В финансовом секторе выявлены новые типы уязвимостей, связанные с использованием облачных технологий. Исследователи обнаружили, что при передаче данных между банковскими системами и облачными хранилищами возникают периоды, когда системы мониторинга не могут своевременно отследить несанкционированные операции. Это создает условия для проведения скрытых транзакций без возможности их оперативного выявления и блокировки.
Результаты исследования опубликованы в научной статье «Оценка устойчивости финансовых информационных систем в контексте существующих угроз в киберпространстве» в журнале «Вестник Университета управления «ТИСБИ»». Авторы работы — кандидат педагогических наук, доцент кафедры информационных технологий Университета управления «ТИСБИ» Людмила Смоленцева и студентка того же университета Азалия Гареева.
«Мы выявили три критических сценария атак при использовании облачных технологий. Первый — это «инъекционные» атаки на серверы, когда злоумышленники передают команды непосредственно в ядро хранилища данных. Второй — использование программ-снифферов, которые анализируют сетевой трафик, маскируясь под легитимные устройства. Третий — перехват данных во время их движения между системами», — поясняет Людмила Смоленцева.
Исследование показало, что современные программы-шпионы способны обходить большинство стандартных механизмов защиты, используя технику «спящего режима» — когда вредоносный код активируется только при определенных условиях, а в остальное время остается неактивным и невидимым для систем безопасности.
При анализе крупных взломов выявлена определенная тактика злоумышленников: они не пытаются сразу похитить средства, а постепенно собирают данные о процедурах безопасности, создавая «цифровые слепки» рабочих процессов. В случае с Bank of Bangladesh в 2016 году хакеры, используя уязвимости в системе SWIFT, смогли похитить 81 миллион долларов.
«При использовании стандартных алгоритмов шифрования возникает проблема с обработкой данных — приходится их постоянно расшифровывать, что создает дополнительные точки уязвимости. Требуются новые подходы к шифрованию, позволяющие проводить операции с данными без их расшифровки», — отмечает Людмила Смоленцева.
Исследователи проанализировали статистику инцидентов и выяснили, что значительная часть успешных атак происходит из-за некорректной настройки прав доступа при интеграции локальных и облачных систем. Частой проблемой становятся неотключенные учетные записи уволенных сотрудников.
Авторы разработали методику выявления потенциальных угроз, основанную на построении вероятностных моделей поведения систем. Методика позволяет с высокой точностью прогнозировать наиболее вероятные сценарии атак и выявлять подозрительную активность на ранней стадии.
Особое внимание в исследовании уделено проблеме резервного копирования в облачной среде. Выявлено, что существующие протоколы не учитывают возможность одновременного шифрования данных злоумышленниками. В случае с атакой на Equifax в 2017 году это привело к компрометации персональных данных 147 миллионов клиентов, а общий ущерб превысил 4 миллиарда долларов.
«Необходимо внедрять системы интеллектуального резервирования, которые анализируют характер изменений в данных. При обнаружении подозрительной активности система должна автоматически создавать дополнительную изолированную копию», — поясняет Людмила Смоленцева.
На основе исследования разработаны конкретные рекомендации по защите финансовых систем. В их числе — использование распределенных журналов событий для выявления несанкционированных изменений и внедрение механизмов поведенческого анализа для обнаружения аномальной активности пользователей. Важным элементом защиты является соблюдение международных стандартов безопасности ISO 27001 и PCI DSS.
