Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
InfoWatch. Рустем Хайретдинов "Защита интернет-банка - от разработки до транзакций"
1. 1
Защита интернет-банка –
от разработки до транзакций
Рустем Хайретдинов,
Заместитель генерального директора,
АО Инфовотч
2. 22
Современные тренды
Увеличение
технологических
возможностей атак с
развитием ИТ
Развитие
организованного
киберкриминала
Бурное развитие
сложных
корпоративных
систем
Высокий уровень
кастомизации
приложений
Быстрое
изменение ИТ и
отставание средств
защиты
Нехватка
квалифицированных
кадров
Новые изощренные подходы к реализации атак –
таргетированные атаки –
привели к потерям компаний по всему миру
общей суммой в $27 млрд
3. 33
Специфика бизнес-
приложений
Разработчики и администраторы –
соучастники атак
Атаки не предотвращаются, а отражаются в ручном
режиме, когда мало что можно изменить
Приложение проектируется, кодируется и внедряется без
учёта требований информационной безопасности
Безопасники подключаются на этапе тестирования, когда
исправлять приложение очень дорого или невозможно
Малейшее изменение системы требует перенастройки
средств безопасности
Большое количество ложных срабатываний приводит к
тому, что защита переводится в пассивный режим
8. 8
О Банке
• Банк «Югра» является одним из крупнейших
российских банков, на сегодняшний день занимает
33 позицию по сумме чистых активов и 21 позицию по
объему капитала в рейтинге крупнейших
отечественных кредитных организаций.
• По всей России работает более 80 офисов
банка. Широкая филиальная сеть позволяет клиентам
комфортно вести бизнес из любого региона.
• Штат банка превышает 1500 работников по всей
стране.
9. 9
Интернет Банк
В 2014 году банком было принято
решение разработать новый интернет-
банк для розничных клиентов банка
(физических лиц).
В данном проекте принимались
участие как ИТ и ИБ службы, так и
основные представители со стороны
бизнес подразделений.
Проект был непростым и требовал
максимальной проработки всех
деталей.
10. 10
ИБ – наш главный приоритет
Банк безусловно гордится тем, что даже в
такое сложное время не сокращает
персонал, однако вместе с тем необходимо
было выбрать качественное решение
закрывающее вопросы ИБ по данному
проекту.
Так как ИБ – один из важнейших приоритетов
Банка мы смотрели сразу несколько
векторов защиты:
• Прорабатывали варианты защиты от
DDoS-атак;
• Анализировали код с помощью InfoWatch
Appercut;
• Анализировали рынок WAF решений;
• Работали по нескольким пилотным
проектам по защите от таргетированных
атак (anti-APT).
11. 11
Запросы клиента – важнее всего
Мы были готовы к сложному и длительному
проекту – спланировали выделение ресурсов
по нему, однако это не потребовалось:
Защита от DDoS Qrator – 15 минут времени на
регистрацию и 15 минут на корректировку IP;
WAF Wallarm – 2 клика в личном кабинете;
InfoWatch Appercut – проект уже реализован в
Банке;
InfoWatch TAD Detector – 2 часа времени со
стороны ИБ, 3 часа со стороны инженера IW, 2
часа со стороны ИТ-администора.
12. 12
Продукты работают
В течении первых суток работы с
Wallarm мы смогли найти одну
неприятную уязвимость на сайте,
которая возникла после последнего
обновления и благодаря полученным
рекомендациям закрыть ее за
несколько часов.
Теперь мы получаем ежедневные и
еженедельные управленческие отчеты
по атакам на сайт, сканированиях на
уязвимости и потенциальных угрозах
на серверах и рабочих станциях в
периметре банка. Пожалуй, чтение
отчетов и осталось самой большой
нагрузкой по данному проекту.
13. 13
Перспективы
Банк доволен результатами
сотрудничества по данному
комплексу продуктов и
будет помогать
совершенствовать его в
меру своих возможностей.
Мы рады стать первым
Банком, который заключил
договор на данный
продукт.
15. 1515
Единый веб-
интерфейс
• Управление всеми модулями через единый веб-интерфейс
• Наглядная визуализация инцидентов
• Не требует специализированных знаний для интерпретации
отчётов
Наглядные и детализированные отчеты о зафиксированных
атаках, найденных уязвимостях, попытках их эксплуатации,
аномальной активности приложений и DDoS-атаках, а также
рекомендации по устранению
16. 1616
Почему Attack KIller?
• Единственное в мире решение,
реализующее многоуровневый
подход к обнаружению и защите от
таргетированных атак
• Союз лучших в своем классе
Комплексное решение представляет
синергию 4 технологий, лидирующих
в своих продуктовых нишах
• Удобное управление через
единый веб-интерфейс
17. 1717
• Помогает выполнять требования регуляторов
Приказ ФСТЭК России №21 и №17, ФЗ-№152, PCI DSS, СТО
БР, НДВ4, SDL
• Простое автоматизированное решение
Не требует дополнительных ресурсов на обслуживание и
поддержку
• Решение-конструктор
Позволяет использовать каждый модуль по отдельности, в
любых сочетаниях, а также быстро расширить используемый
комплекс до полного комплекта
Почему Attack KIller?
комплексное решение InfoWatch Attack Killer, который состоит из 4 модулей
InfoWatch Attack Killer AntiDDoS – для защиты от DDoS-атак;
InfoWatch Attack Killer WAF – для защиты веб-приложений от хакерских атак с использованием известных и неизвестных уязвимостей;
InfoWatch Attack Killer Custom Code Scanner (CCS) – для поиска уязвимостей приложений на основе анализа кода;
InfoWatch Attack Killer Targeted Attack Detector (TAD) - модуль обнаружения вредоносного программного обеспечения на рабочих станциях и серверах посредством статического и динамического анализа аномалий.
Статические сканеры исходного кода имеют бОльшую полноту нахождения уязвимостей в коде, динамические сканеры – точность. Совместное использование модулей InfoWatch Attack Killer CCS и WAF значительно повысит качество кода и надежность веб-приложения.
Схема работы интеграции
1. Выпуск обновлений для веб-приложения
2. Проверка статическом сканером
3. Выпуск кода в продакшн
4. Проверка динамическим сканером
5. Выпуск виртуальных патчей для закрытия уязвимостей
6. Автоматическая постановка задачи по исправлению кода с подробными рекомендациями и дальнейший контроль за исправлением
Статические сканеры исходного кода имеют бОльшую полноту нахождения уязвимостей в коде, динамические сканеры – точность. Совместное использование модулей InfoWatch Attack Killer CCS и WAF значительно повысит качество кода и надежность веб-приложения.
Схема работы интеграции
1. Выпуск обновлений для веб-приложения
2. Проверка статическом сканером
3. Выпуск кода в продакшн
4. Проверка динамическим сканером
5. Выпуск виртуальных патчей для закрытия уязвимостей
6. Автоматическая постановка задачи по исправлению кода с подробными рекомендациями и дальнейший контроль за исправлением
Модуль InfoWatch Attack Killer Targeted Attack Detector (TAD) предназначен для обнаружения таргетированных атак внутри компании. Самообучающаяся экспертная облачная система, контролируемая экспертами InfoWatch, проводит непрерывный мониторинг ИТ-инфраструктуры и анализирует полученные данные на наличие в ней аномальных активностей. Использование нескольких видов анализа позволяет обеспечить высокую точностью классификации аномалий. Решение поможет выявить вредоносное ПО, которое было внедрено в компанию до начала эксплуатации нашего решения
Модуль InfoWatch Attack Killer AntiDDoS работает на внешнем периметре сети и в непрерывном режиме защищает организацию от DDoS-атак. В отличие от других решений, представленных на рынке, модуль AntiDDoS не потребует дополнительных действий со стороны клиента в случае атаки.
Модуль InfoWatch Attack Killer WEB Application Firewall (WAF) работает на уровне защиты веб-инфраструктуры. Интеллектуальная система самостоятельно адаптируется к веб-приложению и автоматически меняет настройки в случае изменений. При совместном использовании модулей WAF и AntiDDoS клиент получает возможность блокировать попытки эксплуатации уязвимостей на уровне сети фильтрующих узлов, тем самым снижая нагрузку на приложение.
Интеграция модулей InfoWatch Attack Killer Custom Code Scanner (CCS) и InfoWatch Attack Killer WAF позволяет выявить из множества событий безопасности векторы атак, которые могут стать инцидентами. Выявленные методами статического и динамического анализа критичные уязвимости автоматически закрываются виртуальными патчами.
Конфигурация и управление всеми компонентами осуществляется через удобный единый веб-интерфейс. Клиент всегда может проверить состояние системы, получить детализированные отчеты о всех выявленных проблемах и угрозах. Для интерпретации отчетов не требуется специализированных знаний благодаря наглядной визуализации атак и подробным экспертным рекомендациям по устранению проблем.