Журнал ПЛАС » Архив » 2017 » ЖУРНАЛ ПЛАС №8 »

Aruba, a Hewlett Packard Enterprise: многие отдают предпочтение удобству, пренебрегая безопасностью

Как развитие мобильных технологий и Интернета вещей влияет на безопасность корпоративных сетей в банках? Эти и другие темы журнал «ПЛАС» обсуждает в беседе с Ричардом Лидбетером (Richard Leadbetter), руководителем направления систем безопасности Aruba, a Hewlett Packard Enterprise EMEA.

Aruba, a Hewlett Packard Enterprise: многие отдают предпочтение удобству, пренебрегая безопасностью

ПЛАС: Насколько развитие digital banking и повсеместный переход на цифровые каналы коррелируют с повышением рисков мошенничества, появлением новых угроз
безопасности и ростом потерь от фрода? Назовите ключевые причины, по которым, на ваш взгляд, сегодня стоит уделять особое внимание сетевой безопасности в банках. На что конкретно стоит обращать внимание и в каких случаях? Как банки в меняющихся условиях должны противостоять новым угрозам?

Р. Лидбетер:Конечно же, люди беспокоятся о рисках, связанных с digital banking, будь то мобильные приложения или что-либо другое. Пользователи слышат страшные истории о киберпреступниках с портативными сканерами, которые якобы проводят бесконтактные платежи без авторизации. Однако, на мой взгляд, самая большая угроза находится внутри самой организации. Преступная группировка может, например, развернуть целый call-центр, чтобы добраться до сотрудников, обладающих доступом к конфиденциальной информации. Чтобы проникнуть в сеть банка, злоумышленники часто рассылают сотрудникам компании по электронной почте вредоносные фишинговые письма или создают фишинговые сайты, которые выглядят в точности как банковские, но при этом содержат вредоносный код. При этом, по данным отчета Cost of Cyber Crime от Ponemon Institute за 2015 год, время между проникновением злоумышленников в сеть и их обнаружением в среднем составляет 243 дня – это тот период, в течение которого киберпреступники могут оставаться незамеченными.

≈243 дня время между проникновением злоумышленников в сеть и их обнаружением

Поэтому здесь важно, чтобы политика «нулевого доверия» (zero-trust policies) была реализована задолго до того, как злоумышленники смогут получить доступ к данным. Более того, должны использоваться определенные средства контроля, чтобы обнаружить внутреннюю атаку. Конечно, следует применять и «физические» средства контроля, в частности, очень тщательной должна быть проверка анкетных данных сотрудников.

ПЛАС:Начало 2017 года ознаменовалось публикацией версии 2.0 PCI (Card Production and Provisioning) на сайте Совета по стандартам безопасности данных индустрии платежных карт PCI SSC. При этом количество нововведений, относящихся к мобильным технологиям, свидетельствует о том, что Совет о них не забывает. Чем обусловлено такое внимание
Совета именно к данному сегменту?

Р. Лидбетер:Все очень просто – количество платежей, осуществляемых с использованием мобильных сервисов, растет огромными темпами. Мы движемся к «безналичному обществу» – и многие люди отдают предпочтение прежде всего удобству, в некоторых случаях даже пренебрегают безопасностью. Косвенно это также подтверждают, например, исследования от Markswebb Rank & Report – Mobile Banking Rank. Так, среди критериев внесения мобильного банковского приложения в рейтинг агентства значатся в первую очередь удовлетворение потребностей пользователя и удобство интерфейса, но никак не безопасность.

ПЛАС:Какова специфика рисков, связанных с мобильным банком, мобильными платежами и апплетами? Каковы наиболее актуальные сегодня угрозы? Какие меры предпринимают сегодня финансовые организации для повышения эффективности защиты своих мобильных сервисов? Чем в принципе определяется эффективность конкретных бизнес-кейсов?

41Р. Лидбетер: Наиболее очевидным риском является, пожалуй, вредоносное ПО на пользовательских устройствах. Тем не менее банки должны беспокоиться за свой собственный код разработки приложений – часто приложения используют функции из других, уже существующих приложений, в которых есть уязвимости. Следует быть полностью уверенным в источнике любого используемого кода. То же самое можно сказать о процессорах или прошивке, если организация также производит устройства для клиентов. Сегодня мобильные приложения для банков также уязвимы к атаке Man-in-the-Middle, при которой происходит перехват трафика от отправителя адресату.

Среди наиболее распространенных и вместе с тем эффективных методов защиты мобильных сервисов и их пользователей можно выделить наличие многофакторной аутентификации, а также регулярный выпуск обновлений для приложений с выявленными уязвимостями. Чтобы эффективно противостоять современным угрозам, нужно постоянно отслеживать появление новых вредоносных программ, которые злоумышленники создают специально для мобильных приложений, – это крайне важно в условиях растущего количества киберугроз.

41-2ПЛАС:Насколько безопасны с этой точки зрения сервисы Samsung Pay, Apple Pay, Android Pay? Могут ли рынок ждать здесь какие-либо сюрпризы, и если да, то какие?

Р. Лидбетер:Проблема в том, что любой желающий может добавить данные кредитной карты в Apple Pay. Поэтому вместо того чтобы изготавливать дубликат карты и обналичивать с ее помощью деньги, как это происходило раньше, теперь злоумышленники могут просто добавить украденный номер карты в Apple Pay и использовать его. И задача банков в таком случае – вовремя отследить подозрительные транзакции, чтобы успеть заблокировать карту.

Однако несомненное преимущество такого способа оплаты для пользователей, помимо очевидного удобства, в том, что безопасность данных банковской карты на порядок выше, в частности, они требуют подтверждения любой транзакции. Правда, все это ровно до тех пор, пока пользователь использует отпечатки пальцев или сложный ПИН-код для доступа к телефону. Кроме того, «помочь» киберпреступникам в осуществлении мошенничества можно, используя непроверенные точки Wi-Fi или переходя по сомнительным ссылкам в интернете – таким образом злоумышленники могут заразить вредоносом устройство пользователя.

Чтобы остановить DDoS-атаки, следует использовать специальные сервисы защиты от DDoS-атак. Но в конечном счете даже это может не защитить другие сервисы

ПЛАС: Какова ситуация с кадрами в области обеспечения безопасности? Достаточное ли количество специалистов по настройке и реагированию на результаты работы этих систем можно найти сегодня на рынке?

Р. Лидбетер:Сегодня во всех странах действительно не хватает специалистов по кибербезопасности, кроме того, существует слишком много киберугроз, с которыми они должны ежедневно бороться. Добавьте к этому тот факт, что в среднем компания может иметь в своем арсенале 30 или более продуктов для обеспечения безопасности, которые нужно контролировать, – ситуация просто катастрофическая! Однако некоторые вендоры, например, Aruba, признают эту проблему и стараются ее решить, выпуская такие продукты, как Aruba ClearPass. Подобные решения используют открытые API для создания единого контекста, получая информацию из многих источников, и на основе этого контекста автоматизируют ответ сети. Например, ClearPass может управлять доступом и авторизацией к сети. Но если продукт другого вендора обнаружит проблему с устройством (например, если оно было каким-то образом скомпрометировано), ClearPass может поручить сети поместить устройство на карантин. Кроме того, Aruba недавно запустила платформу на основе User and Entity Behavior Analytics (UEBA – системы поведенческого анализа. Новый тренд на рынке ИБ. UEBA обеспечает профилированные и выявленные аномалий в поведении пользователей или устройств) или поведенческой аналитики под названием IntroSpect, которая значительно сокращает время между внутренней атакой и ее обнаружением. Эта технология использует машинное обучение, чтобы отследить аномальное поведение, а затем определяет, является ли это поведение вредоносным. Добавьте к этому полный ретроспективный анализ произошедших событий – и нагрузка на персонал службы безопасности может быть значительно уменьшена.

ПЛАС:Как, на ваш взгляд, сегодня можно наиболее эффективным образом контролировать и защищать данные, хранящиеся в облачных сервисах?

Р. Лидбетер: Тема действительно актуальна, ведь рост популярности облачных сервисов у преступников напрямую связан с ростом их популярности у бизнеса – по одним только данным SAP и Forrester, объем рынка «облаков» в России к 2020 году составит 48 млрд руб. При этом количество атак на облачные сервисы по всему миру уже увеличилось на 300%! Об этом свидетельствуют данные отчета по угрозам информационной безопасности Microsoft за первый квартал 2017 года.

Банкинг вещей уже завоевывает мир, например, бразильский Bradesco позволяет привязать счет клиента к автомобилю

Первый шаг – нужно четко классифицировать данные надлежащим образом и применить политику «нулевого доверия», чтобы предоставить доступ к этим данным только определенным людям. Помочь в этом процессе могут службы HPE Pointnext, а также использование платформ Cloud Access Security Brokers (CASB), например, от Symantec (Blue Coat – Elastica) для обеспечения безопасного доступа к облачным ресурсам и предоставления отчетов о том, где данные были опубликованы. Поскольку у компании существует риск потерять данные, стоит позаботиться и о резервном копировании.

ПЛАС: Новые риски, связанные с развитием Интернета вещей, – какие мифы здесь наиболее распространены и какова реальность, включая DDoS-атаки на банки? Насколько масштабными могут быть атаки с использованием подключенных устройств IoT и что им можно противопоставить?

Р. Лидбетер:Такие инциденты действительно могут быть очень масштабными. Атака ботнета Mirai в 2016 году заставила тысячи IoT-устройств атаковать DNS-сервисы провайдера DYN, что привело к сбоям в работе многих крупнейших в мире веб-сайтов, включая Amazon, Twitter, PayPal и т. д. Вы легко можете убедиться в том, может ли ваше IoT-устройство подозреваться в таком характере поведения. Во-первых, нужно проанализировать устройства, чтобы понять их нормальное поведение, а затем использовать решение контроля доступа к сети (NAC), чтобы убедиться, что они имеют доступ только к тому, к чему они должны иметь доступ с помощью определенных служб. Также необходимо использовать данные поведенческой аналитики, чтобы отслеживать аномальное поведение. Чтобы остановить DDoS-атаки, следует использовать специальные сервисы защиты от DDoS-атак. Но в конечном счете даже это может не защитить другие сервисы, предоставляемые другими провайдерами, от атак, которые затем окажут влияние на вашу безопасность.

ПЛАС:Давайте проследуем от темы Internet of Things к теме Banking of Things (Банкингу вещей). Автомобиль с электронным кошельком, холодильник с кредитной линией и т. д. – все это новые субъекты экономической жизни, банковского и платежного рынка. Что можно сегодня сказать об их идеях, их особенностях потребительского и платежного поведения и, конечно же, новых рисках?

Р. Лидбетер: Банкинг вещей уже начинает завоевывать мир, например, бразильский банк Bradesco позволяет привязать счет клиента к автомобилю. Пользователи хотят удобства – теперь это основной тренд. И лишь от нас зависит, будем ли мы разрабатывать подобные устройства, с самого начала учитывая требования безопасности, которые, однако, в большинстве своем не входят в перечень пожеланий пользователей. Когда об этом уже будут говорить все – поздно начинать думать о безопасности!

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных