Рабочий день сотрудника кредитного отдела небольшого банка в июле 2018 года начинался как обычно: поток писем от потенциальных заемщиков с затребованными для андеррайтинга документами — фотографии, тексты, таблицы. Каждый открыть, просмотреть, что-то распечатать, внести данные в АБС. Единственным разнообразием стал внезапный отказ принтера при попытке распечатать экселевский файл от какого-то смутно знакомого клиента из письма с пометкой «Срочно!».

В это же время где-то в Европе один молодой человек облегченно вздохнул. Троян, замаскированный под XLS-файл и отправленный с поддельного почтового адреса в банк, полностью выполнил свою работу. После перехвата пароля администратора домена обычной утилитой из состава Metasploit был получен полный доступ к контроллеру домена и установлено средство удаленного управления, которое маскировало свою работу под штатное взаимодействие с сервером Microsoft. Через несколько минут троян удалил себя из памяти компьютера в кредитном отделе и сеть банка оказалась под полным контролем злоумышленника. А через пару дней исследований ИТ-инфраструктуры мошенник вычислил рабочее место системы межбанковских переводов, написал свой код, который встраивался в программное обеспечение для осуществления платежей и осуществлял подмену реквизитов получателя до подписания документа электронной подписью. Итак, заложив эту мину, злоумышленнику оставалось только ждать…

Это не сценарий очередного сериала. «После затишья более чем в полгода совершена успешная хакерская атака на банк — ПИР-банк лишился более 58 млн рублей с корсчета в Банке России», — писали в газете «Коммерсантъ» в июле 2018 года. К сожалению, это практически дословное описание методов проникновения и хищения средств, публикуемых в отчетах специализированных организаций.

Так, в обзоре основных типов компьютерных атак 2018 года, сделанном ФинЦЕРТ ЦБ РФ, приводятся следующие данные:

• если в начале года было отмечено 93 атаки на организации кредитно-финансовой сферы, то к его концу — уже более 395;
• зафиксировано 317 случаев массовой рассылки вредоносного программного обеспечения, при этом в 84% случаев применялась подмена адреса отправителя.

Для успешного противодействия не только подобного рода атакам, но и действиям злоумышленников в целом недостаточно наличия работающих средств защиты. Как показывает современная практика и анализ векторов реальных атак, для их выявления и пресечения на ранних стадиях необходимо собирать и анализировать данные как можно с большего количества источников событий, находящихся как внутри, так и на периметре организации. И для этого подходит SOC.

По нашему опыту внедрения и оказания услуг SOC, построение полнофункционального SOC занимает полтора-два года. При создании SOC'а самостоятельно организация в любом случае столкнется с проблемой отсутствия на рынке в достаточном количестве квалифицированных аналитиков и технических специалистов, обслуживающих решения данного класса. Необходимость работы в круглосуточном режиме приведет к существенному увеличению штата подразделения ИБ за счет необходимости организации сменной работы. По нашим оценкам, затраты только на содержание персонала небольшого SOC с режимом работы 24/7 могут составить более 30 млн рублей в год, при этом капитальные затраты на построение технической инфраструктуры слабо поддаются оценке с учетом требований по срокам хранения данных. С другой стороны, в случае использования внешних, аутсорсинговых сервисов необходимо четко соблюдать баланс в части цены и сервиса получаемых результатов, так как с определенного момента итоговая стоимость затрат на внешний SOC может превысить стоимость создания своей собственной инфраструктуры.

В данной ситуации мы могли бы порекомендовать следующие подходы к реализации этой задачи. Для небольших и средних организаций затраты на создание своего SOC бессмысленны, им имеет смысл использовать внешний SOC. Благо годовая стоимость обслуживания в этом случае будет однозначно выгоднее. Средним и крупным организациям стоит посмотреть в сторону гибридной модели, когда требуемый функционал частично оказывается на технических средствах и инфраструктуре заказчика внешним провайдером, при этом параллельно ведется построение своей полнофункциональной инфраструктуры и набор соответствующих знаний и компетенций.

Текст: Иван Мелехин, директор по развитию компании «Информзащита»

На правах рекламы