Поделиться
Зависимость от облачных провайдеров создала новые риски для банков - исследование ТИСБИ
В финансовом секторе выявлены новые типы уязвимостей, связанные с использованием облачных технологий. Исследователи обнаружили, что при передаче данных между банковскими системами и облачными хранилищами возникают периоды, когда системы мониторинга не могут своевременно отследить несанкционированные операции. Это создает условия для проведения скрытых транзакций без возможности их оперативного выявления и блокировки. Об этом CNews сообщили представители университет управления «ТИСБИ».
Результаты исследования опубликованы в научной статье «Оценка устойчивости финансовых информационных систем в контексте существующих угроз в киберпространстве» в журнале «Вестник университета управления "ТИСБИ"». Авторы работы - кандидат педагогических наук, доцент кафедры информационных технологий университета управления «ТИСБИ» Людмила Смоленцева и студентка того же университета Азалия Гареева.
«Мы выявили три критических сценария атак при использовании облачных технологий. Первый - это "инъекционные" атаки на серверы, когда злоумышленники передают команды непосредственно в ядро хранилища данных. Второй - использование программ-снифферов, которые анализируют сетевой трафик, маскируясь под легитимные устройства. Третий - перехват данных во время их движения между системами», - сказала Людмила Смоленцева.
Исследование показало, что современные программы-шпионы способны обходить большинство стандартных механизмов защиты, используя технику «спящего режима» - когда вредоносный код активируется только при определенных условиях, а в остальное время остается неактивным и невидимым для систем безопасности.
При анализе крупных взломов выявлена определенная тактика злоумышленников: они не пытаются сразу похитить средства, а постепенно собирают данные о процедурах безопасности, создавая «цифровые слепки» рабочих процессов. В случае с Bank of Bangladesh в 2016 г. хакеры, используя уязвимости в системе SWIFT, смогли похитить $81 млн.
«При использовании стандартных алгоритмов шифрования возникает проблема с обработкой данных - приходится их постоянно расшифровывать, что создает дополнительные точки уязвимости. Требуются новые подходы к шифрованию, позволяющие проводить операции с данными без их расшифровки», - отметила Людмила Смоленцева.
Исследователи проанализировали статистику инцидентов и выяснили, что значительная часть успешных атак происходит из-за некорректной настройки прав доступа при интеграции локальных и облачных систем. Частой проблемой становятся неотключенные учетные записи уволенных сотрудников.
Авторы разработали методику выявления потенциальных угроз, основанную на построении вероятностных моделей поведения систем. Методика позволяет с высокой точностью прогнозировать наиболее вероятные сценарии атак и выявлять подозрительную активность на ранней стадии.
Особое внимание в исследовании уделено проблеме резервного копирования в облачной среде. Выявлено, что существующие протоколы не учитывают возможность одновременного шифрования данных злоумышленниками. В случае с атакой на Equifax в 2017 г. это привело к компрометации персональных данных 147 млн клиентов, а общий ущерб превысил $4 млрд.
«Необходимо внедрять системы интеллектуального резервирования, которые анализируют характер изменений в данных. При обнаружении подозрительной активности система должна автоматически создавать дополнительную изолированную копию», - отметила Людмила Смоленцева.
На основе исследования разработаны конкретные рекомендации по защите финансовых систем. В их числе - использование распределенных журналов событий для выявления несанкционированных изменений и внедрение механизмов поведенческого анализа для обнаружения аномальной активности пользователей. Важным элементом защиты является соблюдение международных стандартов безопасности ISO 27001 и PCI DSS.
Поделиться
Короткая ссылка
