В 2022 году АО «Генбанк», который входит[1] в ТОП-150 крупнейших российских банков и является кредитной организацией, признанной Банком России значимой на рынке платежных услуг, выбрал для защиты сетевого периметра и контроля внутреннего трафика систему поведенческого трафика Positive Technologies — PT Network Attack Discovery (PT NAD). Важным критерием при выборе PT NAD среди других продуктов класса NTA (network traffic analysis) для службы информационной безопасности «Генбанка» стали функциональные возможности, а именно поведенческий и статистический анализ трафика, применение технологий машинного обучения и автоматизированный опыт экспертного центра безопасности Positive Technologies (PT ESC) по противодействию атакам.
«В качестве инструмента специалиста по ИБ PT NAD разрушает монополию IT-службы на всевидящее око, — рассказывает Игорь Серегин, начальник отдела защиты информации АО «ГЕНБАНК». — Каждую неделю система обрабатывает порядка 150 миллионов сессий примерно с 400 000 узлами, обнаруживая не менее 3000 попыток проникновения в инфраструктуру банка, включая массовые атаки. Почти треть обнаруженных атак относятся к атакам высокой опасности».
PT NAD позволяет оперативно выявлять и расследовать сложные целевые атаки на предприятия и предоставляет инструменты для проактивного обнаружения действий злоумышленников в сети (threat hunting), делая сетевую инфраструктуру прозрачной для аналитика SOC (security operations center).
Благодаря PT NAD специалисты банка выявили использование словарных паролей. После этого были скорректированы парольные политики и налажена образовательная коммуникация с подразделениями компании по этому вопросу. Помимо этого, была обнаружена передача учетных данных в открытом виде между компонентами инфраструктуры. В настоящее время коммуникация переведена на защищенные протоколы. Также были зафиксированы обращения ряда хостов к командным серверам APT[2]-группировок. В рамках противодействия злоумышленникам специалисты банка обновили сигнатуры межсетевых экранов и средств защиты. Новые неучтенные узлы внутри сети (около 30) также были защищены хостовыми средствами.
«В „Ленте активностей“ за время работы PT NAD было зафиксировано 5700 потенциальных угроз, включая 90 угроз высокой опасности. При этом результаты мониторинга сети „Генбанка“ не выявили успешных проникновений в сеть организации. Это доказывает ответственный подход „Генбанка“ к обеспечению собственной информационной безопасности, когда руководство, вместо того чтобы дожидаться столкновения с реальной угрозой, предупреждает возможные атаки на сеть компании», — рассказывает Дмитрий Ларин, начальник управления информационной безопасности АО «ГЕНБАНК».
[1] По данным крупнейших независимых информационно-аналитических агентств, акционерное общество «ГЕНБАНК» входит в ТОП-150 крупнейших российских банков. АО «ГЕНБАНК» включен в реестр банков, входящих в систему обязательного страхования вкладов физических лиц, обладает всеми видами лицензий, необходимых для осуществления банковских операций, и является членом Ассоциации банков России.
[2] Advanced persistent threat — сложная целенаправленная атака.