Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Финцерт БР РФ

200 views

Published on

security

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Финцерт БР РФ

  1. 1. О работе Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления безопасности и защиты информации Банка России
  2. 2. Основная цель ФинЦЕРТ: 2 • Организация и координация обмена информацией между ФинЦЕРТ и правоохранительными органами, кредитными и некредитными финансовыми организациями • Анализ данных о компьютерных атаках в кредитных и некредитных финансовых организациях и подготовка аналитических материалов • Проведение компьютерных исследований (форензика) • Повышение осведомленности населения Российской Федерации в части информационной безопасности и кибергигиены создание центра компетенции в рамках информационного взаимодействия между Банком России, разработчиками антивирусного ПО, операторами связи, банками и другими организациями • Информирование кредитных организаций и реагирование на инциденты
  3. 3. 270 276 278 275 282 287 292 316 336 348 358 359 383 396 418 0 50 100 150 200 250 300 350 400 450 06.16 07.16 08.16 09.16 10.16 11.16 12.16 01.17 02.17 03.17 04.17 05.17 06.17 07.17 08.17 Взаимодействие и реагирование 3 Заметный рост количества участников – кредитных организаций наблюдался в январе – феврале 2017 г., после серии рассылок злоумышленниками загрузчиков Cobalt Strike в адрес кредитных организаций.
  4. 4. 4 Участники информационного обмена: 418 Кредитные организации Иные организации 418- кредитные организации 41- некредитные финансовые организации 26- небанковские кредитные организации 7- разработчики информационных систем 4- операторы связи 3- антивирусные компании 4- правоохранительные органы 23 - иные организации ВСЕГО 526
  5. 5. Взаимодействие и реагирование 5 июн.16 15 июл.16 26 авг.16 19 сен.16 23 окт.16 11 ноя.16 18 дек.16 20 янв.17 9 фев.17 10 мар.17 12 апр.17 8 май.17 9 июн.17 11 июл.17 9 авг.17 11 Оповещение участников информационного обмена 211 Среднее время реагирования на инциденты и подготовка бюллетеня 40-90 минут
  6. 6. Взаимодействие и реагирование 6 53 факта атак типа «Отказ в обслуживании» (DDoS) 71 целевая атака (были обнаружены признаки, позволяющие объединить несколько фишинговых кампаний в рамках одной выделенной целевой атаки или предположить, что атака организована одной группой) 407 нецелевых атак (массовая рассылка ВПО или ссылок на загрузку ВПО; признаки, позволяющие классифицировать атаку как целевую, отсутствовали Динамика основных типов атак 19 36 68 60 74 106 44 6 4 4 4 10 29 14 4 2 5 20 8 12 2 0 20 40 60 80 100 120 I кв. 2016 II кв. 2016 III кв. 2016 IV кв. 2016 I кв. 2017 II кв. 2017 III кв. 2017 Нецелевые атаки (рассылка ВПО, без объединения по общему признаку) Целевые атаки (рассылка ВПО, имеются общие признаки либо четко выраженная цель атаки) DDoS-атаки
  7. 7. Взаимодействие и реагирование 7 ФинЦЕРТ как уполномоченная организация уведомляет регистраторов доменных имен о доменах, с которых рассылается вредоносный код и осуществляются мошеннические действия, связанные с использованием платежных карт. 44 23 3 1 28 2 24 19 29 7 16 1 84 2 45 39 0 10 20 30 40 50 60 70 80 90 2017 год
  8. 8. 8 В течение рабочего дня осуществляют мониторинг СМИ, блогов, социальных сетей и аналогичных ресурсов сети Интернет на наличие публикаций, способствующих информационным атакам направленных на репутацию Банка России и организаций кредитно-финансовой сферы, а также утечки методик раскрытия преступлений в кредитно-финансовой сфере. В настоящее время ФинЦЕРТ набирает информационную базу с целью создания классификации информационных атак. Мониторинг сети Интернет и социальных сетей
  9. 9. Технический анализ 9 исследований электронных носителей информации исследования аппаратных средств, предназначенных для скрытного хищения платежной информации судебных экспертиз электронных носителей информации, мобильных устройств и поддельных платежных карт (порядка 350 шт.) ФинЦЕРТ провел по запросу правоохранительных органов: 6 3 6
  10. 10. 10  Подготовил и опубликовал на официальном сайте Банка России «Обзор о несанкционированных переводах денежных средств за 2016 год»  Участвует в разработке вики-каталога «Осторожно, мошенники»  Совместно с Департаментом по связям с общественностью разработал регламент, в соответствии с которым ФинЦЕРТ готовит и публикует информационные материалы о кибератках на официальном сайте Банка России  Участвует в проекте по разработке обучающих семинаров для людей пенсионного возраста (совместно с другими подразделениями Банка России и компанией «Баба-деда»)  Участвует в разработке учебных программ для студентов ВУЗов, школьников  Разработал материалы семинаров для сотрудников правоохранительных органов В рамках направления «Финансовое просвещение» ФинЦЕРТ:  Работает с обращениями граждан граждан. За отчетный период в ФинЦЕРТ из Общероссийского центра Банка России по обработке обращений поступило на рассмотрение 97 обращений
  11. 11. 11 Cobalt Strike Cпециализированное коммерческое ПО для проведения тестирований на проникновение («пентестов»), которое расширяет возможности известного программного обеспечения Metasploit и позволяет скачивать бесплатную полнофункциональную демо-версию без дополнительных проверок личностей и предполагаемых целей скачивающего. Хорошая организованность атакующих Выверенная социальная инженерия Легко превратить демо- в полнофункциональную версию В некоторых случаях эффективность «пробива» - 100%
  12. 12. 12 Cobalt Strike: схема преступной группы Организатор
  13. 13. 13 Cobalt Strike ЛВС без доступа в Интернет «Ведомый» узел (зараженная АРМ) Сегмент ЛВС с доступом до АТМ «Ведомый» узел (зараженная АРМ) Зараженная АРМ с выходом в Интернет «Ведущий» узел («Beacon») Организация Удаленный доступ к устройствам самообслуживания Командный сервер Cobalt Strike HTTPS (TCP:443) SMB (pipe) SMB(pipe) ЛВС без доступа в Интернет «Ведомый» узел (зараженная АРМ) «Ведомый» узел (зараженная АРМ) Зараженная АРМ с выходом в Интернет «Ведущий» узел («Beacon») Организация Командный сервер Cobalt Strike HTTPS (TCP:443) SMB (pipe) SMB(pipe) Сегмент ЛВС с доступом к серверу процессинга Обналичивание денежных средств с использованием банкоматов разных КО Контроль «своих» карт 1. Заявки на выдачу карт дропам; 2. Исправление лимитов и балансов «своих» карт после их выдачи Схема атаки на банкоматыСхема атаки на процессинг
  14. 14. 14 Cobalt Strike: схема атаки на кредитную организацию Обналичивание денежных средств Фишинговое письмо в организацию Заражение АРМ, на которой было открыто письмо (АРМ должна иметь доступ в Интернет) («ведущий» узел) Поиск злоумышленниками сервера AD И хищение учетных записей администратора Сегмент ЛВС с прямым доступом в сеть Интернет Сегмент ЛВС без прямымого доступа в сеть Интернет Выстраивание сети из «ведомых» узлов, не имеющих прямого доступа в Интернет Исследование злоумышленниками инфраструктуры организации, определение целей атаки Получение доступа к интересующему серверу
  15. 15. Динамика несанкционированных операций 15 Цель Банка России – удержать показатели доли несанкционированных операций ниже уровня 0,0050% Доля несанкционированных операций в общем объеме операций Доля несанкционированных операций в общем количестве операций Доля несанкционированных операций с использованием платежных карт в разрезе их объема и количества 2015 2016 0,0020% 0,0028% 0,0021% 0,0016%
  16. 16. Спасибо! 16 +7 495 772-70-90 info_fincert@cbr.ru

×