Банки традиционно вкладываются в безопасность и следуют отраслевым стандартам ИБ. Именно поэтому, по сравнению с остальными компаниями, их защищенность за последние годы выросла. Количество атак на финансовые учреждения снижается, и это можно объяснить тем, что для вывода денег из банка злоумышленник должен иметь очень высокую квалификацию.
Ранее кража денег напрямую у организации была главным способом получения прибыли для хакеров. Именно доступ к системам банковских переводов давал им возможность выводить на свои счета огромные суммы. Сейчас же злоумышленники выработали новые преступные схемы и стали использовать шифровальщики, что позволило существенно расширить отраслевой спектр атакуемых: можно выбрать менее защищенную крупную компанию из любой отрасли экономики. А основным источником прибыли стало вымогательство, для которого не нужны большое мастерство и глубокие знания инфраструктуры, как в случае с финансовыми организациями.
Меньше атак, ставка на сотрудников
По итогам первых трех кварталов 2022 года общее количество атак на финансовые организации снизилось на 16% по сравнению с аналогичным периодом 2021 года. Доля кибератак на финансовую отрасль в последние годы в целом сокращалась и сейчас составляет около 5% от числа всех кибернападений на организации. Чаще всего злоумышленники используют методы социальной инженерии (47%) и реже прибегают к эксплуатации уязвимостей, чем при атаках на другие отрасли. Скорее всего, это связано с тем, что сетевой периметр финансовых организаций защищен лучше, поэтому методы социальной инженерии и компрометация учетных данных оказываются более эффективны. В каждой второй атаке используется вредоносное ПО: в основном это загрузчики (59% атак с использованием ВПО), шпионское ПО (18%), шифровальщики (18%) и банковские трояны (12%). В 56% случаев вредоносное ПО распространяется через электронную почту.
Общее число продаж доступов к корпоративным сетям банков в дарквебе по сравнению с аналогичным периодом 2021 года возросло в два раза, а минимальная снизилась в четыре раза. Сейчас стоимость доступов варьируется от 250 до 30 000 $ в зависимости от организации и привилегий в сети, которые получает покупатель. Кроме того, ведется поиск сотрудников банков, которые готовы предоставить злоумышленникам доступ к системам или конфиденциальную информацию.
В дарквебе злоумышленник может найти и вредоносное программное обеспечение для проведения атак на банковские системы, банковские базы данных, инструкции по проникновению в сеть финансовых организаций.
Последствия атак и верификация недопустимых событий
За три квартала 2022 года финансовые организации чаще всего сталкивались с кражей конфиденциальных данных (51% случаев) и остановкой бизнес-процессов (42%). В результате 7% атак компании несли прямые финансовые потери. В 6% случаев злоумышленники использовали ресурсы финансовой организации для проведения дальнейших атак на клиентов и другие компании.
По данным исследований PwC, почти половина (49%) руководителей компаний считают киберугрозы одним из наиболее влияющих на бизнес факторов. Наибольшую обеспокоенность выразили финансовые организации: киберугроз опасаются 59% опрошенных из этой отрасли.
В России финансовый сектор также является одним из наиболее заинтересованных в обеспечении достаточного уровня защищенности: постоянно совершенствуется нормативно-правовая база, поддерживается непрерывный информационный обмен между ФинЦЕРТ и организациями (число которых составляет более 800), проводятся форумы по информационной безопасности.
Кредитно-финансовые учреждения ежегодно составляют около четверти компаний, которые обращаются к специалистам по ИБ за тестированием на проникновение и за верификацией недопустимых событий Собственные данные Positive Technologies. . И хотя финансовый сектор лучше всего подготовлен к атакам по сравнению с остальными отраслями экономики, в целом уровень защищенности организаций от внутреннего и внешнего злоумышленника остается недостаточно высоким. Среди исследованных экспертами Positive Technologies с 2021 по 2022 год финансовых учреждений В выборку вошли внешние и внутренние тестирования, выполненные для организаций кредитно-финансового сектора, при проведении которых заказчики не вводили существенных ограничений на тестируемые сети и системы. в рамках внешнего пентеста в 86% случаев удалось получить доступ в локальную сеть, причем в половине из этих компаний проникнуть во внутреннюю сеть мог даже злоумышленник, не имеющий высокого уровня подготовки. Исключением стал один банк, который не в первый раз заказывал проведение пентеста и учел все рекомендации: исследователям удалось получить доступ только в демилитаризованную зону — буферную зону между ресурсами сетевого периметра и локальной вычислительной сетью.
При проведении внутреннего пентеста во всех случаях экспертам удалось установить полный контроль над инфраструктурой, а также продемонстрировать возможность получения доступа к критически важным системам: например, в одном из банков была выявлена уязвимость, позволяющая скомпрометировать более 1000 банкоматов.
В список типовых недопустимых для финансовых организаций событий, которые специалистам по ИБ требовалось верифицировать, вошли:
- вывод денежных средств свыше определенной суммы со счетов финансовой организации или ее клиентов;
- приостановка операционных процессов финансовой организации из-за недоступности информационных систем;
- недоступность цифровых финансовых сервисов для клиентов на определенный срок;
- искажение или уничтожение информации в базах данных (в том числе в резервных копиях), используемых в операционной деятельности финансовой организации;
- атаки на клиентов и партнеров организации через ее инфраструктуру и цифровые сервисы;
- утечка баз данных, содержащих персональные данные клиентов, банковскую тайну и иную конфиденциальную информацию.
Способы реализации этих событий, которые указываются при проведении работ, различаются. Например, злоумышленник может вывести денежные средства, получив доступ к процессингу карт, к банковским системам с правами, достаточными для совершения банковских операций, удаленный доступ к банкоматам с правами на загрузку файлов на конечные устройства. Как правило, при проведении верификаций удается реализовать более 70% обозначенных событий за ограниченный рамками работ период времени.
Большая часть критически опасных уязвимостей в финансовых организациях связана с отсутствием актуальных обновлений ПО. В 43% организаций выявлены критически опасные уязвимости, связанные с недостатками парольной политики.
Выводы
В целом защищенность финансовых организаций с каждым годом повышается. Для проведения атаки и извлечения финансовой выгоды злоумышленнику нужны более высокая квалификация и глубокие знания внутренних бизнес-процессов, чем при взломе компаний других отраслей, поэтому интенсивность атак на финансовые организации постепенно снижается, а основным орудием преступников становится социальная инженерия. В то же время в дарквебе увеличивается активность киберпреступников по торговле доступами в корпоративную сеть банков и поиску нелояльных сотрудников. Результаты тестирований на проникновение и верификации недопустимых событий показывают, что, несмотря на относительно хороший уровень защиты от внешнего злоумышленника, компании могут понести серьезный ущерб от кибератаки. Мы рекомендуем финансовым организациям уделить особое внимание не только регулярному тестированию на проникновение, но и верификации тех событий, которые могут повлечь серьезный ущерб и недопустимы для их деятельности.