Процесс обработки информации в FinCERT
Основные рекомендации для служб ИБ из отчета FinCERT
Продолжая тему отчетов от Центра
мониторинга и реагирования на компьютерные атаки ГУБиЗИ Банка России (FinCERT), рассмотрим рекомендации в области
обеспечения защиты информации при осуществлении переводов денежных средств,
изложенные в февральском отчете о деятельности FinCERT за период времени с 1 июня
2015 г. по 31 мая 2016 г.
(скачать отчет).
Опуская описание угроз, статистику, технические сведения из отчета
FinCERT, сосредоточимся только на мерах по
предотвращению и противодействию угрозам согласно типовым рекомендациям FinCERT. Эти рекомендации можно
использовать при написании, например, такого документа, как «дорожная карта» действий работников (порядок действий) по выявлению и реагированию
на инциденты информационной безопасности в организации.
Целенаправленные атаки, связанные с подменой входных данных для
АРМ КБР
Общие меры по противодействию атакам, связанным с подменой входных
данных для АРМ КБР
Напомню, что согласно Положению ЦБ РФ от
24.08.2016 № 552-П перед службами ИБ стоит задача разработки (а кто разработал
- реализации) Дорожной карты (Плана мероприятий) по мерам, изложенным в Положении
БР №552. Читая раздел ниже, отмечаем те моменты, которые надо отразить в Дорожной
карте (пункты 1 и 2 из дополнительных мер ниже – очевидные, 3 и 4 – надо подумать,
если не реализовано).
Дорожная карта (План мероприятий) по мерам защиты информации согласно Положению ЦБ РФ от 24.08.2016 №552-П
“О требованиях к защите ПС Банка России”
№
|
Мера обеспечения
защиты участка ПС БР
|
Способ реализации
|
Разъяснение
|
Подразделение, ответственное
за реализацию
|
Основная информация по
организации мер защиты АРМ КБР представлена в приложении 1 к Договору об обмене
электронными сообщениями при переводе денежных средств в рамках платежной
системы Банка России, а также в технической документации к АРМ КБР и СКЗИ СКАД
«Сигнатура».
В качестве
дополнительных мер защиты целесообразно выполнять следующие мероприятия:
1. Сегментирование
локальной вычислительной сети (выделение платежного сегмента в отдельный
сегмент с минимальными правами доступа и постоянным контролем их изменения);
2. Наличие холодного
резерва (вид резервирования, при котором резервные элементы не несут нагрузки
(отключены)) компьютера, на котором осуществляется подготовка XML-документа,
используемого для формирования электронного сообщения, направляемого в Банк
России, и АРМ КБР. Следует отметить, что при заражении самораспространяющимся
вредоносным ПО, используемым для осуществления атаки, связанной с подменой
входных данных для АРМ КБР, выполнение настоящего мероприятия является
временной мерой.
3. Проверка наличия
исходящего трафика на серверы центра управления ботнетом в соответствии с
данными об адресах, содержащихся в рассылках FinCERT. Подобная проверка может
осуществляться с применением:
- Систем
обнаружения/предотвращения вторжений (адреса таких серверов помечаются как
подозрительные);
- Граничного
маршрутизатора (при этом необходимо иметь список IP-адресов, обращение к которым
разрешено - белый список);
- Межсетевого экрана,
находящегося в демилитаризованной зоне, отслеживающего нетипичный трафик
(например, соединения по нетипичным портам).
4. Проверка журналов
сервера контроллера домена на наличие подозрительных/аномальных изменений
(добавление или удаление пользователей, изменение прав (повышение привилегий) и
т.д.).
Контроль
выполнения мероприятий 3 и 4 можно автоматизировать с помощью соответствующих
правил системы управления событиями информационной безопасности (SIEM) c
генерацией уведомления ответственным лицам при срабатывании правила.
Рассылки электронных сообщений, содержащих вредоносное ПО
Общие меры по противодействию
Меры по противодействию
подобного типа атакам, среди прочего, могут включать в себя:
1. Организационные
меры: проведение обучения работников организации по вопросам обеспечения
информационной безопасности (как минимум, рекомендации не открывать вложения в
письмах, пришедших из недоверенных источников, и письма, содержание которых не
относится к сфере деятельности работника), постоянный контроль знаний
работников (например, выборочные проверки в виде отправки службой
информационной безопасности фишингового электронного письма), а также
проведение иных мероприятий, направленных на повышение грамотности работников в
области информационной безопасности.
2. Технические меры на
компьютерах работников: установка запрета на использование учетных записей с
расширенными правами доступа, если это не входит в круг должностных
обязанностей работника; установка запрета для работника на управление средствами
антивирусной защиты; контроль и обязательная проверка подключаемых носителей
информации средствами антивирусной защиты, а также своевременное обновление
антивирусных баз и сигнатур хостовых систем обнаружения вторжений.
3. Технические меры на
почтовых серверах: использование проверки SPF записи (при наличии технической
возможности), использование почтовых средств антивирусной защиты, использование
спам-листов. При подозрении на вложение, содержащее вредоносное ПО,
целесообразно изъятие указанного вложения из электронного письма и перемещение
его в «карантин». При этом, доставляя электронное письмо до конечного
пользователя, необходимо информировать его об изъятии подозрительного вложения.
В случае необходимости восстановления (разблокировки) вложения рекомендовать
обращаться в подразделение, отвечающее за обеспечение информационной
безопасности в организации.
Атаки,
направленные на устройства самообслуживания
Общие меры
по противодействию атакам, направленным на банкоматы
Основные рекомендации по противодействию
подобного типа атакам приведены в таблице 1.
№
|
Мера противодействия
|
Разъяснение
|
1
|
Смена
пароля BIOS
|
Смена
пароля для входа в BIOS с предустановленного производителем
|
2
|
Уточнить
возможность установки двухфакторной аутентификации для входа в BIOS.
|
Свяжитесь
с производителем банкомата для выяснения подобной возможности, при
необходимости обновите BIOS
|
3
|
Установка
сигнализации на открытие верхнего кабинета банкомата, использование
уникальных ключей для сервис-блоков, установка дополнительных замков,
затрудняющих вскрытие банкомата
|
-
|
4
|
Активировать
технологию Intel AMT
|
Активация
технологии позволит управлять изменениями паролей BIOS, контролировать вход в
BIOS
|
5
|
Обновить
ПО банкомата
|
Следует
отслеживать, чтобы ПО банкомата было в актуальном состоянии
|
6
|
Установка
защищенного протокола обмена
|
Проверить,
что используются протоколы SPEAR / FMPP для обмена командами с диспенсером,
установить максимальный уровень безопасности
|
7
|
Обновить
BIOS
|
Обновить
BIOS до версии, в которой поддерживается двухфакторная аутентификация, после
чего активировать ее
|
8
|
Убедиться
(по возможности), что используются последние версии протоколов
|
Убедиться,
что используется протокол версии SPEAR II при использовании SPEAR
|
9
|
Установка
специализированного ПО для мониторинга состояния банкомата, в т.ч. и для
отслеживания вскрытия верхнего кабинета и(или) несанкционированного
отключения питания, ПО контроля целостности
|
-
|
Таблица 1 – Основные меры противодействия атакам,
направленным на банкоматы
Общие меры по противодействию атакам, направленным
на POS-терминалы
Основные меры
противодействия атакам, направленным на POS-терминалы, приведены в таблице 2
№
|
Мера противодействия
|
Разъяснение
|
1
|
Проверка
исходящего трафика на соединение с командными сервером
|
Рекомендуется
внести соответствующие сигнатуры для систем IDS/IPS, содержащие адреса
командных серверов
|
2
|
Контроль
за внедрениями в системные процессы (может обеспечиваться антивирусным ПО)
|
При
заражении происходит внедрение кода вредоносного ПО в системные процессы
|
3
|
Контроль
за созданием подозрительных файлов
|
Рекомендуется
контролировать создание файлов, и при необходимости, принимать меры к их удалению.
Ввиду факта возможного затруднения в обнаружении подозрительных файлов –
рекомендуется обращать внимание на записи в логах о соединениях с командными
серверами и осуществлять поиск файлов, которые были созданы после первого
соединения с командным сервером
|
4
|
Контроль
актуальности антивирусных баз
|
Рекомендуется
контролировать актуальность антивирусных баз на хостах, подключенных к
POS-устройствам
|
Таблица 2 – Основные меры противодействия атакам,
направленным на POS-терминалы
DDoS-атаки
Общие меры по противодействию DDoS-атакам
Для минимизации риска
реализации подобного типа атак рекомендуется выполнять следующие мероприятия:
- Определение
показателей использования сети (типы трафика и его объём), характерных для
организации. Отклонение показателей от характерных значений может свидетельствовать
о начале атаки.
- Формирование
«дорожной карты» действий работников организации в случае выявления DDoS-атаки.
- Апробация
разработанной «дорожной карты» действий работников организации в случае
выявления DDoS-атаки и ее доработка по результатам апробации.
- Использование
принципа «запрещено все, что не разрешено явно» при настройке сетевого
оборудования.
Reversal-атаки
Атака
связана с особенностью обработки сообщений об отмене авторизации переводов
денежных средств процессинговым центром. В большинстве случаев, процессинговые
центры не проверяют подлинность подобного запроса, в связи с отсутствием
контроля ряда полей указанной операции.
Общие меры по
противодействию reversal-атакам
Для минимизации риска
реализации подобного типа атак рекомендуется выполнять следующие мероприятия:
- Контроль доступа и
предоставления прав доступа к системам, с использованием которых осуществляется
передача платежных сообщений.
- Контроль соблюдения
порядка формирования, удостоверения, передачи операционному центру платежной
системы электронных сообщений.
- Контроль доступа
работников к проведению операций reversal.
- Сверка реквизитов
операции отмены и исходной операции, в частности, следующих полей электронных
сообщений: идентификатор эквайрера, идентификатор транзакции, Retrieval
Reference Number (RRN), AIR – код авторизации.
- Контроль нетипичных
операций reversal, а также аномальных изменений расходного лимита.
- Мониторинг нештатного
функционирования объектов инфраструктуры.
- Своевременная
установка обновлений ПО процессинговых центров.
Комментариев нет:
Отправить комментарий