Этот пост часть из серии постов посвященных одной теме — обеспечению информационной безопасности платежей в банках.
Ранее в этом посте мы определили на базе каких требований и как будем строить систему защиты. После этого определили, что для обеспечения практической безопасности нам нужна модель угроз.
Затем, в этом посту, мы рассмотрели как вообще люди занимаются моделированием угроз ИБ. Узнали что есть kill chain, MTIRE ATT&CK Matrix и древовидные модели.
Теперь собственно сама работа. Мы отсюда и отсюда берем описание объекта защиты. Смотрим тут и тут что с реальными угрозами.
В результате данный и следующий пост, в которых в виде заготовок для внутренних документов изложена модель угроз с учетом всего выше перечисленного.
Ради интереса давайте вместе посмотрим как формировалась фраза.
Итак, что такое кража денег у банка? Первое, что приходит на ум — врываются люди в масках и забирают наличные из кассы. Хорошо, но не то. Нас интересуют переводы (платежи), то есть деньги в безналичном виде.
Ок, что такое кража безналичных денег? Это когда злодеи крадут ключи электронной подписи и делают платежку на перевод денежных средств. То есть кража это несанкционированный перевод?
А вот здесь сложнее. В ходе нормальной работы банка у него хоть и редко, но происходят операции, в результате которых происходит некорректное зачисление / списание средств на счетах. Банк обычно их оперативно устраняет и они остаются без последствий как для него, так и для клиентов.
Таким образом мы получаем ситуацию, когда кража это с несанкционированный перевод, который банк в штатном режиме не может откатить, а это может быть только в том случае, когда деньги «вышли» из банка.
Вот так и родилось, то что на первый взгляд показалось (с) «Веревка есть вервие простое». Можете посоветовать более удачную формулировку?
И что дает это «описание угроз с текущим уровнем детализации»?
Данное описание содержит в себе все угрозы, которые были реализованы в реальных банковских преступлениях последних лет. Его будет достаточно для обеспечения должного уровня безопасности большинства банков.
А судья кто?
Модель угроз — основная часть тех. задания на подсистему обеспечения информационной безопасности. Полнота и корректность модели напрямую влияет на качество создаваемой системы защиты. Соответственно «судьей» будет заказчик этой системы.
Но я думаю, что вы хотели спросить про другое.
Использованная методика моделирования не содержит ограничений на глубину декомпозиции. Начиная с абстрактного понятия электронный платежный документ мы в итоге можем прийти к XML-файлу, «invoice-20092018.xml», хранящемуся на файловом сервере «prod-fs27-internal.bank.local» с адресом 10.76.23.98. И здесь возникает вопрос как глубоко нужно капать и что считать требуемым уровнем детализации?
Для ответа на этот вопрос давайте рассмотрим конечных пользователей модели. Условно этих людей можно представить следующим образом:
Соответственно итоговым судьей будет человек, решающий свои задачи с помощью представленной модели. Если для его целей описания будет достаточно, то ок. Если чего-то не хватает то модель можно уточнить, не мешая при этом другим пользователям.
Классические «конечные» модели угроз, оперирующие защитой КДЦ (конфиденциальность, целостность, доступность) абсолютно не подходят для их обсуждения с не IT-специалистами.
Данный документ как раз и претендует на официозно-бюрократический статус. Он сделан таким образом, чтобы на его основании можно было быстро составить свой внутренний документ.
Хабр — информационно /развлекательный проект. Этот материал информационный, он для работы, поэтому и выбран сухой бюрократический стиль.
В модели, когда говорим, например, про АБС, мы не указываем АБС какой фирмы и как используется. Мы просто приводим абстрактную систему, сочетающую в себе основные черты реальных систем и указываем к ней абстрагированные угрозы.
На реальных объектах, где используются конкретные системы, конкретных производителей начинают всплывать нюансы, которые в базовой модели отразить невозможно.
Например, серверов у АБС может быть значительно больше 1, они могут выполнять разные функции и т.д. Эти нюансы должны быть отражены в результирующей частной модели угроз.
Чтобы отразить эти нюансы, специалист, разрабатывающий частную модель должен обладать определенным опытом и знаниями. Если такие опыт и знания есть, он делает уточняющую декомпозицию, если его нет — оставляет описание угроз с текущим уровнем детализации.
Дроп — это фигурант организованной преступной группы (ОПГ), роль которого оформить на себя пластиковую карту и в нужный момент сходить снять с нее деньги. Хакеры используют дропов для обналички краденных денег.
Дропы, как правило маргиналы, или обычные люди, жадные до халявы или находящиеся в трудном финансовом положении.
Если интересно, то можете почитать про банковские преступления тут и тут.
На самом деле без разницы, так как 90% отечественных IPS / IDS — это русифицированные Snort или Suricata.
Сертификация в общем случае не делает систему лучше, она только отсеивает «явный бред».
Кстати, с точки зрения методики тестирования можно посмотреть в сторону противодействия IPS классическому kill chain в его описании как MITRE ATT&CK Matrix
Тестирование только по производительности как-то маловато, железка все-таки должна защищать.
Могу поделиться опытом собственных тестов IPS для банка.
Железка должна была защищать подсеть платежных систем. Данная подсеть находится во внутреннем периметре сети банка, но на нее DST-Nat'ится из Интернета трафик для системы Интернет Клиент-Банк (ИКБ). Соответственно, необходимо было защититься от атак которые прилетают из Интернетов и от потенциальных троянов проникнувших во внутреннюю сеть.
ИКБ, работает через Web соответственно потенциально уязвим для атак из OWASPTop10. Из этих атак выбрал SQL-Inj, XSS и DoS-Атаки — TCP SYN Flood, UDP flood, HTTP slow lories
В качестве объекта защиты выступала виртуалка с DVWA IPS ставилась перед ней в разрыв.
Тест 1. Запускаем IPS с полностью активированным всеми правилами и начинаем мучить DVWA стандартными Web-атаками (SQL-Inj, XSS)
Тест 2. Берем Kali linux и жестко флудим жертву TCP SYN, UDP, http slow lories
Тест 3. С помощью Interceptor-NG делаем ARP poisoning
Тест 4. С помощью metsploit запускаем RCE атаку (тогда делал MS08_067)
В результате… чудо решение стоившее кучу килобаксов, имевших сертификаты Федеральных служб… смогло поймать только последнее.
Попробуйте помучать вашу железку аналогичным образом. Интересно что получиться.
Но простым отказом от углеродных электростанций проблему не решить. Мы сами должны измениться. Сейчас все делается так, что продавать как можно больше. Для этого в частности вещи делаются недолговечными (об этом тьма статей на хабре была), пропагандируется избыточное потребление и т.д.
Чтобы жить в чистоте, а не на помойке, путь даже отдаленной от вашего дома на десяток километров нужно меняться самим — лить меньше воды, жечь меньше электричества, покупать меньше пластиковых пакетов.
В противном случае, даже отказавшись от углеродных станций можно придти к тому что вся земля будет загрязнена ветряками, ГЭСами, солнечными панелями и другими «зелеными» технологиями.
Будет здорово, чтобы Калифорния стала первым штатом, уменьшившим общее потребление земных ресурсов, а не только углеводородов.
Ранее в этом посте мы определили на базе каких требований и как будем строить систему защиты. После этого определили, что для обеспечения практической безопасности нам нужна модель угроз.
Затем, в этом посту, мы рассмотрели как вообще люди занимаются моделированием угроз ИБ. Узнали что есть kill chain, MTIRE ATT&CK Matrix и древовидные модели.
Теперь собственно сама работа. Мы отсюда и отсюда берем описание объекта защиты. Смотрим тут и тут что с реальными угрозами.
В результате данный и следующий пост, в которых в виде заготовок для внутренних документов изложена модель угроз с учетом всего выше перечисленного.
Модель угроз ориентирована на практическую безопасность и банковскую нормативку.
Итак, что такое кража денег у банка? Первое, что приходит на ум — врываются люди в масках и забирают наличные из кассы. Хорошо, но не то. Нас интересуют переводы (платежи), то есть деньги в безналичном виде.
Ок, что такое кража безналичных денег? Это когда злодеи крадут ключи электронной подписи и делают платежку на перевод денежных средств. То есть кража это несанкционированный перевод?
А вот здесь сложнее. В ходе нормальной работы банка у него хоть и редко, но происходят операции, в результате которых происходит некорректное зачисление / списание средств на счетах. Банк обычно их оперативно устраняет и они остаются без последствий как для него, так и для клиентов.
Таким образом мы получаем ситуацию, когда кража это с несанкционированный перевод, который банк в штатном режиме не может откатить, а это может быть только в том случае, когда деньги «вышли» из банка.
Вот так и родилось, то что на первый взгляд показалось (с) «Веревка есть вервие простое». Можете посоветовать более удачную формулировку?
Использование БДУ ФСТЭК в обязательном порядке требуется только при формировании угроз для ГИС / МИС и для объектов КИИ.
Данное описание содержит в себе все угрозы, которые были реализованы в реальных банковских преступлениях последних лет. Его будет достаточно для обеспечения должного уровня безопасности большинства банков.
Модель угроз — основная часть тех. задания на подсистему обеспечения информационной безопасности. Полнота и корректность модели напрямую влияет на качество создаваемой системы защиты. Соответственно «судьей» будет заказчик этой системы.
Но я думаю, что вы хотели спросить про другое.
Использованная методика моделирования не содержит ограничений на глубину декомпозиции. Начиная с абстрактного понятия электронный платежный документ мы в итоге можем прийти к XML-файлу, «invoice-20092018.xml», хранящемуся на файловом сервере «prod-fs27-internal.bank.local» с адресом 10.76.23.98. И здесь возникает вопрос как глубоко нужно капать и что считать требуемым уровнем детализации?
Для ответа на этот вопрос давайте рассмотрим конечных пользователей модели. Условно этих людей можно представить следующим образом:
Соответственно итоговым судьей будет человек, решающий свои задачи с помощью представленной модели. Если для его целей описания будет достаточно, то ок. Если чего-то не хватает то модель можно уточнить, не мешая при этом другим пользователям.
Классические «конечные» модели угроз, оперирующие защитой КДЦ (конфиденциальность, целостность, доступность) абсолютно не подходят для их обсуждения с не IT-специалистами.
Хабр — информационно /развлекательный проект. Этот материал информационный, он для работы, поэтому и выбран сухой бюрократический стиль.
На реальных объектах, где используются конкретные системы, конкретных производителей начинают всплывать нюансы, которые в базовой модели отразить невозможно.
Например, серверов у АБС может быть значительно больше 1, они могут выполнять разные функции и т.д. Эти нюансы должны быть отражены в результирующей частной модели угроз.
Чтобы отразить эти нюансы, специалист, разрабатывающий частную модель должен обладать определенным опытом и знаниями. Если такие опыт и знания есть, он делает уточняющую декомпозицию, если его нет — оставляет описание угроз с текущим уровнем детализации.
Подскажите, как получилось 320В, если ранее писали. что напряжение сети 230В.
Дропы, как правило маргиналы, или обычные люди, жадные до халявы или находящиеся в трудном финансовом положении.
Если интересно, то можете почитать про банковские преступления тут и тут.
Политкорректность… по факту ЦБ легализует сложившуюся практику обмена информацией о «дропах».
Сертификация в общем случае не делает систему лучше, она только отсеивает «явный бред».
Кстати, с точки зрения методики тестирования можно посмотреть в сторону противодействия IPS классическому kill chain в его описании как MITRE ATT&CK Matrix
К сожалению был NDA при тестировании. Беглый анализ подобных железок на выставках дает основание предположить что проблема имеет системный характер.
Могу поделиться опытом собственных тестов IPS для банка.
Железка должна была защищать подсеть платежных систем. Данная подсеть находится во внутреннем периметре сети банка, но на нее DST-Nat'ится из Интернета трафик для системы Интернет Клиент-Банк (ИКБ). Соответственно, необходимо было защититься от атак которые прилетают из Интернетов и от потенциальных троянов проникнувших во внутреннюю сеть.
ИКБ, работает через Web соответственно потенциально уязвим для атак из OWASPTop10. Из этих атак выбрал SQL-Inj, XSS и DoS-Атаки — TCP SYN Flood, UDP flood, HTTP slow lories
В качестве объекта защиты выступала виртуалка с DVWA IPS ставилась перед ней в разрыв.
Тест 1. Запускаем IPS с полностью активированным всеми правилами и начинаем мучить DVWA стандартными Web-атаками (SQL-Inj, XSS)
Тест 2. Берем Kali linux и жестко флудим жертву TCP SYN, UDP, http slow lories
Тест 3. С помощью Interceptor-NG делаем ARP poisoning
Тест 4. С помощью metsploit запускаем RCE атаку (тогда делал MS08_067)
В результате… чудо решение стоившее кучу килобаксов, имевших сертификаты Федеральных служб… смогло поймать только последнее.
Попробуйте помучать вашу железку аналогичным образом. Интересно что получиться.
Но простым отказом от углеродных электростанций проблему не решить. Мы сами должны измениться. Сейчас все делается так, что продавать как можно больше. Для этого в частности вещи делаются недолговечными (об этом тьма статей на хабре была), пропагандируется избыточное потребление и т.д.
Чтобы жить в чистоте, а не на помойке, путь даже отдаленной от вашего дома на десяток километров нужно меняться самим — лить меньше воды, жечь меньше электричества, покупать меньше пластиковых пакетов.
В противном случае, даже отказавшись от углеродных станций можно придти к тому что вся земля будет загрязнена ветряками, ГЭСами, солнечными панелями и другими «зелеными» технологиями.
Будет здорово, чтобы Калифорния стала первым штатом, уменьшившим общее потребление земных ресурсов, а не только углеводородов.
P.S. Пусть сделают, чтобы iPhone работал 10 лет.
Возможность наличия оружия у жертвы не является стоп-фактором для преступников.
Пожелание на будущее — сделайте пожалуйста подписи к шкалам в графиках.