воскресенье, 19 марта 2017 г.

Бери и делай (меры по противодействию угрозам из Отчета FinCERT)


Процесс обработки информации в FinCERT

Основные рекомендации для служб ИБ из отчета FinCERT
Продолжая тему отчетов от Центра мониторинга и реагирования на компьютерные атаки ГУБиЗИ Банка России (FinCERT), рассмотрим рекомендации в области обеспечения защиты информации при осуществлении переводов денежных средств, изложенные в февральском отчете о деятельности FinCERT за период времени с 1 июня 2015 г. по 31 мая 2016 г. (скачать отчет).
Опуская описание угроз, статистику, технические сведения из отчета FinCERT, сосредоточимся только на мерах по предотвращению и противодействию угрозам согласно типовым рекомендациям FinCERT. Эти рекомендации можно использовать при написании, например, такого документа, как «дорожная карта» действий работников (порядок действий) по выявлению и реагированию на инциденты информационной безопасности в организации.
Целенаправленные атаки, связанные с подменой входных данных для АРМ КБР
Общие меры по противодействию атакам, связанным с подменой входных данных для АРМ КБР
Напомню, что согласно Положению ЦБ РФ от 24.08.2016 № 552-П перед службами ИБ стоит задача разработки (а кто разработал - реализации) Дорожной карты (Плана мероприятий) по мерам, изложенным в Положении БР №552. Читая раздел ниже, отмечаем те моменты, которые надо отразить в Дорожной карте (пункты 1 и 2 из дополнительных мер ниже – очевидные, 3 и 4 – надо подумать, если не реализовано).
Дорожная карта (План мероприятий) по мерам защиты информации согласно Положению ЦБ РФ от 24.08.2016 №552-П “О требованиях к защите ПС Банка России”
Мера обеспечения защиты участка ПС БР
Способ реализации
Разъяснение
Подразделение, ответственное за реализацию






Основная информация по организации мер защиты АРМ КБР представлена в приложении 1 к Договору об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России, а также в технической документации к АРМ КБР и СКЗИ СКАД «Сигнатура».
В качестве дополнительных мер защиты целесообразно выполнять следующие мероприятия:
1. Сегментирование локальной вычислительной сети (выделение платежного сегмента в отдельный сегмент с минимальными правами доступа и постоянным контролем их изменения);
2. Наличие холодного резерва (вид резервирования, при котором резервные элементы не несут нагрузки (отключены)) компьютера, на котором осуществляется подготовка XML-документа, используемого для формирования электронного сообщения, направляемого в Банк России, и АРМ КБР. Следует отметить, что при заражении самораспространяющимся вредоносным ПО, используемым для осуществления атаки, связанной с подменой входных данных для АРМ КБР, выполнение настоящего мероприятия является временной мерой.
3. Проверка наличия исходящего трафика на серверы центра управления ботнетом в соответствии с данными об адресах, содержащихся в рассылках FinCERT. Подобная проверка может осуществляться с применением:
- Систем обнаружения/предотвращения вторжений (адреса таких серверов помечаются как подозрительные);
- Граничного маршрутизатора (при этом необходимо иметь список IP-адресов, обращение к которым разрешено - белый список);
- Межсетевого экрана, находящегося в демилитаризованной зоне, отслеживающего нетипичный трафик (например, соединения по нетипичным портам).
4. Проверка журналов сервера контроллера домена на наличие подозрительных/аномальных изменений (добавление или удаление пользователей, изменение прав (повышение привилегий) и т.д.).
Контроль выполнения мероприятий 3 и 4 можно автоматизировать с помощью соответствующих правил системы управления событиями информационной безопасности (SIEM) c генерацией уведомления ответственным лицам при срабатывании правила.
Рассылки электронных сообщений, содержащих вредоносное ПО
Общие меры по противодействию
Меры по противодействию подобного типа атакам, среди прочего, могут включать в себя:
1. Организационные меры: проведение обучения работников организации по вопросам обеспечения информационной безопасности (как минимум, рекомендации не открывать вложения в письмах, пришедших из недоверенных источников, и письма, содержание которых не относится к сфере деятельности работника), постоянный контроль знаний работников (например, выборочные проверки в виде отправки службой информационной безопасности фишингового электронного письма), а также проведение иных мероприятий, направленных на повышение грамотности работников в области информационной безопасности.
2. Технические меры на компьютерах работников: установка запрета на использование учетных записей с расширенными правами доступа, если это не входит в круг должностных обязанностей работника; установка запрета для работника на управление средствами антивирусной защиты; контроль и обязательная проверка подключаемых носителей информации средствами антивирусной защиты, а также своевременное обновление антивирусных баз и сигнатур хостовых систем обнаружения вторжений.
3. Технические меры на почтовых серверах: использование проверки SPF записи (при наличии технической возможности), использование почтовых средств антивирусной защиты, использование спам-листов. При подозрении на вложение, содержащее вредоносное ПО, целесообразно изъятие указанного вложения из электронного письма и перемещение его в «карантин». При этом, доставляя электронное письмо до конечного пользователя, необходимо информировать его об изъятии подозрительного вложения. В случае необходимости восстановления (разблокировки) вложения рекомендовать обращаться в подразделение, отвечающее за обеспечение информационной безопасности в организации.
Атаки, направленные на устройства самообслуживания
Общие меры по противодействию атакам, направленным на банкоматы
Основные рекомендации по противодействию подобного типа атакам приведены в таблице 1.
Мера противодействия
Разъяснение
1
Смена пароля BIOS
Смена пароля для входа в BIOS с предустановленного производителем
2
Уточнить возможность установки двухфакторной аутентификации для входа в BIOS.
Свяжитесь с производителем банкомата для выяснения подобной возможности, при необходимости обновите BIOS
3
Установка сигнализации на открытие верхнего кабинета банкомата, использование уникальных ключей для сервис-блоков, установка дополнительных замков, затрудняющих вскрытие банкомата
-
4
Активировать технологию Intel AMT
Активация технологии позволит управлять изменениями паролей BIOS, контролировать вход в BIOS
5
Обновить ПО банкомата
Следует отслеживать, чтобы ПО банкомата было в актуальном состоянии
6
Установка защищенного протокола обмена
Проверить, что используются протоколы SPEAR / FMPP для обмена командами с диспенсером, установить максимальный уровень безопасности
7
Обновить BIOS
Обновить BIOS до версии, в которой поддерживается двухфакторная аутентификация, после чего активировать ее
8
Убедиться (по возможности), что используются последние версии протоколов
Убедиться, что используется протокол версии SPEAR II при использовании SPEAR
9
Установка специализированного ПО для мониторинга состояния банкомата, в т.ч. и для отслеживания вскрытия верхнего кабинета и(или) несанкционированного отключения питания, ПО контроля целостности
-
Таблица 1 – Основные меры противодействия атакам, направленным на банкоматы
Общие меры по противодействию атакам, направленным на POS-терминалы
Основные меры противодействия атакам, направленным на POS-терминалы, приведены в таблице 2
Мера противодействия
Разъяснение
1
Проверка исходящего трафика на соединение с командными сервером
Рекомендуется внести соответствующие сигнатуры для систем IDS/IPS, содержащие адреса командных серверов
2
Контроль за внедрениями в системные процессы (может обеспечиваться антивирусным ПО)
При заражении происходит внедрение кода вредоносного ПО в системные процессы
3
Контроль за созданием подозрительных файлов
Рекомендуется контролировать создание файлов, и при необходимости, принимать меры к их удалению. Ввиду факта возможного затруднения в обнаружении подозрительных файлов – рекомендуется обращать внимание на записи в логах о соединениях с командными серверами и осуществлять поиск файлов, которые были созданы после первого соединения с командным сервером
4
Контроль актуальности антивирусных баз
Рекомендуется контролировать актуальность антивирусных баз на хостах, подключенных к POS-устройствам
Таблица 2 – Основные меры противодействия атакам, направленным на POS-терминалы
 DDoS-атаки
Общие меры по противодействию DDoS-атакам
Для минимизации риска реализации подобного типа атак рекомендуется выполнять следующие мероприятия:
- Определение показателей использования сети (типы трафика и его объём), характерных для организации. Отклонение показателей от характерных значений может свидетельствовать о начале атаки.
- Формирование «дорожной карты» действий работников организации в случае выявления DDoS-атаки.
- Апробация разработанной «дорожной карты» действий работников организации в случае выявления DDoS-атаки и ее доработка по результатам апробации.
- Использование принципа «запрещено все, что не разрешено явно» при настройке сетевого оборудования.
 Reversal-атаки
Атака связана с особенностью обработки сообщений об отмене авторизации переводов денежных средств процессинговым центром. В большинстве случаев, процессинговые центры не проверяют подлинность подобного запроса, в связи с отсутствием контроля ряда полей указанной операции.
Общие меры по противодействию reversal-атакам
Для минимизации риска реализации подобного типа атак рекомендуется выполнять следующие мероприятия:
- Контроль доступа и предоставления прав доступа к системам, с использованием которых осуществляется передача платежных сообщений.
- Контроль соблюдения порядка формирования, удостоверения, передачи операционному центру платежной системы электронных сообщений.
- Контроль доступа работников к проведению операций reversal.
- Сверка реквизитов операции отмены и исходной операции, в частности, следующих полей электронных сообщений: идентификатор эквайрера, идентификатор транзакции, Retrieval Reference Number (RRN), AIR – код авторизации.
- Контроль нетипичных операций reversal, а также аномальных изменений расходного лимита.
- Мониторинг нештатного функционирования объектов инфраструктуры.
- Своевременная установка обновлений ПО процессинговых центров.

Комментариев нет:

Отправить комментарий