счетов и карт своих клиентов?
– Несмотря на значительный рост попыток хищений, нам удается успешно противодействовать этим атакам. Такой результат достигается за счет целого ряда мер, работающих в комплексе: технические средства интеллектуального анализа клиентских операций, отлаженные операционные процессы, программа повышения осведомленности клиентов о рисках и мерах безопасности и многое другое. Сегодня мы высоко оцениваем достигнутые результаты и тем не менее видим свои слабые стороны и понимаем, в каких направлениях нам следует развиваться.

– Какое самое крупное мошенничество удалось раскрыть?
– Сбербанк активно взаимодействует с правоохранительными органами, которые занимаются раскрытием преступлений. Итогом нашего взаимодействия стала ликвидация целого ряда крупных киберпреступных групп, например CarberP, Lurk.

– Меняется ли образ хакера?
– Безусловно, стремительно меняющийся мир меняет и образ злоумышленников. В 90-х годах прошлого века хакеры представляли из себя компьютерный андеграунд, состоящий из одиночек со своей философией, образом жизни и даже манерой одеваться. Их целью был поиск технологических уязвимостей и способов проникновения в сети организаций, в подавляющем большинстве случаев – без какой-либо серьезной мотивации.

Сегодня хакер – это высокомотивированный, технически грамотный персонаж, который преследует в первую очередь финансовую выгоду. Хорошие хакеры зарабатывают деньги легально – устраиваются на работу в крупные корпорации или участвуют в программах BugBo-unty. Плохие хакеры становятся киберпреступниками – взломщиками банков, кибертеррористами и не только.

– В прошлом году на Петербургском экономическом форуме Станислав Кузнецов отмечал, что Россия является основной мишенью для кибератак. Изменилась ли ситуация в этом году?
– Наш опыт показывает, что этот тренд только развивается. За прошедший год мы столкнулись со всеми громкими и резонансными атаками, которые были на территории нашей страны. Например, вирусы-шифровальщики WannaCry, Petya и др.

– Что, на ваш взгляд, необходимо доработать в российском законодательстве, чтобы снизить ущерб от киберпреступности?
– Мы разработали целый ряд предложений по разным направлениям, включая изменения в законодательство, которые в настоящее время обсуждаются на разных уровнях. Они направлены в первую очередь на повышение эффективности противодействия киберпреступности.

– Если говорить о конкретных цифрах, характеризующих результаты Сбербанка в области киберзащиты, что сейчас вы готовы озвучить?
– Простой Сбербанка в результате кибератак в 2017 году составил ноль минут. Было отражено более 40 DDoS-атак.

– В большинстве компаний один из главных вопросов сейчас – кадровый. Как вы решаете данную проблему в Сбербанке, есть ли уже эффект от сотрудничества с ведущими вузами?
– Безусловно, эффект есть. Один из успешных примеров сотрудничества – программа стажировки SBERLETO, в рамках которой лучшие студенты-участники, пройдя этапы отбора, имели возможность присоединиться к нашей команде и попробовать свои силы в рядах специалистов по кибербезопасности Сбербанка. Несколько студентов из ВШЭ, МГИМО, МИФИ мы планируем взять к себе на работу.

Конечно, мы будем продолжать сотрудничество с вузами, при этом мы четко понимаем, что изменения требуются в самой системе образования. Нужно найти способ устранить хотя бы проблемы, которые лежат на поверхности: ИT-специалистов не учат безопасности, будущих специалистов ИБ не учат ИT-технологиям, у преподавателей низкие зарплаты. Для нас специалист в области ИБ – это прежде всего эксперт в ИT.

Однако системные изменения проходят долго, а результат нужен уже сегодня. Поэтому Сбербанк принял решение создать Академию кибербезопасности. Концепция Академии кибербезопасности – привлечение к обсуждению актуальных вопросов кибербезопасности не только руководителей в области информационной безопасности, но и представителей ИТ-подразделений, владельцев бизнеса. В рамках этой активности в декабре в Корпоративном университете Сбербанка мы уже провели первый двухдневный семинар "Роль кибербезопасности в цифровой организации". В будущем мы планируем рассматривать в Академии новейшие практики, расширяющиее "классическую" информационную безопасность, дополняя ее до актуальной сегодня кибербезопасности – в первую очередь вопросы операционной безопасности эксплуатации и развития информационных систем, трансформации культуры организации и внедрения новейших технологий обеспечения безопасности. Это позволит повысить общий уровень осведомленности о кибербезопасности и учитывать факторы кибербезопасности во всех аспектах управления и развития бизнеса цифровой компании.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2017

Приобрести этот номер или подписаться

Статьи про теме