Противодействие кибератакам в финансовой сфере

Противодействие кибератакам в финансовой сфере

Внимательно посмотрел и послушал панельную дискуссию « Противодействиекибератакам в финансовой сфере — Информационная безопасность банков 18 апреля2022г ». Всё полезное там было в первом часе, далее шла просто дискуссия о преимуществах и недостатках аутсорсинговых соков. Хочу привести основные новые озвученные угрозы, мысли о них на сегодняшний день вместе со своими комментариями:

1.       Сейчас за атаками стоят многочисленные правительства иностранных государств, о чем раньше мало кто даже фантазировал. Ранее это было только в литературе, в моделях угроз ФСБ и в качестве шаблонных фраз на выступлениях. Сейчас это стало реальностью. За атаками стоят официально поддерживаемые властями иностранные ИТ компании.

2.       Настало время относиться ко всему по методологиям Zero-trust (нулевое доверие), в том числе и к персоналу. Есть информация, что администраторам предлагают значимые суммы ($2000) за размещение вредоносных программ в контролируемых ими корпоративных сетях.

3.       Нужно всерьёз начинать рассматривать угрозы типа Supply Chain (цепочка поставок). Это когда вредоносный код доставляется в организацию через любые сторонние сервисы, особенно по официальным каналам при наличии договоров между сторонами.

4.       Нужно быть готовым к реализации APT-атак (Advanced Persistent Threat — хорошо организованная, тщательно спланированная кибератака) и Target-атак (целевая атака). В общем случае для их реализации нужно несколько месяцев времени (2-3-4), которые начиная с 24 февраля 2022 года уже на исходе.

5.       Организациям ведущим собственную разработку важно более качественно проводить анализ кода. Обязательно проводить Code Review (проверка кода), как автоматизированными средствами, так и ручными (к примеру, старший спец проверяет код младшего спеца).

Не обошлось без обсуждения необходимости профильных «тяжелых» сертификаций. Применительно к теме это сертификации в области тестов на проникновение, реагирования на инциденты, расследования инцидентов. Были стандартные тезисы, что сертификаты нужны только для тендеров, что сертификат не показатель и так далее. Забавно всё это слышать в очередной раз. И как обычно всё это опять свелось к тезису нужно или не нужно высшее образование в ИБ. В общем и целом, под «тяжелыми» сертификациями в области ИБ понимаются следующие: CISSP, CISA, CISM.

Теперь мой комментарий.

Перечисленные выше сертификации говорят о том, что человек скорее всего имеет широкий кругозор в области ИБ и может более профессионально и объективно решать задачи. Изучаемый на этих сертификациях материал учит и позволяет более объективно воспринимать возможности информационных технологий и методов их защиты. Полезность сертификация для работодателей заключается в том, что на собеседованиях можно не тратить многочисленные часы на верификацию необходимых компетенций, а можно сразу обсуждать, что именно нужно для конкретного направления работы.

Теперь касаемо внешних соков.

Действительно, крупные организации чаще строят собственные соки. Маленькие берут сок на аутсорсинг. Но возникает такая проблема. Направляя ИТ и ИБ события во вне, возникает вопрос, а получает ли такая маленькая организация от этого экономию или прибыль? Есть старая китайская поговорка. Если ты не будешь закрывать уязвимости, но и не нужно сканировать на них. Так же и здесь. Если в маленькой организации некому реагировать на инциденты ИБ, то также будет некому и создавать защищённую ИТ-инфраструктуру, чтобы их и далее было меньше. Сейчас я не рассматриваю вопрос комплаенса, это, как говорится, другое.


Alt text

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

Евгений Шауро

Блог специалиста по информационной безопасности