Исследование Qrator Labs: четверть опрошенных организаций финсектора сталкиваются с DDoS-атаками
15, июнь 2016 Цели и задачи исследования Целью настоящего исследования Qrator Labs и Wallarm, проведенного компанией 42Future, было изучить актуальность проблематики и масштаб угрозы DDoS- атак и атак на уязвимости приложений в российском финансовом секторе ( банки и платежные системы ), а также оценить уровень защищенности внешнего сетевого периметра организаций . В рамках исследования решались , в частности , следующие задачи :
Методика исследования Работы в рамках настоящего исследования проводились в формате опроса . Респондентам предлагалось ответить на вопросы анкеты . Опрос проводился среди представителей банков и платежных систем , работающих в России . Было опрошено 150 представителей разных компаний финансового сектора . В выборку были включены в том числе некоторые банки из рейтинга Топ -100 по размеру активов . Всего было опрошено 138 банков ( из 646 действующих кредитных организаций , имеющих право на осуществление банковских операций , по данным ЦБ РФ на май 2016 г .) и 12 платежных систем ( из 33 включенных в реестр операторов платежных систем ЦБ РФ на май 2016 г .). В опросе участвовали руководители ИТ - подразделений , их заместители , а также руководители департаментов , отвечающих за вопросы информационной безопасности . Результаты исследования I. ПОНИМАНИЕ РИСКОВ Информационная безопасность ( ИБ ) – один из основных приоритетов банковского бизнеса , который должен обеспечивать бесперебойность расчетов и конфиденциальность данных . Сбои в работе отдельных банков в результате инцидентов ИБ могут привести к системному кризису всей финансовой системы . Ущерб от киберпреступлений в российской банковской отрасли оценивается более 5 млрд руб . в 2015 году ( данные ЦБ РФ и « Сбербанка »). Причем главной целью злоумышленников уже являются сами финансовые учреждения , а не их клиенты . Обеспечение информационной безопасности в финансовом секторе регулируется объемной нормативно - правовой базой , отраслевыми стандартами и внутренними регламентами . Для усиления противодействия киберпреступности ЦБ РФ разработал рекомендации по обеспечению информационной безопасности , которые вступили в силу с 1 мая 2016 года . Это первый подобный комплекс мер для банков по выстраиванию эффективности системы мониторинга для минимизации риска утечек информации . Бюджеты на ИБ в 2016 году В силу высокого приоритета данной задачи банки и платежные системы исторически уделяют много внимания вопросам ИБ и даже в кризисные периоды не сокращают свои затраты по этому направлению . Глобально расходы финансового сектора на ИБ растут на 3-4% в год ( оценка PwC). По данным настоящего опроса около трети респондентов увеличили в 2015 году свой ИБ - бюджет , и еще 44% сохранили его в прежнем объеме . Изменение бюджета на ИБ в 2015 году На фоне постоянного увеличения количества инцидентов ИБ меры по противодействию киберпреступности также должны усиливаться . 100% опрошенных компаний подтверждают , что осуществляют контроль за сетевым периметром . Но , по мнению экспертов Wallarm, это не дает никакой гарантии защиты от взлома : плохо внедренные меры защиты позволяют атакующими использовать приложения , как самый простой способ для « пробоя » периметра и развития атаки внутри сети организации . Однако , полученный в ходе исследования результат , позволяет говорить о достижении российскими организациями определенного уровня зрелости в вопросах ИБ и управления рисками . В условиях цифровой экономики и формирования платформ промышленного интернета эта мера является минимально необходимой для выживания бизнеса . Осознание рисков В отрасли сформировалось четкое понимание , что киберпреступления — это серьезная угроза , которую нельзя сводить к рядовой технологической проблеме . 61% респондентов считают , что в случае инцидента ИБ ( в зависимости от его масштаба и серьезности ) повышается риск отзыва лицензии . Уже известно , что три банка , перенесших кибератаки , были лишены лицензий – в том числе , как отмечал регулятор , в связи с этими инцидентами . Финансовые учреждения опасаются утечек персональных данных пользователей и других конфиденциальных данных в результате успешного взлома сервисов на сетевом периметре , что помимо прочего может грозить отзывом сертификации (PCI DSS). Более трети опрошенных не рассматривают такой риск как первое и главное последствие киберпреступления , предполагая , что сначала идут репутационные и финансовые издержки . Однако абсолютно все респонденты уверены , что непредотвращенные инциденты ИБ сегодня означают серьезные потери для бизнеса . Наиболее вероятные последствия от инцидента ИБ Понимание меняющихся условий В компаниях понимают , что подходы к обеспечению ИБ должны трансформироваться в соответствии с быстрыми изменения ситуации на рынке . Это соответствие определяет не только защищенность бизнеса , но и возможности его дальнейшего развития . 77% респондентов разделяют мнение , что устаревшие требования к безопасности мешают внедрению новых технологий и подходов к развитию ИТ - инфраструктуры . Устаревшие требования к безопасности препятствуют внедрению новых технологий , новых подходов к разработке и управления инфраструктурой ? Привлечение внешнего аудита по ИБ Дополнительное подтверждение зрелости организаций финансового сектора в вопросах ИБ – привлечение внешнего аудита . Его проведение подтверждают более 80% респондентов . Стандарт ЦБ РФ рекомендует проводить аудит ИБ ежегодно , с целью проверки выполнения требований регулирования , либо проверки надежности и защищенности используемых решений . При этом в планах Центробанка , заметно ужесточающего надзор в сфере ИБ – перевести стандарт СТО БР ИББС в формат ГОСТа , сделав его обязательным . Использование внешнего аудита безопасности / нагрузочного тестирования По результатам проведенного аудита 19% опрошенных говорят о выявлении недостаточной эффективности защиты . Формально это может означать повышение риска отзыва лицензий у данной группы респондентов . Выше отмеченное увеличение расходов на ИБ ( на 27%) выглядит в этой ситуации закономерным шагом для решения обозначившейся проблемы . Половина респондентов обнаруживали благодаря аудиту , что эксплуатация решений обходится слишком дорого . Это открывает возможности для оптимизации затрат , на которую ориентирован сегодня весь российский бизнес . По нашему опыту , возможная оптимизация расходов в области ИБ относится к аппаратным решениям , когда заказчик недооценивает необходимость в дальнейшей донастройке и поддержке . Кроме того , системы обеспечения безопасности дают слишком много событий . У служб ИБ часто ограничены ресурсы , в результате , события безопасности не обрабатываются или обрабатываются недостаточно эффективно и не полностью . По мнению Wallarm, даже в случаях внедрения центров реагирования – SOC (Security Operation Center) – на базе дорогостоящих продуктов класса SIEM (Security information and event management), проблема реагирования на большое число срабатываний не решается должным образом . Ключевая особенность , которую признает рынок : в сетях общего доступа , таких как Интернет , атакующие могут создавать столько событий безопасности , сколько захотят . При этом , защитные меры в виде блокировок по IP адресам или подсетям практически неэффективны против современных автоматизированных средств для атак . Почти треть респондентов также ответила , что заявленные характеристики оборудования продуктов информационной безопасности не соответствуют реальности . « Будучи ограниченными в возможностях масштабирования , компаниям приходится идти на компромисс и защищать только часть приложений или определенную часть трафика » — добавляет Иван Новиков , генеральный директор компании ОНСЕК , разрабатывающей Wallarm. Основные недостатки , выявленные по результатам аудита решений II. ТИПЫ УГРОЗ Более трети респондентов отмечают , что не сталкивались в 2015 году с инцидентами ИБ . Тут нужно учитывать традиционную закрытость и чувствительность именно банковской отрасли к публичному признанию фактов киберпреступлений . Однако большинство уже готово подтвердить зафиксированные атаки . Игроки осознают важность реального отражения ситуации с тем , чтобы более эффективно развивать стратегии кибербезопасности и бороться с мошенниками общеотраслевыми усилиями . К открытому обсуждению проблемы , размеров потерь и конкретных схем атак активно призывает и Центробанк . DDoS- атаки Наиболее часто компании финансового сектора сталкиваются сегодня с DDoS- атаками . Об этом говорит почти четверть респондентов . По - прежнему это средство недобросовестной конкурентной борьбы , которое можно применять результативно и со все меньшими затратами ( от 5 долл . в час ). В то же время DDoS- атаки часто используются для отвлечения внимания и проведения других типов атак – например , взлома сайта или веб - приложений . О том , что такого рода комплексные атаки становятся трендом , также говорилось в совместном исследовании « Тренды 2015 года в области интернет - безопасности в России и в мире » ( qrator.net/ presentations /QratorDDoSReport2015.pdf ), сделанном Qrator Labs и Wallarm по итогам 2015 года . Попытки взлома приложений и сервисов на сетевом периметре отметил 17% респондентов . В реальности цифра гораздо выше , считают специалисты Wallarm: практически каждый публичный ресурс хотя бы раз в месяц подвергается автоматизированным ( часто не направленным на конкретную цель ) атакам на публичные уязвимости . Наиболее часто фиксируемые инциденты ИБ в 2015 году В числе других инцидентов респонденты называли вирусы , инсайдеров , инциденты , связанные с работой ДБО . Атаки на инфраструктуру сети В последние два года Qrator Labs в своих отчетах по исследованиям рыночных тенденций ( qrator.net/ presentations /QratorDDoSReport2015.pdf ) обращает внимание на новую угрозу – атаки на инфраструктуру сети , рассматривая их , как перспективный вектор . Более половины (58%) опрошенных экспертов подтверждают , что риски такого рода уже представляют собой опасность , и угроза будет расти . Однако 40% все еще находятся в неведении , отрицая критичность атак на инфраструктуру сети или протоколы маршрутизации . Впрочем , такая ситуация типична для восприятия новых угроз . Кроме того , среди респондентов высказывались оптимистичные предположения , что несмотря на серьезность угрозы , предпринимается достаточное количество мер для ее предотвращения – и соответственно , ее критичность снижается . Оценка угрозы атаки на инфраструктуру сети / протоколы маршрутизации 99% респондентов действительно подтверждают , что предпринимают контрмеры против атак такого типа . Можно предположить , что в ряде случаев они считают , что такие контрмеры предприняты . В том числе , рассчитывая на средства защиты , обеспечиваемые провайдером связи . Однако в отсутствие специальных и последовательных шагов самой организации для противодействия атакам на инфраструктуру уровень ее защищенности нельзя считать достаточным . III. ТИПЫ ИСПОЛЬЗУЕМЫХ РЕШЕНИЙ Большинство респондентов (69%) считают самым эффективным средством противодействия операторское решение по защите от DDoS. Однако по мнению экспертов Qrator и Wallarm сегодня этот метод устаревает . « Решение на стороне оператора уже не может обеспечить защиту от целых классов атак . К тому же такие средства практически никогда не поставляются в комплекте с интегрированным WAF (Web Application Firewall), обеспечивающим защиту от хакерских атак . Аналогично устаревают с точки зрения реальной эффективности решения CPE», – говорит Александр Лямин , генеральный директор Qrator Labs. Более подробную информацию о том , почему больше не работают операторские решения и решения на стороне клиента (CPE), можно найти в White Paper « Эволюция DDoS- атак и средств противодействия данной угрозе » (qrator.net/presentations/DdosEvolution.pdf). Показательно , что лишь 9% опрошенных считают эффективными облачные решения . В то же время практика показывает прямо противоположный результат , что иллюстрируют следующие примеры . Пример компании QiWi Компания QiWi, владеющая крупнейшей платежной системой в России опробовала все классы решений пока не остановилась на геораспределенной облачной сети фильтрации трафика . « Наш бизнес – это высокотехнологичная система интернет - платежей . Сетевая безопасность – один из самых главных аспектов , который влияет на работу всей компании . Мы используем целый комплекс для защиты от угроз извне , и постоянно его совершенствуем . На мой взгляд облачное решение для фильтрации трафика на сегодняшний день является самым оптимальным способам противодействия одной из наиболее опасных угроз – DDoS- атакам . Правильнее всего использовать такой инструмент в комплексе с решениями для защиты от хакерских атак , которые часто производятся одновременно с DDoS- атаками », – говорит Кирилл Ермаков , руководитель департамента информационной безопасности группы QiWi. Какие решения для защиты от DDoS- атак и взломов считаете наиболее эффективными ? Передача трафика внешнему поставщику услуг 54% опрошенных уверены , что не пропускают трафик через внешнее решение . На самом деле зеркальная копия трафика отправляется в ЦОД оператора практически всегда . Это делается для анализа и обнаружения атак самим оператором . Кроме того , « выжимки » из мета - данных об этом трафике зачастую направляются оператором вендору того решения , которое он использует . Для оператора это критически важная активность , т . к . атака на отдельного клиента может задеть других клиентов или вовсе « забить » весь канал оператора на определенном участке сети . « В связи с развитием сетевых технологий и технологий виртуализации сетей , становится все сложнее обозначить периметр сетевой безопасности корпоративной сети . Это несет дополнительные риски и требует переосмысления политик безопасности . Корпоративная сеть перестает быть четко очерчена границами физических устройств , и превращается в совокупность сервисных макросегментов , каждый из которых обозначается собственным периметром безопасности », – говорит Александр Лямин , генеральный директор Qrator Labs. Пропускаете ли вы трафик через стороннее решение для защиты от атак ? Восприятие решений фильтрации трафика Исследование показало , что на рынке сформировалось понимание того , как работают фильтры трафика . 55% сталкивались с ложными срабатываниями подобных решений , но осознают неизбежность таких событий . В итоге этот фактор не особенно влияет на принятие решения о покупке инструмента для фильтрации . Скорее на этот выбор влияет SLA – число false positive ( ложных срабатываний ), но эта гипотеза пока ждет подтверждения . По мнению экспертов Qrator Labs, действительно , ложные срабатывания неизбежны при использовании любых решений фильтрации трафика . Но при выборе решения показатель количества таких ситуаций не стоит недооценивать . Для бизнеса отфильтрованный клиент может означать потенциальные финансовые потери . Соответственно , при выборе решения рекомендуется учитывать процент false positive характерный для конкретного продукта наряду с остальными важными характеристиками : скорость реакции на атаку ( время обнаружения и нейтрализации атаки ), качество техобслуживания , способность противостоять сложным комплексным атакам .
ВЫВОДЫ
|
|