Банки на Standoff: испытание защищенности финансовой отрасли на киберполигоне
Учения на киберполигоне становятся жизненной необходимостью практически для любой современной компании, в которой выстроены базовые процессы информационной безопасности. Тысячи белых хакеров с различными навыками и инструментами на таких платформах помогают защитить бизнес от кибератак, находя уязвимости и исследуя возможности реализации недопустимых событий. На киберполигоне Standoff достоверные копии элементов инфраструктуры создаются на основе реальных решений, которые подразделения ИБ крупнейших компаний приносят на полигон, чтобы максимально отработать навыки и проверить свою защищенность. Расскажем, как это работает, на примере одной из важнейших отраслей нашего киберполигона — банковской.
Специфика атак
В силу ряда причин финансовая отрасль защищена от кибератак лучше прочих. Банки привлекательных объектов для злоумышленников. В связи с этим в банковском секторе особенно строго подходят к вопросам информационной безопасности, а в противостоянии с киберпреступниками у них накопился богатый опыт. В то же время регуляторы пристально следят за исполнением всех требований: в частности, финансовые организации обязаны оперативно устранять выявленные уязвимости.
Кроме того, учреждения финансовой сферы выделяют на обеспечение кибербезопасности немалые деньги, занимаются обучением своих сотрудников, регулярно проводят фишинг-тренинги и мероприятия по повышению осведомленности персонала в вопросах кибербезопасности. В результате злоумышленникам очень сложно развивать атаки на хорошо защищенные системы финансовых организаций.
Вместе с тем отрасль остается желанной целью для киберпреступников, поэтому методы и инструментарий хакеров постоянно совершенствуются. Слабым звеном остаются люди. Злоумышленники продолжают атаковать пользователей в надежде на то, что невнимательный сотрудник откроет письмо с вредоносным вложением или ссылкой, скачает троян или введет свои учетные данные на фишинговом сайте, открывая таким образом путь для развития атаки. Поэтому организациям нужно уметь быстро и эффективно реагировать и расследовать все действия киберпреступников.
Также стоит отметить, что в прошлом году было выявлено большое количество уязвимостей так называемого нулевого дня (выявленные недостатки безопасности, о которых производитель ПО не знает и для которых не существует исправлений на момент обнаружения), эксплуатация которых привела к общему росту числа атак, в том числе в финансовой отрасли. По итогам 2023 года финансовый сектор вошел в топ-5 самых атакуемых сфер: на него пришлось 8% всех успешных атак на организации за прошлый год.
По нашим данным, за первое полугодие 2024 года чаще всего в успешных атаках на финучреждения злоумышленники применяли вредоносное ПО (57% атак) и социальную инженерию (64% атак). Эти методы неразрывно связаны между собой: атакующие рассылают фишинговые письма, связываются с техподдержкой под видом клиентов или подрядчиков, через мессенджеры убеждают сотрудников финансовых организаций загрузить ВПО, чтобы тем самым открыть себе путь в информационную инфраструктуру.
Банки на Standoff
В силу всего сказанного проведение киберучений для финансового сектора крайне актуально. Поэтому неслучайно, что самой масштабной и динамичной частью Standoff стала именно банковская отрасль. В 2022 году один из ведущих вендоров ПО для банков предоставил нам дистрибутив своей автоматизированной банковской системы. Мы создали на полигоне полноценный отраслевой сегмент с Windows-доменом, пользователями, серверной частью и многоуровневой сетевой архитектурой.
Далее на Standoff появилась максимально реалистичная система межбанковских переводов. Для этого были созданы еще две инфраструктуры: второй коммерческий, а также центральный банк. Таким образом мы воссоздали процессы обслуживания юридических лиц — от открытия расчетных счетов до формирования платежных поручений для контрагентов и формирования отчетности. Это задало очень высокую планку качества инфраструктуры полигона.
В 2023 году еще один крупный вендор снабдил нас своими программными продуктами для работы с платежами и настоящим эквайрингом системы быстрых платежей с возможностью оплаты по QR-кодам. Теперь через QR-код можно расплатиться в четырех магазинах в виртуальном государстве. Новое ПО было установлено в сегменте, который превратился в полноценный банк со всей цепочкой обслуживания физических лиц. В инфраструктуре этого учреждения, которое мы назвали First Partner Bank, появились рабочие станции сотрудников, домен и прочие атрибуты настоящего банка, а позже и собственное мобильное приложение, работающее с QR.
Затем у нас появился и третий банк — Global Digital Bank, ориентированный на работу с физическими лицами. Его особенность в том, что это автоматизированный банк, у которого все приложения находятся в облаке. Далее в процесс оплаты товаров через QR-коды, которые реализованы в First Partner Bank, мы добавили двухфакторную авторизацию, предложив хакерам ее обойти. В том же году мы разместили всю эту инфраструктуру на онлайн-полигоне Standoff, где она стала доступна хакерам 24/7.
В 2024 году на полигоне появился реальный физический банкомат, который красные команды успешно ломали (команды красных — исследователей безопасности, которые ищут уязвимости в различных IT-системах). Кроме этого, у Global Digital Bank открылся филиал с усложненной инфраструктурой, First Partner Bank обзавелся веб-версией в дополнение к мобильному приложению, а у центробанка появился сайт с информацией обо всех банках. Наконец, макет банковской отрасли на полигоне обновился: теперь он позволяет визуализировать реализацию недопустимых событий, то есть теперь каждый зритель кибербитвы сможет увидеть, что будет, если хакеры доведут свою атаку до конца.
Подведем итоги. Сегодня полигон Standoff предоставляет развитую, максимально реалистичную, готовую банковскую инфраструктуру, на которой наши клиенты (подразделения ИБ крупнейших компаний) отрабатывают навыки мониторинга и расследования кибератак любой степени сложности. Делают они это либо в варианте кибербитвы (четырехдневный интенсив с зашкаливающим количеством разнонаправленных атак), либо на онлайн-полигоне — подписка на него позволяет планомерно повышать квалификацию специалистов по ИБ, а иногда и смежных подразделений (IT, инфраструктурщиков, антифрода — автоматизированные программы, по определенным критериям оценивающие онлайн-операции и т. д.).
Помимо готовой инфраструктуры для тренировки команды, можно также подключить фрагмент инфраструктуры компании, ее сервисы и информационные системы. Такие фрагменты могут быть анонимизированы, чтобы не давать подсказок нападающим. Белым хакерам всегда интересно исследовать новую инфраструктуру, а компании, помимо отработки общих навыков защиты, смогут оценить уровень своей защищенности и учиться противодействовать атакам на собственных ключевых системах.
Атаки хакеров
На кибербитве Standoff 13 в мае этого года банковская отрасль оказалась самой привлекательной для команд атакующих и пострадала больше других — здесь было реализовано 23 уникальных критических события. Всего защитники банков из команды Command and Defend расследовали 45 атак — больше, чем во всех остальных секторах на киберполигоне.
Чаще всего красным командам удавалось взломать банкомат. Согласно легенде битвы, в одном из торговых центров злоумышленник под видом сервисного инженера подключался к банкомату Global Digital Bank. Затем он выходил из режима, ограничивающего действия пользователя, и получал возможность выдавать себе деньги. Это событие, произойди оно в реальной жизни, нанесло бы мощный удар по репутации банка, клиенты начали бы массово закрывать счета, поскольку не были бы уверены в защищенности своих денег.
Другой популярной атакой на киберучениях стал взлом новостного портала филиала нашего виртуального Global Digital Bank. Злоумышленники внедряли вредоносное ПО на страницы портала и похищали контакты клиентов, подписавшихся на рассылку.
Кроме того, хакерам в ходе битвы удалось реализовать одно из недопустимых для отрасли событий. По легенде, атакующие открывали счет в виртуальном First Partner Bank и выводили на него деньги, украденные из другого банка. Далее с этого счета они, используя QR-коды, «тратили» 10 млн рублей на различные покупки в интернет-магазинах. В реальности в результате такой атаки банк ждали бы большие штрафы и серьезный репутационный ущерб.
Эти и другие примеры успешных атак, реализованных на кибербитве, подтверждают рекомендацию экспертов: финансовым организациям нужно уделять особое внимание верификации уязвимостей и недопустимых для бизнеса событий.
Киберполигон Standoff делает все это возможным, как и труднореализуемые в реальности эксперименты с разными функциями, задачами и отладкой процессов. Здесь белые хакеры исследуют бреши в программных продуктах и сервисах, которые широко используют банки и финансовые организации, а также неприемлемые для банковского бизнеса сценарии с катастрофическими последствиями.
На фоне усложняющихся кибератак очень важно, что инфраструктура Standoff постоянно обновляется, а все инциденты взяты из реальной жизни и воспроизводятся на цифровом полигоне максимально реалистично.
Кибербитва Standoff предоставляет два формата участия. Первый — регулярная кибербитва, где участники в максимально интенсивном формате сталкиваются с десятками атак и сотнями инцидентов. Такой подход дает отличную возможность для обучения и быстрой прокачки навыков. Второй формат — онлайн-полигон Standoff для продолжения расследования инцидентов, вызванных атакующими, и отладки процессов в реальном, более спокойном режиме. Здесь в режиме 24/7 как атакующие, так и защитники могут исследовать защищенность специально воссозданных инфраструктур из разных отраслей, в том числе и финансов.
И какой бы формат ни выбрала компания, такие учения помогают не только усовершенствовать процессы кибербезопасности, но и повысить мотивацию сотрудников и их экспертизу, чтобы сохранить в организации сильных специалистов, а также привлечь новых.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Специфика атак
В силу ряда причин финансовая отрасль защищена от кибератак лучше прочих. Банки привлекательных объектов для злоумышленников. В связи с этим в банковском секторе особенно строго подходят к вопросам информационной безопасности, а в противостоянии с киберпреступниками у них накопился богатый опыт. В то же время регуляторы пристально следят за исполнением всех требований: в частности, финансовые организации обязаны оперативно устранять выявленные уязвимости.
Кроме того, учреждения финансовой сферы выделяют на обеспечение кибербезопасности немалые деньги, занимаются обучением своих сотрудников, регулярно проводят фишинг-тренинги и мероприятия по повышению осведомленности персонала в вопросах кибербезопасности. В результате злоумышленникам очень сложно развивать атаки на хорошо защищенные системы финансовых организаций.
Вместе с тем отрасль остается желанной целью для киберпреступников, поэтому методы и инструментарий хакеров постоянно совершенствуются. Слабым звеном остаются люди. Злоумышленники продолжают атаковать пользователей в надежде на то, что невнимательный сотрудник откроет письмо с вредоносным вложением или ссылкой, скачает троян или введет свои учетные данные на фишинговом сайте, открывая таким образом путь для развития атаки. Поэтому организациям нужно уметь быстро и эффективно реагировать и расследовать все действия киберпреступников.
Также стоит отметить, что в прошлом году было выявлено большое количество уязвимостей так называемого нулевого дня (выявленные недостатки безопасности, о которых производитель ПО не знает и для которых не существует исправлений на момент обнаружения), эксплуатация которых привела к общему росту числа атак, в том числе в финансовой отрасли. По итогам 2023 года финансовый сектор вошел в топ-5 самых атакуемых сфер: на него пришлось 8% всех успешных атак на организации за прошлый год.
По нашим данным, за первое полугодие 2024 года чаще всего в успешных атаках на финучреждения злоумышленники применяли вредоносное ПО (57% атак) и социальную инженерию (64% атак). Эти методы неразрывно связаны между собой: атакующие рассылают фишинговые письма, связываются с техподдержкой под видом клиентов или подрядчиков, через мессенджеры убеждают сотрудников финансовых организаций загрузить ВПО, чтобы тем самым открыть себе путь в информационную инфраструктуру.
Банки на Standoff
В силу всего сказанного проведение киберучений для финансового сектора крайне актуально. Поэтому неслучайно, что самой масштабной и динамичной частью Standoff стала именно банковская отрасль. В 2022 году один из ведущих вендоров ПО для банков предоставил нам дистрибутив своей автоматизированной банковской системы. Мы создали на полигоне полноценный отраслевой сегмент с Windows-доменом, пользователями, серверной частью и многоуровневой сетевой архитектурой.
Далее на Standoff появилась максимально реалистичная система межбанковских переводов. Для этого были созданы еще две инфраструктуры: второй коммерческий, а также центральный банк. Таким образом мы воссоздали процессы обслуживания юридических лиц — от открытия расчетных счетов до формирования платежных поручений для контрагентов и формирования отчетности. Это задало очень высокую планку качества инфраструктуры полигона.
В 2023 году еще один крупный вендор снабдил нас своими программными продуктами для работы с платежами и настоящим эквайрингом системы быстрых платежей с возможностью оплаты по QR-кодам. Теперь через QR-код можно расплатиться в четырех магазинах в виртуальном государстве. Новое ПО было установлено в сегменте, который превратился в полноценный банк со всей цепочкой обслуживания физических лиц. В инфраструктуре этого учреждения, которое мы назвали First Partner Bank, появились рабочие станции сотрудников, домен и прочие атрибуты настоящего банка, а позже и собственное мобильное приложение, работающее с QR.
Затем у нас появился и третий банк — Global Digital Bank, ориентированный на работу с физическими лицами. Его особенность в том, что это автоматизированный банк, у которого все приложения находятся в облаке. Далее в процесс оплаты товаров через QR-коды, которые реализованы в First Partner Bank, мы добавили двухфакторную авторизацию, предложив хакерам ее обойти. В том же году мы разместили всю эту инфраструктуру на онлайн-полигоне Standoff, где она стала доступна хакерам 24/7.
В 2024 году на полигоне появился реальный физический банкомат, который красные команды успешно ломали (команды красных — исследователей безопасности, которые ищут уязвимости в различных IT-системах). Кроме этого, у Global Digital Bank открылся филиал с усложненной инфраструктурой, First Partner Bank обзавелся веб-версией в дополнение к мобильному приложению, а у центробанка появился сайт с информацией обо всех банках. Наконец, макет банковской отрасли на полигоне обновился: теперь он позволяет визуализировать реализацию недопустимых событий, то есть теперь каждый зритель кибербитвы сможет увидеть, что будет, если хакеры доведут свою атаку до конца.
Подведем итоги. Сегодня полигон Standoff предоставляет развитую, максимально реалистичную, готовую банковскую инфраструктуру, на которой наши клиенты (подразделения ИБ крупнейших компаний) отрабатывают навыки мониторинга и расследования кибератак любой степени сложности. Делают они это либо в варианте кибербитвы (четырехдневный интенсив с зашкаливающим количеством разнонаправленных атак), либо на онлайн-полигоне — подписка на него позволяет планомерно повышать квалификацию специалистов по ИБ, а иногда и смежных подразделений (IT, инфраструктурщиков, антифрода — автоматизированные программы, по определенным критериям оценивающие онлайн-операции и т. д.).
Помимо готовой инфраструктуры для тренировки команды, можно также подключить фрагмент инфраструктуры компании, ее сервисы и информационные системы. Такие фрагменты могут быть анонимизированы, чтобы не давать подсказок нападающим. Белым хакерам всегда интересно исследовать новую инфраструктуру, а компании, помимо отработки общих навыков защиты, смогут оценить уровень своей защищенности и учиться противодействовать атакам на собственных ключевых системах.
Атаки хакеров
На кибербитве Standoff 13 в мае этого года банковская отрасль оказалась самой привлекательной для команд атакующих и пострадала больше других — здесь было реализовано 23 уникальных критических события. Всего защитники банков из команды Command and Defend расследовали 45 атак — больше, чем во всех остальных секторах на киберполигоне.
Чаще всего красным командам удавалось взломать банкомат. Согласно легенде битвы, в одном из торговых центров злоумышленник под видом сервисного инженера подключался к банкомату Global Digital Bank. Затем он выходил из режима, ограничивающего действия пользователя, и получал возможность выдавать себе деньги. Это событие, произойди оно в реальной жизни, нанесло бы мощный удар по репутации банка, клиенты начали бы массово закрывать счета, поскольку не были бы уверены в защищенности своих денег.
Другой популярной атакой на киберучениях стал взлом новостного портала филиала нашего виртуального Global Digital Bank. Злоумышленники внедряли вредоносное ПО на страницы портала и похищали контакты клиентов, подписавшихся на рассылку.
Кроме того, хакерам в ходе битвы удалось реализовать одно из недопустимых для отрасли событий. По легенде, атакующие открывали счет в виртуальном First Partner Bank и выводили на него деньги, украденные из другого банка. Далее с этого счета они, используя QR-коды, «тратили» 10 млн рублей на различные покупки в интернет-магазинах. В реальности в результате такой атаки банк ждали бы большие штрафы и серьезный репутационный ущерб.
Эти и другие примеры успешных атак, реализованных на кибербитве, подтверждают рекомендацию экспертов: финансовым организациям нужно уделять особое внимание верификации уязвимостей и недопустимых для бизнеса событий.
Киберполигон Standoff делает все это возможным, как и труднореализуемые в реальности эксперименты с разными функциями, задачами и отладкой процессов. Здесь белые хакеры исследуют бреши в программных продуктах и сервисах, которые широко используют банки и финансовые организации, а также неприемлемые для банковского бизнеса сценарии с катастрофическими последствиями.
На фоне усложняющихся кибератак очень важно, что инфраструктура Standoff постоянно обновляется, а все инциденты взяты из реальной жизни и воспроизводятся на цифровом полигоне максимально реалистично.
Кибербитва Standoff предоставляет два формата участия. Первый — регулярная кибербитва, где участники в максимально интенсивном формате сталкиваются с десятками атак и сотнями инцидентов. Такой подход дает отличную возможность для обучения и быстрой прокачки навыков. Второй формат — онлайн-полигон Standoff для продолжения расследования инцидентов, вызванных атакующими, и отладки процессов в реальном, более спокойном режиме. Здесь в режиме 24/7 как атакующие, так и защитники могут исследовать защищенность специально воссозданных инфраструктур из разных отраслей, в том числе и финансов.
И какой бы формат ни выбрала компания, такие учения помогают не только усовершенствовать процессы кибербезопасности, но и повысить мотивацию сотрудников и их экспертизу, чтобы сохранить в организации сильных специалистов, а также привлечь новых.
