Отчет по Hack the Lab 2012 в Финляндии

17-18 мая Stonesoft устраивал Hack the Lab в Хельсинки. По сути мероприятие состояло из 2-х частей:

  • Непосредственно мастер-класс Hack the Lab
  • Тестирование стенда Predator 4

Мастер-класс проходил в лаборатории, где 4 команды по 2 человека пытались добраться до «секретных» рецептов 😉 . Процесс сего действа я освещал (с фотографиями) в твиттере.

Мастер-класс моделировал ситуацию взлома сайта с целью поиска номеров кредитных карт клиентов и конфиденциальных документов. Нужно было проходить многоуровневую защиту, запускать различные эксплоиты и т.п. 😉 . Вся наша активность фиксировалась StoneGate’ом в реальном времени, логи выводились на экран. Не смотря на очевидную простоту задания, проблемы испытывали все участники. Как сказал один из коллег: «Хорошо, что никто из знакомых не видит какие глупости я сейчас делаю 😉 …». Но в результате с разной степенью успешности с заданием справились все.

По словам организаторов, такой мастер-класс рассчитан на руководителей ИБ, чтобы они вспомнили, техническую сторону вопроса.

Вторая часть мероприятия проходила уже на следующий день. Тестировать Predator 4 оказалось довольно занятно. В довольно дружественном интерфейсе можно выбрать конкретное оборудование, настройки и параметры для обхода IPS. В режиме реального времени можно отслеживать реакции IPS от разных вендоров на ту или иную сетевую активность. Удобство заключается в том, что этот стенд наглядно демонстрирует, как использование той или иной техники обхода помогает известным эксплоитам проходить IPS. Посмотрев все это на стенде мое представление о маркетинговой фишке под названием Динамические техники обхода (АЕТ – AdvancedEvasionTechniques) поменялось. Видимо маркетологи, которые 2 года назад начали продвигать эту идею, сами не понимали что это такое. От того и делали ролики непонятного содержания вроде этого, которые не разъясняют, а только запутывают.

AET – это техники, которые применяются совместно с сетевыми атаками, с целью обхода систем защиты. Идея заключается в том, что даже известные эксплоиты, которые легко ловятся всеми известными IPS, могут проходить эти же IPS при использования тех самых динамических техник обхода. AET основываются на комбинировании разных типов/тактик обхода, которые работают на разных сетевых уровнях и в разных протоколах. Хороший ролик с демонстрацией прошлой версии Predator есть тут:

Мне сложно оценивать насколько активно сейчас злоумышленники используют динамические техники обхода. Однако организаторы неоднократно давали понять, что громкие взломы последних лет происходили у компаний, которые крайне серьезно относятся к ИБ в целом, и сетевой безопасности в частности. Тем самым намекая, что, скорее всего именно такие техники использовались в этих случаях. Поэтому одним из своих конкурентных преимуществ Stonesoft видит именно в проработку AET.

Пользуясь случаем, я задал провокационный вопрос главе группы по анализу уязвимости Stonesoft Olli-Pekka Niemi, которые исследует техники обхода. Вопрос заключался в том, какие, по его экспертному мнению, IPS лучшие, а какие худшие в свете AET. Ответ был довольно интересный. Самыми худшими он назвал решения от McAfee, Palo Alto, и, в зависимости от настроек, Sourcefire. К средней категории он отнес решения Cisco, Juniper, Checkpoint, ну а самым хорошим естественно был назван StoneGate.

В целом мероприятие оказалось интересным и полезным. Всегда интересно поговорить с людьми, которые непосредственно своими руками создают современные продукты безопасности. Другие вендоры, по каким-то своим причинам пока показывают рынку только своих пресейлов и продавцов. Будем надеяться, что наш рынок продолжит свое «взросление», и такие мероприятия будут проводиться все чаще.

P.S. Помимо самой программы было интересно пообщаться с коллегами на отвлеченные темы. В частности обсудили опубликованное исследование IDC, в котором сообщается о росте рынка аппаратных решений ИБ на 73%. Во-первых непонятно, что понимается под аппаратными решениями. Софт, который продается к железу, учитывается в исследовании? Если да, то какой именно, если нет, то при чем тут «аппаратные» решения и как они смогли оценить рынок, ведь у некоторых вендоров софт включен в цену железа, а у некоторых продается отдельными лицензиями. Во-вторых, очень сомнительным выглядит перечень из пяти компаний, «которые контролируют более 70% рынка». Ну и, в-третьих, и самое главное, откуда взялась цифра в 73% роста рынка? Очевидно, что рост был, но 73%… это как? Откуда взялись внедренцы под практически двукратный рост рынка? Непонятно…

Система противодействия мошенничеству в ДБО по-русски

Как обещал в посте про форум директоров ИБ,  подготовил небольшую заметку про защиту ДБО.

Системы дистанционного банковского обслуживания активно развиваются последние 10 лет. Системы Банк-Клиент, Интернет-Банк и набирающий обороты мобильный-банкинг стали неотъемлемым атрибутом любой серьезной кредитной организации. Однако вопросам безопасности в ДБО уделялось крайне мало внимания, как самими банками, так и их клиентами. В результате, по состоянию на сегодняшний день, оборот российского криминального бизнеса в системах ДБО по неофициальным оценкам составляет 500 миллионов $ в год. До настоящего момента, банки стремились решать проблемы в ДБО собственными силами, однако ежегодный рост ущерба от такого мошенничества говорит сам за себя. Как принято говорить «это создает угрозу для безопасности банковской системы РФ».

Законодатель со своей стороны решил вопрос очень просто. Федеральный Закон «О национальной платежной системе», в статья 9 гласит, что В СЛУЧАЕ ХИЩЕНИЯ ДЕНЕЖНЫХ СРЕДСТВ СО СЧЕТА КЛИЕНТА БАНК ОБЯЗАН ВОЗМЕСТИТЬ ПОЛНУЮ СУММУ ПОХИЩЕННЫХ СРЕДСТВ! Статья заработает с 1 января 2013 года. Если раньше банк перекладывал ответственность за несанкционированный платеж на клиента (физическое или юридическое лицо), то теперь закон обязует банк сначала возместить деньги на счет клиента, и только после этого приступать к разбирательству инцидента.

В связи с этим, некоторые банки перевели риски мошенничества ДБО в риски 1-го порядка (уже дважды сталкивался), т.е. непосредственно влияющие на выживание бизнеса. Еще бы. Формальной возможности остановить подозрительный, с точки зрения возможного мошенничества, платеж у банков до сих пор нет. Подводить это под 115-ФЗ (легализацию или терроризм) для банка чревато. Дискуссия об этом была недавно в твиттере.

Признаемся честно, банковская система, в настоящий момент, не готова к односторонней финансовой ответственности за мошенничество с платежами. Проблема усугубляется де-факто отсутствием широко применяемых и отработанных решений по обеспечению безопасности платежей.

Вспомним извечный вопрос — Что делать? Нужно реально защищать. Задача комплексная, но вполне выполнимая.

В зависимости от угроз для ДБО можно выбрать несколько направлений работы, например:

  • Защита удаленного доступа
  • Создание доверенной среды на стороне клиента (TrustScreen, Mac-токены и т.п.)
  • Выстраивание процессов противодействия фроду
  • Мониторинг транзакций
  • И т.д.

Подробно остановимся на мониторинге транзакций, т.к. очевидно именно к таким решениям движется рынок.

В последние годы на рынке стали появляться качественные решения по мониторингу транзакций, которые позволяют среди сотен тысяч транзакций, проходящих через банк ежедневно, найти мошеннические, и остановить их еще до попадания в платежную систему.

Сейчас с разной популярностью пользуются решения от:

  • HP\Arcsight
  • Fiserv
  • NICE
  • RSA
  • Norkom

Как обычно расклад сил между вендорами в России несколько отличается от общемирового. Например, Arcsight ESM, уже установленный во многих банках, является хорошим основанием для покупки Fraud View. Также привлекает большое число специалистов по Arcsight в России. Другие решения не могут похвастаться таким числом обученных внедренцев.

Система после запуска учитывает в среднем от 50 до 250 различных показателей, такие как:

  • IP-адрес
  • MAC-адрес
  • Сумма платежа
  • Имя получателя
  • Назначение платежа
  • Время платежа
  • История платежей контрагенту
  • И др.

В результате, каждый платеж оценивается по заранее заданным правилам и каждому платежу выставляется оценка (балл скоринга). На основании этой оценки система принимает решение о том, подозрительный это платеж или нет.

Далее оператор банка проверяет платеж и окончательно устанавливает мошеннический он или нет. Как показывает практика внедрения аналогичных систем, из десятков тысяч ежедневных платежей как подозрительные помечается не больше 100-200 транзакций, проверить которые под силу даже небольшому подразделению в банке. При желании можно организовать дополнительную авторизацию клиента без участия оператора.

Fiserv, Norkom, NICE – это глобальные конкуренты по антифрод системам. Даже продуктовые названия линейки либо совпадают, либо просто похожи. Решения рассчитаны не только на противодействие мошенничеству в ДБО, но и на анализ карточных транзакций, анализ внутреннего мошенничества и т.д. В отличие от того же Arcsight эти решения могут не только считать скоринг по каждой транзакции по заранее определенным правилам, но и использовать более сложный интеллектуальный анализ транзакций, например по заранее определенным профилям. Решения очень мощные и гибкие и подойдут тем, кто намерен серьезно работать в направлении противодействия фроду.

Приложение от RSA Transaction Monitoring требует меньше настроек, но в этом-то и проблема. В России признаки мошенничества заметно отличаются от тех же американских. Например, для большей части мошеннических переводов и получатель и плательщик находятся в России, и такое правило, как «метить подозрительным платеж в Нигерию» для нас неактуален. Зато быстро разворачивается.

Также на рынке есть уникальные разработки с самописными коннекторами и своими правилами. Как недорогая альтернатива – почему нет?

Более подробно по теме противодействия банковскому фроду в моем докладе на Positive Hack Days 2012.