Блог им. smoketrader

Cyber threats: Киберриски и противодействие (2я часть)

Не так давно, в одном закрытом чате участник задал вопрос относительно привлечения, скажем так, «внешнего» трейдера на подработку.
А, возможно и организовать «пул» маркет мейкеров на «удаленке».  Большим пробелом в той задаче, на мой взгляд, была недостаточная  проработка рисков.

В связи с этим, мне хотелось бы продолжить тему киберугроз и немного поговорить про информационную безопасность. 
Угрозы могут быть как преднамеренные (со стороны внешних или внутренних нарушителей), так и случайными (техногенные, ошибочные действия персонала). 

Квалифицированные внешние нарушители — advanced persistent threat (АРТ) группировки — (это не троян, а сама атака).
Наиболее известные группировки: Lazarus, Sidewinder, Transparent Tribe, ViciousPanda и т.д.

Основные характеристики АРТ:
  • Стремятся к полному контролю. Раз за разом не взирая на неудачи возвращаются к «жертве». Используют все силы и средства для этого. 
  • Мощная и продуманная социальная атака. Собираются все данные: о персонале, инфраструктуре, используемом ПО.
  • Используют для «входа» Ваших доверенных адресатов, контрагентов и клиентов.
  • Длительное время наблюдают за «жертвой» в режиме реального времени и собирают информацию не вмешиваясь в процессы.
Неквалифицированные внешние нарушители — script kiddie — пользуются чужими скриптами и разработками, подчас не понимая как они работают.
  • Действия зачастую автоматизированы
  • Из-за недостаточности знаний о скриптах — основное применение в социальной инженерии.  
Внутренние нарушители:
  • Квалифицированные: сисадмины, сотрудники кибербезопасности, внедренные профессионалы
  • Не квалифицированные: руководители, работники, внедренные не профессионалы
Самый критичный риск — проникновение в сеть, шифрование резервных копий, затем шифрование файлов на ПК и серверах. Затем — требование выкупа.
(пример: атака на Гармин).

Актуальный ущерб от «шифровальщиков» — более 15 млрд. долл. в прошлом году.

Модели нарушителей:
  • Атака с использованием шифровальщиков с шантажом на выкуп
  • Атака с целью приостановки бизнес-процессов (заказ конкурентов и игра на бирже)
  • Промышленный шпионаж (кража конфиденциальной информации с целью перепродажи)
  • Массовая атака низкой квалификации (NotPetya, WannaCry)
Варианты заражения трояном:
  • Зараженный сайт
  • Зараженная флешка
  • Электронная почта — ссылки на зараженные сайты — зараженные вложения
  • Троян под видом полезной программы
  • «Сетевой червь»
Пример: письмо сотрудникам компании от Пенсионного фонда о проверке трудового стажа: вредоносная ссылка, замаскированная под Пенсионный фонд.

Протокол удаленного рабочего стола (Remote Desktop Protocol — RDP) — позволяет удаленно подключится к ПК под управлением «винды».
RDP Клиент -> ввод и события мыши -> Сервер терминалов (порт 3389/tcp)
Сервер терминалов (порт 3389/tcp) -> графические данные -> RDP Клиент

Атака на RDP:
  • Скан открытых RDP-портов: используются простые инструменты сканирования - Shodan, Masscan
  • Выполняется попытка входа в систему: зачастую в качестве админа, данные приобретены на черном рынке или с инструментом перебора пароля
  • Отключение систем безопасности: отключение антивируса, удаление резервных копий, изменение параметров конфигурации
  • Доставляется полезная нагрузка: после отключения системы безопасности — добавляется «полезная нагрузка» — установка бэкдоров для будущих атак
  • Требуется выкуп: шифровальщик, фейк-шифровальщик, zip/rar/7z-вымогатель
Слабость RDP — всеобщая проблема.

Как распознать атаку?
  • Не функционируют все системы IT (отсутствует коммуникация с контрагентами, отсутствует возможность осуществлять операции)
  • Резервные копии отсутствуют или повреждены
  • Сообщение о выкупе вашей инфраструктуры
Действия:
  • Отключение от сети Интернет
  • Отчет о потерях IT инфраструктуры
  • Отчет о пользователях в системе
  • Отчет о запущенных процессах на серверах
  • Отчет о хранимой у пользователей информации
  • Стратегия по выходу из кризиса 
VPN — Virtual Private Network — виртуальная частная сеть — название технологии, которая позволяет обеспечить сетевые соединения «поверх» другой сети.

Примеры кибер-рисков:
  • Публикация персональных данных клиентов 
  • Слив информации о сделках до первых платежей клиентов
  • Кража через интернет-банки
  • Аварии сайтов и серверов
  • Внесение изменений в финансовые программы (завышение стоимости после всех проверок)
  • Шифрование ПК
Риски для дистанционного банковского обслуживания:
Невозможность отправить платеж в срок: DOS/DDOS, авария техники, ошибки персонала
Платежи мошенникам: АРТ, script kiddie, работники IT, другие работники.

Противодействие (весьма дорогое):
  • SOC — Security Operations Center — центр оперативного управления. Сбор событий из различных источников, анализ этих событий и предупреждение о возможных проблемах.
  • CERT/CSIRT — Computer Emergency Response Team/Computer Security Incident Response Team — сбор информации о событиях в мире, классификация и нейтрализация

Противодействие угрозам:

  • Резервные копии
  • Обновление программ
  • Разделение доступа и сегментирование сети
  • Связка антивирус/песочница
  • Контроль выходящей информации
  • Контроль движения пользователей
  • Контроль инцидентов информационной безопасности

Внедряемые решения противодействия:

  • Двухфакторная/многофакторная аутентификация
  • Повышение осведомленности пользователей (фишинг, цифровая гигиена, бытовая инф.безопасность)
  • Подключение к SOC
  • Формирование защиты динамического периметра
  • Внедрение регулярного контроля независимыми специалистами вашей инфраструктуры 
★2
5 комментариев
Ого, че это ты этой темой заинтересовался?
Тимофей Мартынов, я курирую тему прямой интеграции с банками от Казны, вот приходится и с кибербезопасностью тоже разбираться :)

Ну и поскольку много с кем общаюсь — есть возможность как-то систематизировать для общественности.
avatar
Кто лидер у нас по кибер безопасности в РФ? Если можно топ-5 кому доверяют крупные заказчики?

Знаю только Group IB
avatar
Vano13, Positive Technologies, BiZone, что-то еще про Solar Security слышал.

+ полно просто крупных интеграторов (Джет, Инфозащита и т.д.) и сейчас в эту область пошли и операторы (МТС и т.д) и все все все, кто набрал свой штат сделал «все хорошо» и теперь продает свои услуги еще сторонним компаниям.
avatar
Доброго дня! А если все таки вернутся к вопросу, в части наемных трейдеров по удаленной схеме (если убрать риски), на сколько реальна такая схема работы? (Именно трейдеры имеющие опыт, в том числе в банках).
avatar

теги блога Smoketrader

....все тэги



UPDONW
Новый дизайн