Как мы защищали банковские счета, и не только на PHDays

Алексей Сизов: Защищать пришлось два банковских сервиса: card-to-card (перевод денег между счетами клиентов) и дистанционное банковское обслуживание. В качестве «защиты по умолчанию» в первом были ограничения по количеству операций в единицу времени и по сумме единовременного перевода; второй предполагал необходимость ввода не только реквизитов карт, но и логина и пароля доступа. Для крупных счетов было предусмотрено также подтверждение операций одноразовыми паролями, присылаемыми по SMS.

В банке содержались счета как «мирных жителей» (половина из которых активно пользовалась банковскими сервисами), так и счета самих атакующих. Потенциально «злоумышленники» могли получить реквизиты карточек «мирных жителей» с помощью социальной инженерии и перехвата одноразовых паролей, взломав телеком-оператора, который присутствовал в виртуальном мегаполисе. Существовала также возможность организации мошеннических схем с использованием фишек казино и аккаунтов у сотового оператора, но до них дело не дошло. 

В первый день, по условиям соревнования, мы только наблюдали за активностью «хакеров». До вечера атакующие искали уязвимости в банковской инфраструктуре и собирали разными способами реквизиты платежных карт. Затем начались атаки на счета, сначала через ДБО, потом и через card-to-card. К середине ночи атакующие вывели почти все деньги с банковских счетов, причем активность «хакеров» была столь высока, что банковская инфраструктура просто отключилась.

Когда технические вопросы были решены, функционирование банка восстановлено, а организаторы провели дополнительную «денежную эмиссию», мы начали защищать банк уже в активном режиме. С этого момента атакующие не смогли увести со счетов ни копейки, хотя за несколько часов было предпринято более 1,5 тыс. попыток вывода средств. 

Алексей Сизов: Основным инструментом была наша собственная разработка – антифрод-решение Jet Detective. Чтобы усилить защиту, мы дополнительно написали и разместили в системе ДБО специальный скрипт, который собирал данные о компьютерах, которые к ней обращались.   

Мы также реализовали honeypot для системы дистанционного банковского обслуживания. Уже в начале соревнования активность на honeypot семикратно превышала обычную активность в каналах ДБО – атакующие нас пристально изучали. Всякую активность, которая отличалась от стандартной логики работы пользователя в системе, honeypot «уводил» на поддельные web-страницы – ловушки, где был «закопаны» дополнительные «уязвимости». Нападающие начинали ими интересоваться и пытаться эксплуатировать, а мы тем самым уменьшали время, остающееся для активных атак на ДБО.

В первый день Jet Detective работал только в режиме мониторинга и уведомления организаторов о положении дел. Когда мы видели, что с какого-то аккаунта идет подозрительная операция, мы вносили этот аккаунт в «черный список» и в дальнейшем автоматически отслеживали все его последующие операции. С момента начала первой атаки мы уведомляли  организаторов об оставшемся объеме денежных средств и нашем прогнозе, когда деньги в банке закончатся. И наш прогноз подтвердился.

На второй день Jet Detective был включен в режиме блокировки. Любая операция, которую наша система детектировала как высокорисковую, автоматически блокировалась, и уже после этого мы ее проверяли. И, надо сказать, с тем набором правил и политик, которые мы заложили в антифрод-систему, ложных срабатываний практически не оказалось.  

Юрий Сергеев: Информацию о том, что именно нам предстоит защищать, мы получили в последнюю неделю перед соревнованием и сразу начали формировать систему защиты. По замыслу организаторов, системы виртуального города были заведомо уязвимы. На нашу долю досталась промышленная среда, включавшая АСУ ТП и ИТ-системы, там было много устаревших операционных систем (поэтому организация защиты включала установку патчей), при этом бюджет на организацию защиты был ограничен. Но обычно именно так обстоят дела и на реальных объектах.

Юрий Сергеев: Антивирус «Лаборатории Касперского», несколько программных блейдов Check Point (межсетевой экран, IPS, Application Control), решение класса honeypot. Следить за событиями ИБ нам помогал SIEM Splunk– его выбор был обусловлен возможностью быстрого развертывания.

Honeypot компании TrapX, которая сейчас начинает выходить на российский рынок, – продукт новый, прежде мы его не использовали и по результатам «противостояния» смогли оценить его эффективность. С его помощью было сгенерировано порядка десяти ловушек, которые позволяли анализировать активности хакеров на серверах Linux и Windows. Это решение и позволило нам определить, что на второй день «Противостояния» «злоумышленники» проникли в инфраструктуру предприятия через неизвестное нам (неучтенное) сетевое устройство. Им оказалась точка доступа Wi-Fi, которую организаторы подключили к нашему стенду. Отключить ее было нельзя по условиям соревнования, поэтому тут мы уже ничего не могли сделать. Тем не менее, атакующие не сумели нанести нашему виртуальному предприятию значительного ущерба.

Надо сказать, что атакующие, со своей стороны, тоже пытались использовать несанкционированные физические устройства для подключения к коммутатору защитников. Но в этих случаях мы быстро обнаруживали такие попытки и отключали эти устройства.

Юрий Сергеев: Как я говорил, во время состязания мы применили некоторые новые продукты, которые еще нигде не использовали. Мы проверили, как они ведут себя в «бою» и в каких случаях они будут полезны нашим заказчикам.

Алексей Сизов: Один из коллег очень хорошо ответил на вопрос о смысле участия в таком мероприятии: в первую очередь это не техническое тестирование продуктов, а тестирование команд, которые их эксплуатируют. Я полностью с этим согласен. PHDays – это отличная проверка на умение быстро решать бизнес-задачи заказчика. Кроме того, мы смогли не просто рассказать на форуме о наших подходах к защите информационных инфраструктур, но и продемонстрировать их в действии. Возникавшие кейсы стали наглядной иллюстрацией возможностей Jet Detective. Это именно та цель, которую мы ставили перед собой, когда подписывались на участие.