ИБ в банках: особенности межсетевых экранов нового поколения
Кибербезопасность банков привлекает внимание по простой причине: здесь применяют самые развитые средства защиты, ведь требования к безопасности тут всегда на высочайшем уровне. При этом банки хорошо умеют считать деньги, поэтому их киберзащита оптимальна как по техническим параметрам, так и по стоимости владения. Рассмотрим это, взяв в качестве примера межсетевые экраны нового поколения (NGFW). Изучим общий рельеф современного «кибербеза», а потом перейдем к практическому примеру с Next-Generation Firewall, который кажется специфичным, но при этом весьма показателен.
Статистика настораживает
Кибербезопасность была и будет горячей темой — активность киберпреступников год от года растет ударными темпами, опережая практически любое другое направление в ИТ. За прошлый год общее количество кибератак увеличилось на 6,5% по сравнению с годом позапрошлым, по данным исследования Positive Technologies. К сожалению, хакерство является достаточно прибыльным бизнесом с финансовой точки зрения, что и привлекает к нему многих специалистов, желающих заработать на киберпреступлениях.
Однако, хакеры не отличаются аккуратностью: заработав «на копейку» киберпреступники зачастую наносят урона «на рубль», причем не на один, а зачастую на многие тысячи. Ликвидация последствий кибератак дорожает стремительно: с 2021 будут она будет расти на 15% в год в течение следующих пяти лет, достигнув 10,5 трлн долл. к 2025, по данным отчета RiskBased Security. У коммерческих компаний и госструктур есть выбор: или нести потери от деятельности хакеров, или выстраивать современные системы «инфобеза».
Атаки на банки у традиционных киберпреступников сейчас в тренде по двум объективным причинам.
Банки: под двойным прицелом
Напомним, что современные хакеры смотрят на выполнение кибератак как на бизнес, а поэтому крайне заинтересованы в монетизации своей деятельности. Банки привлекают таких хакеров, во-первых, теоретически более простой монетизацией атак. В случае успеха деньги можно получить, похитив средства с клиентских счетов или, например, взломав сеть банкоматов. Во-вторых, современная хакерская активность сосредоточена на любых индустриальных объектах, взлом которых способен привести к серьезным убыткам, а сюда относятся и финансовые организации, включая банки. Схемы монетизации тут могут быть разными, например, в результате атаки может сработать вирус-«вымогатель», хакеры могут украсть из компании документы и требовать выкуп за сохранение в тайне полученной информации и т.д.
Заметим, что кроме традиционных хакеров сейчас резко возросла активность энтузиастов-хактивистов, а с некоторых пор в атаках все чаще применяют кибероружие, что поднимает происходящее на уровень кибервойны. И эти категории атакующих по понятным причинам проявляют повышенное внимание к банкам, так как многие финансовые структуры являются объектами критической информационной инфраструктуры (КИИ), а поэтому любая успешная атака на них будет заметной и потенциально опасной в масштабах страны.
Кибербезопасность для банков: противостоим хакерам, учитываем регуляторов
«Системы банковской безопасности непрерывно развивают и совершенствуют. Однако, создавая такие решения и даже выбирая для них компоненты следует помнить, что результат должен обеспечивать как кибербезопасность на современном уровне, так и соответствовать всем требованиям регуляторов, — подчеркивает GR-менеджер UserGate Карен Карапетьянц, — причем как локальных, так и глобальных».
В случае с банками требований регуляторов довольно много. Как мы отмечали выше, многие банки относятся к объектам КИИ, поэтому их ИТ-системы – включая решения кибербезопасности – должны соответствовать требованиям закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Любой банк хранит персональные данные пользователей, а поэтому его деятельность – включая организацию ИТ – попадает под регулирование 152-ФЗ «О персональных данных», а организацию кибербезопасности дополнительно регулирует приказ № 21 ФСТЭК России. Кроме того, есть целый ряд отраслевых стандартов, начиная с ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» заканчивая различными положениями Банка России. Это не полный спектр требований, например, в ряде случаев нужны сертификаты ФСТЭК и прочие документы.
Кроме национальных требований банки должны строго соблюдать ряд требований, единых для всей глобальной банковской структуры. Например, эмитенты платёжных карт должны соблюдать требования PCI DSS, которые являются индустриальным стандартом безопасности. Есть общие положения для организации межбанковского взаимодействия, например, требования SWIFT Customer Security Controls Framework, где тоже прописаны требования к кибербезопасности, и т.д.
Новые условия и новые требования
В современной ситуации решениям для обеспечения инфобезопасности требуется импортозамещение — во всех индустриях, тут банковские структуры не являются исключением. Ряд глобальных вендоров уже ушли с российского рынка, создав понятные проблемы локальным заказчикам и целым индустриям. Санкционно-устойчивыми фактически являются только российские продукты для ИБ, так как замена решений из Америки и Европы на системы из Израиля, Китая, Южной Кореи и других стран хотя и возможна, но проблемы не решает – завтра вендоры из этих стран могут подчиниться требованиям международных санкций, и российские заказчики окажутся снова перед задачей замещения.
Президентский указ «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», подписанный 1 мая, предписывает всем федеральным органы исполнительной власти, высшим исполнительным органам власти субъектов РФ, госфондам, госкорпорациям перейти на российские решения защиты информации до 1 января 2025. Заметим, что в перечень вошли «иные организации, созданные на основании федеральных законов, стратегические предприятия, стратегические акционерные общества и системообразующие организации российской экономики, юрлица, являющиеся субъектами критической информационной инфраструктуры России», что напрямую касается и банков.
Российский «кибербез»: качество в каждой детали
Импортозамещение в области кибербезопасности идет относительно легко, так как в данном сегменте есть вендоры, планомерно развивающие свои продукты последние годы. Продукты российского производства при независимых тестированиях год за годом присутствовали в топах, причем сказанное справедливо не только для решений, известных всем и каждому — например, антивирусов «Касперского» — но и для десятков других нишевых систем.
Одними из нишевых решений, необходимых для обеспечения базового «кибербеза», являются файерволлы, системы для фильтрации трафика на границе локальной сети. Данный класс продуктов существует давно, однако, сейчас популярны Next-Generation Firewall, получившие расширенную функциональность. UserGate NGFW соответствуют критериям отечественного средства защиты информации (что подтверждает запись №1194 в Реестре Минкомсвязи), а поэтому могут быть использованы в проектах по импортозамещению.
Особенности UserGate NGFW и экосистемы SUMMA
Кроме наличия нужных сертификатов на соответствие требованиям импортозамещения и локальных регуляторов, решение UserGate NGFW отличается несколькими важными особенностями.
UserGate NGFW предоставляет функции безопасности для сетей любого формата и размера, обеспечивая максимальную видимость событий безопасности и высокий уровень защиты от угроз. «С помощью разных форматов поставки, таких как программно-аппаратный комплекс, виртуальный образ и SecaaS (Security as a Service), открывается бесконечное количество сценариев встраивания функций безопасности в IT архитектур», — говорит менеджер по развитию UserGate Иван Чернов.
Ключевым аспектом качественной защиты является обеспечение видимости событий безопасности. К событиям безопасности относятся любые действия пользователей, приложений и устройств. Поэтому огромную роль в построении защищенной инфраструктуры играет возможность увидеть, проанализировать и интерпретировать эти действия. Это все невозможно без качественной и производительной Инспекции SSL-трафика. «Благодаря технологиям компании UserGate, продукт UserGate NGFW умеет дешифровать весь трафик, включая TLS 1.3 и TLS GOST», — говорит технический директор UserGate, Александр Кистанов.
Однако современный ландшафт угроз настолько разнообразен и динамичен, что использование одних лишь базовых средств защиты уже не является достаточным шагом к построению защищенной инфраструктуры «Продукт UserGate Log Analyzer (LogAn) сочетает в себе функционал SIEM (Security Information and Event Management) и IRP (Incident Response Platform), что предоставляет возможности для сбора логов и событий, поиска инцидентов и реагирования на них» — дополняет Александр.
Простота установки/настройки/администрирования в сочетании с многофункциональностю позволяет эффективно применять UserGate NGFW как на границе сети компании с внешним миром, так и между отдельными сегментами сети заказчика, что тоже повышает все ту же практическую безопасность. Сегменты сети могут быть как в пределах одного офиса, так и территориально распределены, например, присутствовать в филиалах. Для структур с развитой филиальной сетью – или хотя бы с несколькими офисными локациями – UserGate NGFW просто решение «must have», что банки уже оценили. «Управление безопасностью возможно из единой точки благодаря UserGate Management Center, который представляет собой централизованную систему управления экосистемой безопасности UserGate SUMMA корпоративного уровня», - дополняет Иван Чернов.
На практике оказывается крайне важным возможности выбора устройства «под задачи». Для рассматриваемых нами устройств это означает как широкий спектр модельного ряда, в котором на данный момент представлено шесть моделей. Решения отличаются производительностью файервола — в зависимости от модели пиковая может быть от 2 до 60 Гб/с — и количеством портов, по заявлению производителя, одного такого девайса будет достаточно на локальную сеть, объединяющую от 100 д 10 тыс. пользователей.
Есть и другие особенности. «Банковские организации должны передавать информацию об инцидентах информационной безопасности в уполномоченные организации. – напоминает Карен Карапетьянц. – Поэтому банки особо ценят расширенные возможности регистрации событий безопасности, которые мы реализовали и развили в устройствах линейки UserGate NGFW и UserGate Log Analyzer». Также важны возможности кластеризации, которая позволит решить разные задачи, от повышения надежности межсетевого экранирования (например, выполнив переключение на запасное устройство при неполадках основного) до наращивания мощности решения (перераспределив нагрузки на все устройства кластера). Это позволяет эффективно использовать UserGate NGFW даже на ЦОДах!
Вместо заключения
Рассмотренный пример с продуктами компании UserGate прекрасно показывает, насколько широки возможности российских решений для кибербезопасности. Выбор оптимального и его интеграция с другими компонентами ИБ-системы на стороне заказчика вопрос сложный, но решаемый. Для нахождения оптимального решения и его дальнейшего развития сегодня часто объединяют силы специалисты вендора, дистрибутора, ИБ-интегратора и технические отделы заказчика.