Технологии управления информацией о киберугрозах в банковском секторе

Технологии управления информацией о киберугрозах в банковском секторе
Технологии управления информацией о киберугрозах в банковском секторе

Автор: Тимур Зиганшин, руководитель отдела управления рисками компании Angara

58379758d8e14feec79a2f5cb1a0a412.jpg
Банковский сектор занимает верхние строчки списка целевых отраслей, наиболее подверженных атакам киберпреступников. Наибольшую опасность киберугрозы представляют для диверсифицированных финансовых учреждений, имеющих филиалы, дочерние и зависимые компании. Нарушение кибербезопасности в любой точке ставит под угрозу репутацию всего Банка.

Координация данных о киберугрозах между географически распределенными субъектами компании является сложной организационно-технической задачей. Данная задача ежегодно усугубляется увеличением числа мотивированных киберпреступников, а киберугрозы становятся всё более сложными и изощрёнными.
Именно поэтому банки должны всегда быть бдительными и оперативно реагировать на информацию о потенциальных угрозах, типах атак и методах их реализации. Для поддержания максимальной осведомленности компаниям необходимо взаимодействовать с многочисленными разнородными источниками информации о киберугрозах, к которым могут относиться:
 внутренние службы (White-Hat, Red-Team и пр.),
 вендоры (Cisco, IBM, Kaspersky и др.),
 криминалистические лаборатории (Group-IB),
 исследовательские центры (RecordedFuture, Intel471),
 государственные учреждения (GovCert, FinCert, ГОССОПКА и др.),
 отраслевые провайдеры (FS/FI/Retail-ISAC, Swift и др.)
 источники с общедоступной информацией.

По данным RecordedFuture общее количество источников информации о киберугрозах превышает 700 000. По опросу, проведенному SANS Institute, до 80% организаций используют информацию о киберугрозах, поставляемую отраслевыми провайдерами, до 70% использует коммерческие источники информации о киберугрозах, до 55% используют информацию из открытых источников, до 45% выстраивают деятельность внутренних служб и соответствующих процессов. По данным компании ThreatQuotient, количество индикаторов компрометации в единый момент времени может достигать нескольких миллионов.
В связи с многообразием источников и форматов получаемых данных сотрудники служб информационной безопасности могут оказаться перегруженными информацией о киберугрозах. Огромный объем и разнообразие информации об угрозах усложняет обработку данных, не говоря уже о невозможности своевременного реагирования. Каждый новый источник информации об угрозах требует либо реализации программных механизмов для приёма, обработки и комбинирования структурированных и неструктурированных данных, либо рутинной ручной работы по обработке информации, что не оставляет времени для необходимого анализа релевантности и актуализации угроз.

Таким образом, современным финансовым организациям уже сейчас необходимо решать следующие задачи в области защиты от киберугроз:
a742337ab54dca92d64b5b7689b5a6ab.jpg
 получать и обрабатывать информацию о киберугрозах;
 непрерывно сопоставлять полученные данные о киберугрозах с событиями, происходящими внутри инфраструктуры;
 эффективно выстраивать внутренние процессы взаимодействия сотрудников различных подразделений, обеспечивающих защиту от киберугроз, с целью предупреждения инцидентов ИБ или минимизации возможных последствий;
 осуществлять обмен данными о киберугрозах с филиалами, дочерними и зависимыми компаниями.
С целью автоматизации выполнения данных задач в последние годы получили активное развитие продукты, сформировавшие класс решений Threat Intelligence Platform (TIP), потребность в которых появилась и на российском рынке.

Решения класса TIP обеспечивают реализацию целевых задач, обозначенных выше, при эффективном внедрении в инфраструктуру и интеграции со смежными системами:



Функциональными лидерами рынка TIP на текущий момент являются следующие вендоры – Anomali, ThreatConnect, ThreatQuotinet, LookingGlass (ScoutVision), EclecticIQ.

Обеспечивая реализацию необходимого функционала для TIP, каждое из перечисленных решений обладает уникальными особенностями, которые могут склонить выбор клиента в их сторону:

 Вендор Anomali дополняет функционал своей платформы выделенным механизмом сопоставления данных о киберугрозах с событиями, происходящими внутри инфраструктуры, что позволяет исключить нагрузку на SIEM-систему. Платформа Anomali позволяет использовать операционные модели (на текущий момент это – Security Incident Response Matrix, Diamond Model, и Cyber Kill Chain) с целью выстраивания процессов деятельности персонала (например, аналитиков SOC).
 С помощью функционала решения ThreatConnect можно выстраивать собственные операционные процессы обработки информации о киберугрозах с учетом ролевой модели.
 Вендор ThreatQuotient осуществляет приоритизацию собираемых данных в зависимости от инфраструктуры клиента, автоматизирует процесс поиска связанных угроз и обладает наибольшими возможностями по кастомизации платформы конечным пользователем.
 Вендор LookingGlass (ScoutVision) дополняет платформу модулями анализа сетевого трафика и DNS запросов при обработке данных о киберугрозах.
 Решение EclecticIQ обладает наиболее гибким механизмом выставления времени жизни индикаторов угроз, а также предоставляет совместную рабочую область для операторов, выполняющих работу с системой.

Решения класса TIP являются необходимой реакцией на возникающие потребности противодействия угрозам в киберпространстве. Несмотря на небольшой возраст (4 года) решения данного класса являются достаточно зрелыми и в ближайшее время станут очередной ступенькой в непрерывном совершенствовании уровня ИБ современных организаций.
кибербезопасность киберугроза
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group