Блог им. smoketrader

Cyber threats: Киберриски и противодействие (2я часть)

Не так давно, в одном закрытом чате участник задал вопрос относительно привлечения, скажем так, «внешнего» трейдера на подработку.
А, возможно и организовать «пул» маркет мейкеров на «удаленке».  Большим пробелом в той задаче, на мой взгляд, была недостаточная  проработка рисков.

В связи с этим, мне хотелось бы продолжить тему киберугроз и немного поговорить про информационную безопасность. 
Угрозы могут быть как преднамеренные (со стороны внешних или внутренних нарушителей), так и случайными (техногенные, ошибочные действия персонала). 

Квалифицированные внешние нарушители — advanced persistent threat (АРТ) группировки — (это не троян, а сама атака).
Наиболее известные группировки: Lazarus, Sidewinder, Transparent Tribe, ViciousPanda и т.д.

Основные характеристики АРТ:
  • Стремятся к полному контролю. Раз за разом не взирая на неудачи возвращаются к «жертве». Используют все силы и средства для этого. 
  • Мощная и продуманная социальная атака. Собираются все данные: о персонале, инфраструктуре, используемом ПО.
  • Используют для «входа» Ваших доверенных адресатов, контрагентов и клиентов.
  • Длительное время наблюдают за «жертвой» в режиме реального времени и собирают информацию не вмешиваясь в процессы.
Неквалифицированные внешние нарушители — script kiddie — пользуются чужими скриптами и разработками, подчас не понимая как они работают.
  • Действия зачастую автоматизированы
  • Из-за недостаточности знаний о скриптах — основное применение в социальной инженерии.  
Внутренние нарушители:
  • Квалифицированные: сисадмины, сотрудники кибербезопасности, внедренные профессионалы
  • Не квалифицированные: руководители, работники, внедренные не профессионалы
Самый критичный риск — проникновение в сеть, шифрование резервных копий, затем шифрование файлов на ПК и серверах. Затем — требование выкупа.
(пример: атака на Гармин).

Актуальный ущерб от «шифровальщиков» — более 15 млрд. долл. в прошлом году.

Модели нарушителей:
  • Атака с использованием шифровальщиков с шантажом на выкуп
  • Атака с целью приостановки бизнес-процессов (заказ конкурентов и игра на бирже)
  • Промышленный шпионаж (кража конфиденциальной информации с целью перепродажи)
  • Массовая атака низкой квалификации (NotPetya, WannaCry)
Варианты заражения трояном:
  • Зараженный сайт
  • Зараженная флешка
  • Электронная почта — ссылки на зараженные сайты — зараженные вложения
  • Троян под видом полезной программы
  • «Сетевой червь»
Пример: письмо сотрудникам компании от Пенсионного фонда о проверке трудового стажа: вредоносная ссылка, замаскированная под Пенсионный фонд.

Протокол удаленного рабочего стола (Remote Desktop Protocol — RDP) — позволяет удаленно подключится к ПК под управлением «винды».
RDP Клиент -> ввод и события мыши -> Сервер терминалов (порт 3389/tcp)
Сервер терминалов (порт 3389/tcp) -> графические данные -> RDP Клиент

Атака на RDP:
  • Скан открытых RDP-портов: используются простые инструменты сканирования - Shodan, Masscan
  • Выполняется попытка входа в систему: зачастую в качестве админа, данные приобретены на черном рынке или с инструментом перебора пароля
  • Отключение систем безопасности: отключение антивируса, удаление резервных копий, изменение параметров конфигурации
  • Доставляется полезная нагрузка: после отключения системы безопасности — добавляется «полезная нагрузка» — установка бэкдоров для будущих атак
  • Требуется выкуп: шифровальщик, фейк-шифровальщик, zip/rar/7z-вымогатель
Слабость RDP — всеобщая проблема.

Как распознать атаку?
  • Не функционируют все системы IT (отсутствует коммуникация с контрагентами, отсутствует возможность осуществлять операции)
  • Резервные копии отсутствуют или повреждены
  • Сообщение о выкупе вашей инфраструктуры
Действия:
  • Отключение от сети Интернет
  • Отчет о потерях IT инфраструктуры
  • Отчет о пользователях в системе
  • Отчет о запущенных процессах на серверах
  • Отчет о хранимой у пользователей информации
  • Стратегия по выходу из кризиса 
VPN — Virtual Private Network — виртуальная частная сеть — название технологии, которая позволяет обеспечить сетевые соединения «поверх» другой сети.

Примеры кибер-рисков:
  • Публикация персональных данных клиентов 
  • Слив информации о сделках до первых платежей клиентов
  • Кража через интернет-банки
  • Аварии сайтов и серверов
  • Внесение изменений в финансовые программы (завышение стоимости после всех проверок)
  • Шифрование ПК
Риски для дистанционного банковского обслуживания:
Невозможность отправить платеж в срок: DOS/DDOS, авария техники, ошибки персонала
Платежи мошенникам: АРТ, script kiddie, работники IT, другие работники.

Противодействие (весьма дорогое):
  • SOC — Security Operations Center — центр оперативного управления. Сбор событий из различных источников, анализ этих событий и предупреждение о возможных проблемах.
  • CERT/CSIRT — Computer Emergency Response Team/Computer Security Incident Response Team — сбор информации о событиях в мире, классификация и нейтрализация

Противодействие угрозам:

  • Резервные копии
  • Обновление программ
  • Разделение доступа и сегментирование сети
  • Связка антивирус/песочница
  • Контроль выходящей информации
  • Контроль движения пользователей
  • Контроль инцидентов информационной безопасности

Внедряемые решения противодействия:

  • Двухфакторная/многофакторная аутентификация
  • Повышение осведомленности пользователей (фишинг, цифровая гигиена, бытовая инф.безопасность)
  • Подключение к SOC
  • Формирование защиты динамического периметра
  • Внедрение регулярного контроля независимыми специалистами вашей инфраструктуры 
Данная публикация является личным мнением автора. Мнение владельца сайта может не совпадать с мнением автора.
| ★2
5 комментариев
Ого, че это ты этой темой заинтересовался?
Тимофей Мартынов, я курирую тему прямой интеграции с банками от Казны, вот приходится и с кибербезопасностью тоже разбираться :)

Ну и поскольку много с кем общаюсь — есть возможность как-то систематизировать для общественности.
avatar
Кто лидер у нас по кибер безопасности в РФ? Если можно топ-5 кому доверяют крупные заказчики?

Знаю только Group IB
avatar
Vano13, Positive Technologies, BiZone, что-то еще про Solar Security слышал.

+ полно просто крупных интеграторов (Джет, Инфозащита и т.д.) и сейчас в эту область пошли и операторы (МТС и т.д) и все все все, кто набрал свой штат сделал «все хорошо» и теперь продает свои услуги еще сторонним компаниям.
avatar
Доброго дня! А если все таки вернутся к вопросу, в части наемных трейдеров по удаленной схеме (если убрать риски), на сколько реальна такая схема работы? (Именно трейдеры имеющие опыт, в том числе в банках).
avatar

Читайте на SMART-LAB:
Фото
USD/CAD: передышка перед продолжением роста?
Валютная пара USD/CAD протестировала в пятницу пробитый ранее горизонтальный уровень 1.4140, одновременно завершив торговый день свечной формацией...
Июньский бюджет впервые за год закрылся с профицитом
По расчетам Минфина, в июне федеральный бюджет впервые за год получил месячный профицит около 279 млрд руб. На первый взгляд это хорошая новость,...
Фото
Эпоха дивидендов под вопросом. Что теперь делать инвесторам?
Привычный мир российского инвестора, похоже, уходит в прошлое. Если до сих пор для него главным аргументом в пользу покупки бумаг...
Фото
Облигации-флоатеры: интересны ли в текущих условиях?
Флоатеры – облигации с плавающим купоном, которые показывают хорошие результаты при общем росте ставок. Однако, при слабом снижении ставок на...

теги блога Smoketrader

....все тэги



UPDONW
Новый дизайн