Руководитель команды кибербезопасности финтех-холдинга ID Finance Алексей Краснов рассказал Dev.by, зачем нужна собственная команда безопасности, если услугу можно взять на аутсорс. А также почему компания предпочитает использовать бесплатные решения и дорабатывать их сама, а не «обложиться дорогостоящим железом и софтом».
Когда у ID Finance появилась собственная команда кибербезопасности? Чем она занимается?
Год назад. Фактически я первый «безопасник» в минском офисе. До меня эти же задачи решали ребята из локальных команд, однако со временем проблем стало много. Стало очевидно, что нужен системный подход и отдельная команда специалистов.
В ID Finance со временем появлялись новые процессы, и под них нужны были люди. Так команда выросла до четырёх человек. Также у нас есть специалисты в удалённых офисах, в чьём ведении вопросы экономической безопасности и соответствия требованиям местных регуляторов. А нас они привлекают в качестве технических экспертов. Всего в компании порядка 15 человек, которые занимаются вопросами безопасности.
Наша команда постоянно в процессе расставления приоритетов. Очень важно не распыляться: можно попытаться приложить усилия и там, и здесь, и вообще везде, но и наши ресурсы, и ресурсы тех людей, которых мы вовлекаем в решение задач, — конечны. Поэтому в приоритете у службы безопасности ID Finance такие векторы:
- максимум усилий, чтобы защитить инфраструктуру и приложение.
- работа с сотрудниками, которые уязвимы к атакам типа социальной инженерии.
В самом начале нашего пути мы начали работу с того, что расписали все инциденты и построили таймлайн, который определяет, с чем компания сталкивается чаще всего. Это стало для нас отправной точкой: мы определились, чем заняться в первую очередь.
С какими атаками ID Finance сталкивается чаще всего?
DDoS-атаки, атаки на инфраструктуру и приложение, фишинговые рассылки, направленные на сотрудников компании. С DDoS-атаками мы сталкиваемся примерно раз в три месяца. DDoSеры активизируются в период школьных каникул: атак в это время значительно больше, чем в течение учебного года.
В последний год мы отмечали инциденты, связанные со «скрытым майнингом» на наших ресурсах, из-за чего серьёзно возрастала нагрузка на инфраструктуру. Злоумышленники используют автоматизированные средства поиска уязвимых сервисов в интернете для их последующей эксплуатации. Например, мы видели много атак на системы хранилищ типа «ключ»-«значение». Также несколько раз сталкивались с тем, что злоумышленники через уязвимости в системах управления контента размещали свои рекламные баннеры на наших сайтах. То есть проводили что-то вроде дефейса страниц с целью заработка.
Чтобы сократить число таких инцидентов, необходимо выстроить процессы. Например, процесс управления уязвимостями: здесь нужно действовать на опережение, а значит, знать свою инфраструктуру. В условиях непрерывных изменений мы используем динамическую модель управления активами в связке со сканером уязвимостей. При введении в эксплуатацию нового хоста установленный на нем агент передает информацию о себе сканеру через его API и инициирует запуск сканирования. При обнаружении уязвимости с высоким приоритетом автоматически открывается тикет на ответственную команду. Таким образом нам удалось автоматизировать процесс от момента обнаружения новых хостов до эскалации обнаруженных проблем безопасности техническим владельцам систем. На весь процесс ушло где-то полгода. Работа продолжается.
То же самое касается дефейса сайтов. Раньше в ID Finance использовались разные CMS, и мы перешли на единый «движок» для всех проектов во всех странах. Это привело к значительному упрощению процедуры патч-менеджмента. В итоге отпала необходимость помнить, какая у нас CMS в России, а какая в Испании, где старая версия «движка», а где новая — мы патчим сразу всё. И число инцидентов снизилось.
Вы отметили как-то, что заказать DDoS-атаку не сложнее, чем пиццу в офис. Как вы отражаете эти атаки?
DDoSы — это не та угроза, с которой мы боремся самостоятельно. Мы поняли, что проще спрятать наши приложения за сервис провайдеров, предоставляющих услуги по защите от DDoS-атак. Наши партнёры успешно митигируют их, доставляя нам только очищенный трафик.
Тем не менее, не скрою, были случаи, когда атакующим удавалось обходить защиту, стоявшую у них на пути. Следует отметить, что это была уязвимость в нашей собственной конфигурации, которую мы пропустили, а злоумышленники заметили и сумели ею воспользоваться.
Однако большая часть DDoSов — это атаки от людей без какой-либо технической экспертизы. DDoS — услуга, при этом достаточно дёшевая. Плати — и «вперёд на штурм», как говорится. Небольшую атаку на незащищенный сайт можно устроить за сумму от $50 до несколько сотен долларов. Некоторые так и делают: запускают в нашу сторону атаку, направленную на переполнение канала связи, но видят, что наши приложения как работали, так и продолжают работать. Как правило, мы встречаемся с атаками до 3 Gbps, но видели DDoS атаки и до 10 Gbps.
Это речь о тех, кто покупает DDoS и атакует без разбора. Как насчёт злоумышленников, которые ориентированы на успешный результат?
Такая нацеленная атака — скорее, исключение. У нас был один такой случай DDoS-атаки. Кто-то действительно смог найти уязвимость в нашей конфигурации: обошёл защитные механизмы и «достучался» до нашего сайта. Какое-то время он был недоступен.
Но мы тут же включили другой, не менее важный процесс, — процесс реагирования на инциденты безопасности. Ведь какие бы дорогие решения ты не внедрял, инциденты все равно случаются. И нужно уметь правильно на них реагировать.
В том случае, о котором идёт речь, проблема была решена менее, чем за час. Мы сумели разобраться, как нас «поломали». И закрыть эту брешь, чтобы подобное не повторилось вновь.
ID Finance старается строить свои процессы на базе бесплатных решений и дорабатывает их самостоятельно. Почему так?
Поверьте, мы понимаем, за что платим. Мы работали с разными решениями, в том числе и стоимостью в десятки тысяч долларов.
Какие-то сервисы, как защиту от DDoS-атак / Web Application Firewall, и вправду проще купить. Стоит недорого, а пользу трудно переоценить. Но есть множество Open Source решений, которые справляются с задачами не хуже коммерческих. Нужно просто уметь с ними работать и быть готовым к доработке или расширению функционала.
Решение таких задач — всегда творческий процесс, это позволяет команде самореализовываться. Например, мы организовали централизованный сбор и анализ журналов событий безопасности полностью на бесплатных решениях, а корреляционный модуль доработали самостоятельно. Один из реализованных нами кейсов связан с детектированием внешних атак и агрегацией информации о злоумышленниках. Далее эта информация используется для обогащения контекстом безопасности на первый взгляд легитимных событий. Например, мы обнаружили атаку на наше приложение с некого IP адреса. Этот IP попадет в локальную репутационную базу данных и будет сопоставляться с IP адресами во всех событиях об успешных входах в наши сервисы. При обнаружении совпадения автоматически будет создан тикет об обнаружении инцидента безопасности.
Как вы защищаете точки соприкосновения своих сервисов с платёжными шлюзами?
Мы не процессим у себя данные держателей карт. Используем тот функционал, который даёт платежный шлюз. Для клиента всё выглядит так, что на нашем сайте всплывает окно, но оно не наше, — и все защитные механизмы реализованы на стороне сервис-провайдера, с которыми мы сотрудничаем.
Поэтому наша задача — выбрать такого сервис-провайдера, у которого есть статус PCI DSS Compliance.
Привлекаете внешнюю экспертизу, чтобы провести расследование после инцидента?
Нет, все расследования команда проводит самостоятельно. Это часть нашего процесса по реагированию на инциденты безопасности. Но мы отправляем в компании, специализирующиеся в области форензики (компьютерная криминалистика — прим. ред.), информацию, которую собираем в ходе расследования: IP адреса, доменные имена, экземпляры вредоносного ПО, дампы памяти, полученные в ходе анализа содержимого жестких дисков, оперативной памяти, сетевой активности и т. д. Мы стараемся быть небезучастными и помогать сообществу, ведь далее эта информация может попасть в другие компании, которые смогут выявить аналогичный инцидент у себя по обнаруженным нами артефактам взлома.
Случались ли у ID Finance «провалы» в безопасности?
На заре, когда мы строили команду, а также определялись с практиками, мы сделали большую ошибку. Мы старались решить все проблемы сразу как в производственной, так и в корпоративной инфраструктуре.
Спустя какое-то время мы поняли, что, работая в «режиме пожара», движемся очень медленно — и так мы не преуспеем ни в чём. Мы осознали необходимость жёсткой приоритизации: что для нас важно здесь и сейчас. А остальные задачи — в backlog, постепенно мы с ними разберёмся. Так мы пришли к тому, что нужен процессный подход и четкие границы того, где мы его будем применять. В итоге появились наши первые процессы, о которых мы говорили ранее. Потом мы начали расширять обозначенные границы и внедрять новые процессы. Для этого потребовались дополнительные ресурсы — команда стала расти. Один из последних наших процессов — это анализ защищенности. Этот процесс мы можем применить как к внедрению новых решений в компании, так и к целым офисам.
Например, оценка облачного файлового сервиса перед его внедрением на соответствие таким требованиям безопасности, как использование защищенных протоколов передачи данных, надежные механизмы аутентификации, ролевая модель управления доступом, логирование.
В интервью Dev.by сооснователь ID Finance Александр Дунаев отметил, что компания периодически получает послания от шантажистов: «Перечислите нам пять биткоинов, иначе мы запустим DDoS-атаку».
Нельзя сказать что мы регулярно получаем такие угрозы, но подобных кейсов действительно было несколько.
Мы не платим шантажистам. Такова общепринятая практика — не вести переговоров с киберпреступниками. Дело в том, что за DDoS-атаками часто стоят «школьники», которые думают: «О, финтех-компания — деньги есть. Напишу-ка я им…». Они стучатся во все двери, и как-только хоть где-то им ответят, сосредотачивают свои усилия именно на этой компании. Если ответа нет, они понимают, что вероятность успеха их DDoSa невысока.
А если их намерения серьёзны?
Пока все подобные атаки отбивали наши сервис-провайдеры. Мы даже не защищались дополнительно: к нам приходили уведомления, о начале и завершении DDoSа.
То есть случаев, когда компания была готова пойти на переговоры с шантажистами, в вашей практике не было?
Были случаи, когда нам писали, что нашли уязвимость, и хотели бы получить вознаграждение — и больше никаких подробностей: «Заплатите, тогда скажу!». Иногда мы заводили с этими людьми диалог, «раскручивали». Это своего рода игра. И на выходе понимали, что проблема не на нашей стороне, а в используемом нами стороннем сервисе, внедряя который мы приняли на себя все связанные с этим риски.
Были также случаи, когда нам писали об уязвимости в нашем приложении, подробно её описывали, — таким людям мы очень благодарны. С ними мы, как правило, налаживаем сотрудничество.
У вас нет программ вроде Bug Bounty Program?
Ведём переговоры с одной из компаний, которая предоставляет платформу для организации Bug Bounty прогаммы. Рассматриваем вариант её регистрации в следующем году.
«Речицкий хакер» в интервью Dev.by отметил, что любой специалист по кибербезопасности — всегда хороший взломщик. Вы согласны с этим?
Готов согласиться: действительно важно уметь смотреть на мир «глазами» злоумышленника. Как он будет действовать? Какие техники использовать?
У нас в команде специалисты с большим бэкграундом. Они умеют думать, как хакеры. Это позволяет нам:
- Оперативно и правильно решать вопросы безопасности.
- Экономить. Можно заказывать внешний пентест, а также форензику, когда случаются инциденты, но это дорого — такие вещи суммарно обойдутся в десятки тысяч долларов. Иметь своего человека в штате с подобными компетенциями выгоднее. Да и ребята относятся к такой работе иначе и не закисают за написанием политик и внедрением контролей.
- Специалист со стороны не будет знаком со спецификой компании. Это тоже важно.
От каких ошибок вы могли бы предостеречь специалистов по безопасности?
Мы, технические специалисты, любим отталкиваться от технических решений: нужно внедрить Firewall следующего поколения, нужна система предотвращения утечек Но, оперируя решениями, можно и заблудиться. Идти следует от процессов к техническим решениям, которые будут жить «под капотом» и обеспечивать эффективность процесса.
Во сколько примерно финтех-компаниям обходится безопасность?
Можно потратить сколько угодно — у страха глаза велики, как говорится. Мы тестировали «в бою» решения различных вендоров — и нам удавалось обойти имеющиеся защитные функции. И по итогу поняли: да, можно внедрить множество решений по безопасности, но в целом нельзя будет утверждать, что бизнес в безопасности. А можно, например, изменить архитектуру инфраструктуры, и тем самым снизить риски до приемлемого уровня. И это будет гораздо дешевле — мы подключим админов, DevOpsов и разработчиков, и решим задачу собственными силами.
В компании проводят ликбезы для сотрудников, как они должны вести себя в той или иной ситуации? Можете рассказать подробнее?
Давайте честно. В целом сотрудникам некогда погружаться в мир кибербезопасности, а многим еще и неинтересно. И тут наша цель донести до них, что каждый из них причастен к безопасности, и только вместе мы сможем сделать нашу компанию сильнее. Недавно мы запустили Школу кибербезопасности, в которой рассказываем про те ошибки, которые допускают сотрудники, и как их используют злоумышленники для атак на нашу компанию. Например, рассказываем про ресурс https://haveibeenpwned.com, на котором можно проверить, был ли скомпрометирован твой логин и пароль в одной из утечек или нет. Рассказываем, как практика использования одинаковых паролей может привести к инциденту безопасности. Так у нас появилась киберсреда — день знаний.
Мы вовлекаем сотрудников в процесс реагирования на инциденты безопасности, где видим использование злоумышленником приёмов социальной инженерии. Используя простые приёмы инфографики, можно показать, где опасность, и что не стоит делать
Дело в том, что злоумышленники часто пытаются украсть логины и пароли наших сотрудников. Также классика жанра — письма от боссов компании, которым якобы нужно «перевести деньги на счёт»: «Это срочно! Некогда обсуждать. Созваниваться не будем — всё потом!». Но зная пару-тройку мест, на которые стоит обратить внимание, они уже не покупаются на такие фишинговые письма, и легко отличают их от легитимных.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.