Защита ДБО: традиционные подходы
Информационная безопасность Информационная безопасность

Защита клиентов дистанционного банковского обслуживания (ДБО) всегда была проблемой нетривиальной и потому интересной для профильных специалистов.

Главная>Информационная безопасность>Защита ДБО: традиционные подходы
Информационная безопасность Тема номера

Защита ДБО: традиционные подходы

Дата публикации:
18.06.2012
Посетителей:
2024
Просмотров:
1845
Время просмотра:
2.3

Авторы

Автор
Алексей Воронцов В прошлом - архитектор инфраструктуры информационной безопасности компании «Инфосистемы Джет»
Защита клиентов дистанционного банковского обслуживания (ДБО) всегда была проблемой нетривиальной и потому интересной для профильных специалистов. И дело здесь не в защите систем ДБО банка, которая, по сути, ничем не отличается от обеспечения безопасности любого дистанционного доступа из недоверенной среды, имеет на вооружении целый ряд «лучших практик» и иногда даже попадает под действие регламентирующих стандартов, таких как СТО БР и PCI DSS. Нетривиальным остается одно – защита самих клиентских мест ДБО.

 

 

Компьютеры клиентов – это внешняя по отношению к системам банка территория, она не контролируется ИТ- и ИБ-службами банка. Организационные меры здесь в большинстве случаев не действуют – клиент всегда прав. Можно рекомендовать клиенту поставить на рабочее место, к примеру, антивирусное программное обеспечение, но реально работающих рычагов воздействия, гарантирующих выполнение этих рекомендаций, нет. Клиентские места при этом – самая массовая часть системы ДБО. И несмотря на то, что основной ущерб в случае нарушения ИБ на клиентском месте несёт именно пользователь системы, банкам тоже достаётся их «порция» – пока это только репутационные риски, миграция клиентской базы, участие в длительных расследованиях и разбирательствах. Однако ситуация может измениться в ближайшем будущем – с конца 2012 года, когда вступит в действие пресловутая статья 9 закона (Согласно заявлению начальника третьей оперативно-розыскной части по линии борьбы с экономическими преступлениями и по борьбе с преступлениями на потребительском рынке УЭБ ГУМВД по Москве Филиппа Золотницкого.)

ФЗ-161 «О Национальной платёжной системе» (она гласит, что если клиент уведомляет банк о неправомерном использовании средств электронного платежа, банк обязан возместить ему сумму операции, совершённой без его согласия).

 

Компьютеры клиентов – это внешняя по отношению к системам банка территория, она не контролируется ИТ- и ИБ-службами банка

 

При этом число атак на клиентские места в последнее время всё возрастает. В этой сфере традиционно лидируют составители вредоносного ПО как способные на самую массовую атаку. По заявлению представителей МВД1, в России за 2011 год один из наиболее частых видов киберпреступлений – это атаки именно на пользователей систем «Клиент–Банк». И при получении злоумышленниками того или иного вида доступа к счетам юридического лица ущерб в среднем составлял 3–5 млн рублей на организацию.

 

Наиболее распространённые способы атак на системы ДБО:

 

  • вредоносное ПО (трояны, клиенты бот-сетей и т.д.);
  • фишинг;
  • использование атак типа Man-in-the-Middle для проведения подложных транзакций;
  • внутренние атаки (для корпоративных клиентов);
  • направленные атаки на клиентские места (опять же имеют смысл для корпоративных клиентов).

 

Соответственно, наиболее распространённые векторы атак на системы ДБО – это:

 

  • хищение ключевой и/или аутентификационной информации с последующим ее использованием либо на месте, либо на удалённом компьютере;
  • проведение транзакций непосредственно с компьютера клиента;
  • подмена легитимных транзакций подложными.

 

С точки зрения возможностей защиты клиентские места ДБО можно разделить на два вида в зависимости от специфики их применения. Первый – это защита традиционных решений «Клиент–Банк» (или «Банк–Клиент»), подразумевающих наличие «толстого» клиента и традиционно используемых при работе с юридическими лицами. Этот вариант предусматривает необходимость установки на рабочее место пользователя соответствующего пакета ПО.

Второй – это защита интернет-банкинга. В данном случае в качестве рабочего места пользователя выступает «тонкий» клиент, подразумевающий отсутствие какого-либо специализированного ПО на стороне клиента банка. Этот вариант используется прежде всего при работе с физическими лицами, но приобретает всё большую популярность благодаря отсутствию необходимости инсталлировать дополнительные программные и аппаратные средства, а также своей мобильности.

 

Защита систем «Банк–Клиент»

 

Как мы уже говорили, особенностью защиты «толстого» решения является наличие на рабочем месте клиента установленного комплекта ПО, состав которого определяет сам банк. То есть у кредитно-финансовой организации есть возможность выдвинуть ряд требований к программному обеспечению на конечной рабочей станции. Вводить в состав системы «Банк–Клиент» решение по endpoint-защите стало хорошей практикой в банковской среде. Из наиболее часто применяемых методов здесь – пассивный мониторинг активности в программной среде или даже комплексное решение, которое может включать в себя такие модули, как антивирусное ПО, хостовый IPS, базовый персональный межсетевой экран, средства криптографической защиты информации (СКЗИ), возможность многофакторной аутентификации и т.д.

 

Что следует отметить, как хорошую практику использования традиционных средств защиты банк-клиентов? Список ниже:

Использование СКЗИ. Кроме применения криптосредств для защиты передачи информации по недоверенным каналам связи, хорошей практикой стало использование сертифицированных ФСБ СКЗИ для генерации электронных цифровых подписей (ЭЦП). Основная задача криптосредства в данном случае – обеспечение неотказуемости банковских операций в случае возникновения конфликтов (использование сертифицированных средств позволяет обеспечить юридическое основание при рассмотрении спорных случаев в судебных инстанциях).

 

Защита ключевой информации. Использование СКЗИ и ЭЦП для совершения банковских операций означает, что ключевая информация является в подобных системах «Клиент–Банк» одним из главных объектов атаки. Обладая этими данными, нарушитель сможет совершать легитимные финансовые транзакции от лица клиента.

 

В связи с этим дополнительные меры для защиты ключевой информации всегда являются приоритетными. Среди основных тенденций – уход от применения накопителей и использование различных защищённых способов хранения информации, а также исключение ее хранения в недоверенной среде. Например, желательно использование процессорных смарт-карт и USB-токенов с возможностью совершения криптоопераций непосредственно на аппаратном устройстве.

 

Двухфакторная аутентификация. Дополнительным уровнем защиты может быть двухфакторная аутентификация сессии работы пользователей с системой «Клиент–Банк». Для этого можно использовать аппаратные и программные генераторы одноразовых паролей, токены и т.д.

Аутентификация на уровне транзакций. Проверка подлинности предполагает не единичную аутентификацию в рамках сессии работы системы «Банк–Клиент», а проверку при каждой из финансовых операций. Эта технология всегда способствует повышению уровня защищённости, но очень редко применяется для корпоративных клиентов. Дело в том, что при проведении большого количества платежей подобный режим вызывает слишком большое число нареканий со стороны самих пользователей системы.

 

Антивирусное ПО. Так или иначе, вредоносный код – это основной вектор атаки, в том числе и для корпоративных клиентов. Поэтому рекомендации по использованию комплексов антивирусной защиты на компьютерах с ДБО предлагаются практически всегда. Иногда в практике защиты встречаются случаи, когда антивирусная защита (хотя бы бесплатная) включается непосредственно в комплект поставки ПО «Клиент–Банк».

 

Использование комплексов End - point Security. Дополнительным уровнем защиты от внешнего воздействия систем «Клиент–Банк» является использование автономно управляемых (зачастую с предустановленными рекомендованными настройками) комплексов Endpoint Security. Кроме антивирусной защиты, они могут включать в себя один или несколько компонентов: персональный межсетевой экран, хостовое средство обнаружения вторжения, средство криптографической защиты.

 

Защита web-банкинга

 

В случае web-банкинга всё богатство мер, традиционно используемых для защиты ДБО, оказывается, в лучшем случае, трудно применимым. Здесь преимущества web-технологий играют злую шутку. Отсутствие жёстких требований к программной платформе и инсталлируемого софта накладывает ограничения на защиту со стороны клиента. При этом риски для этой категории наиболее высоки. Что же традиционные средства защиты предлагают для web-банкинга? Список не такой уж и большой:

 

Использование протокола SSL. Этот протокол позволяет обеспечить проверку подлинности сервера и шифрование сессии. Он применяется повсеместно в связи с тем, что реализован во всех современных браузерах, и позволяет избежать большого количества достаточно простых атак, таких как перехват аутентификационных данных или простые решения класса Man-in-the-Middle. В то же время протокол не обеспечивает защиту при компрометации браузера или подмене сертификатов корневых удостоверяющих центров на клиентских местах. Существуют также версии протокола с определенными слабостями и уязвимостями.

 

Защита от логирования данных доступа, которая подразумевает использование «виртуальных клавиатур», капч и других способов борьбы с перехватом и/или автоматизированным подбором аутентификационной информации. Увы, постоянное развитие вредоносного кода и различных систем логирования активности пользователя делает эти меры недостаточными. Однако их применение при построении систем web-банкинга не требует больших расходов и потому может рекомендоваться для использования.

 

Многофакторная аутентификация при доступе. Прежде всего используются решения с низкой стоимостью владения в пересчете на отдельного пользователя. Это блокноты с одноразовыми паролями, SMS-аутентификация или аутентификация с использованием ПО на мобильных устройствах (смартфонах, коммуникаторах, планшетах). Иногда возможно применение цифровых сертификатов на различных носителях, систем генерации одноразовых паролей и даже биометрии. Но эти решения подразумевают высокие накладные расходы, как правило, ложащиеся на плечи клиентов при подключении к web-банкингу и потому применимые только в ограниченных случаях (к примеру, для VIP и имиджевых клиентов). Кроме того, некоторые из систем многофакторной аутентификации накладывают дополнительные ограничения на используемые платформы, что может сводить на нет преимущества web-банкинга для клиентов.

 

В текущий момент наиболее популярным вариантом многофакторной аутентификации при доступе является именно SMS- аутентификация. Она предполагает достаточный уровень защиты при минимальных затратах и хорошо масштабируется (можно привести пример компании Google, использующей этот метод для доступа пользователей к сервису Gmail). Однако, по сообщениям McAfee Labs, новые версии вредоносного ПО уже научились компрометировать SMS-аутентификацию в ДБО путем реализации атаки Man-in-the-Middle прямо на коммуникаторе пользователя. Учитывая, что доля смартфонов и коммуникаторов растёт, а аудитория, активно использующая мобильные технологии, в достаточной степени совпадает с контингентом пользователей веб- и мобильного банкинга, число атак, реализуемых посредством компрометации смартфонов, будет только расти.

Аутентификация отдельных транзакций. Дополнительной мерой защиты может выступать использование многофакторной аутентификации не для получения доступа к системе web-банкинга, а для авторизации отдельных транзакций во время работы с ней. Способ обеспечивает частичную защиту от вредоносного ПО, работающего в уже открытой сессии пользователя. Для клиентов–физических лиц (в отличие от юридических) эта защита может считаться приемлемой ввиду удобства ее реализации: количество финансовых транзакций в рамках одной сессии в данном случае редко бывает значительным.

 

Оповещения о проведённых транзакциях. SMS и E-mail оповещения клиента о каждой транзакции могут также рассматриваться как средства борьбы с различными методами перехвата сессий работы с web-банкингом (хотя бы с точки зрения минимизации возможных потерь). Таким образом клиент всегда узнает о начале неправомерного использования его учётных данных. Кроме того, в соответствии с положениями нового закона ? ФЗ-161, отсутствие уведомления клиента о совершённой транзакции рассматривается как безусловное перенесение ущерба от мошеннических операций на сторону банка.

 

Хищение ключей ЭЦП

С момента развития защиты электронного документооборота, когда было сформировано понятие ЭЦП и приняты стандарты по его использованию, основным направлением атак злоумышленников стали попытки хищения ключей ЭЦП, расположенных на носителях разных типов. Такие хищения осуществлялись как самими сотрудниками компании, так и злоумышленниками с помощью взлома корпоративных сетей и персональных компьютеров, фишинга, внедрения вредоносных программ или социальной инженерии. Практика показала, что парольная политика защиты секретных компонент ключей не привела к значительному уменьшению атак, а лишь снизила вероятность использования ключа при прямой краже носителя. Хищения паролей ключей ЭЦП осуществляются аналогичными способами. Наиболее оптимальной защитой от подобных хищений стала практика хранения ключей на токенах – устройствах, исключающих копирование секретных данных и осуществляющих процесс подписи документа внутри токена. При этом факт хищения ключа легко распознается FMS-системами: признаками мошеннических действий являются получение платежного поручения с не зарегистрированных ранее компьютеров и IP-адресов, нарушение последовательности платежных документов или нестандартное для организации заполнение полей платежного поручения.

 

Clientless NAC решения. В случае ДБО нельзя использовать полноценный In-Band NAC, поскольку отказ доступа к функционалу ДБО для пользователя с заражённого компьютера, даже реализованный из лучших побуждений, – это потенциально потерянный клиент. Однако предоставить информацию о наличии, к примеру, подозрительной вирусной активности со стороны клиентского компьютера или отсутствии антивирусного ПО никогда не бывает лишним. Ряд Clientless NAC-решений для контроля конечных рабочих мест работает напрямую из браузера и в случае обнаружения серьёзных уязвимостей позволяет выдавать клиенту предупреждение и список рекомендаций по дальнейшим действиям со ссылками на интернет-ресурсы. Другое применение подобных технологий – внутренний мониторинг клиентской базы с составлением списка подозрительных рабочих мест для последующей корреляции этой информации с данными систем финансового мониторинга и антифрода.

 

Clientless Endpoint защита. Это наиболее сложная технология, являющаяся развитием Clientless NAC-решений. Фактически она представляет собой работающий в браузере (с использованием Java-апплетов, ActiveX и др.) полноценный endpoint-клиент, позволяющий без установки дополнительного ПО обеспечивать базовую защиту клиентских мест на время сессии работы с web-банкингом. Данное направление только развивается, практика использования подобных решений очень невелика, однако их недостатки уже очевидны – это зависимость от версий ПО браузера и клиентских операционных систем, а также высокая стоимость владения.


Организационные меры, побуждающие клиентов к защите. Предложение клиентам ДБО льготных программ на покупку/аренду, к примеру, антивирусного ПО также может рассматриваться как одна из мер защиты клиентских рабочих мест.

 

Заключение

 

Количество угроз в сфере ДБО только растёт, и появляются новые типы атак, связанные с web-банкингом, вредоносным ПО для мобильных телефонов и др. Отметим, что некоторые из этих угроз еще не существовали год-два назад, с ростом рынка ДБО и банковских интернет-услуг растёт и привлекательность атак на данные услуги. Соответственно, растут потенциальные и реальные потери клиентов, а со следующего года – и реальные денежные потери банков.

 

При этом существует достаточно большой выбор средств и методов для защиты ДБО. Если говорить об их внедрении для массового использования, особенно для обслуживания физических лиц через средства web-банкинга, можно констатировать, что немногие решения проходят ценз стоимости и возможности масштабирования. В то же время сложившаяся на текущий момент ситуация с развитием киберпреступности и низкий процент раскрываемости подобных преступлений доказывают, что использование банками подобных технологий для защиты своих клиентов более чем оправдано.

Уведомления об обновлении тем – в вашей почте

Защита ДБО от мошенничества на уровне бизнес-процессов

Наш опыт показывает, что противодействие мошенничеству в рамках дистанционного банковского обслуживания (ДБО), внедрение дополнительных и совершенствование существующих традиционных механизмов защиты не приводят к снижению рисков мошенничества до приемлемого уровня.

Внутреннее мошенничество и каналы ДБО созданы друг для друга?

Мошенничество в каналах дистанционного банковского обслуживания (ДБО) как юридических, так и физических лиц актуально последние 6–7 лет

Социальные сети на службе у мошенников

Банки фиксируют всплеск активности мошенников, использующих методы социальной инженерии для обмана клиентов банков.

Обеспечение защиты сервисов ДБО Банка Москвы от мошенничества

Банк Москвы и компания «Инфосистемы Джет» запустили в работу систему борьбы с мошенничеством в каналах дистанционного банковского обслуживания (ДБО) юридических лиц

И заборы «истончились», и мошенники наловчились

Звонит мне как-то представитель одного из банков, клиентом которого я являюсь. Сперва просит полностью представиться, затем – назвать дату рождения и наконец – кодовое слово.

Интервью с Анатолием Скородумовым, начальником отдела информационной безопасности банка «Санкт-Петербург»

Если составить список самых обсуждаемых за последний год ИТ-тем в банковской среде, в Топ-5 обязательно войдут проблемы безопасности систем ДБО, перспективы аутсорсинга банковских систем и систем информационной безопасности, а также облачный вопрос. У медали, как известно, две стороны: преимущества новых технологий несут с собой дополнительные угрозы.

Во главе угла – защита ДБО от мошенничества

Оборона всегда являлась следствием нападения и ответом на него. И ровно поэтому, говоря о средствах защиты от хакеров, нужно начинать именно со способов их атак и мотивации. Уже никто, к счастью, не вспоминает романтичных хакеров начала девяностых, которые писали вирусы из "любви к искусству" и пытались доказать, что они тоже что-то могут и что-то значат.

Самые значимые ИТ- и ИБ-проекты 2016 года

Банковское обозрение отметило три проекта, реализованных в финансовой сфере компанией «Инфосистемой Джет» в 2016 году

Мошенники не пройдут, или Выявление мошенничества с помощью RSA Transaction Monitoring

Мир интернет-мошенничества непрерывно меняется. Новейшие угрозы, такие как атака "человек посередине" (Man-in-the-Middle, или MITM) и троянские программы класса"человек в браузере" (Man-in-the-Browser), быстро развиваются и становятся все более широко распространёнными.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня