Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API

Информационное взаимодействие с АСОИ «ФинЦЕРТ» Банка России через API


  |  Слушать на Spotify  |  Слушать на Яндекс Музыке  |   Слушать на Anchor.fm  |   Слушать на Breaker  |   Слушать на Google Podcast  |   Слушать на Pocket cast  |  

Руслан Рахметов, Security Vision 

В условиях цифровизации и повсеместного перехода на безналичные способы оплаты проблема обеспечения кибербезопасности с каждым годом становится всё более актуальной. Динамика объема и количества несанкционированных операций с использованием платежных карт неуклонно растет от года к году.

Для борьбы с киберугрозами в 2015 году в Банке России было создано специальное структурное подразделение - Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). На текущий момент в информационном обмене с ФинЦЕРТ участвует более 800 организаций.

ФинЦЕРТ Банка России в рамках своей деятельности осуществляет следующие основные функции:

  • Организует и координирует обмен информацией в сфере кибербезопасности

  • Анализирует данные о компьютерных атаках, готовит и рассылает участникам обмена аналитические материалы

  • Инициирует блокировку сайтов, содержащие противоправный контент

  • Ведет компьютерные исследования и проводит экспертизу в рамках взаимодействия с правоохранительными органами.

Субъекты КИИ, функционирующие в банковской сфере или иных сферах финансовых рынков, имеют возможность передавать информацию о компьютерных инцидентах в ГосСОПКА через техническую инфраструктуру Банка России (ФинЦЕРТ).

Порядок работы информационного обмена между организациями-участниками и ФинЦЕРТ:

  • Получение информации об инциденте или угрозе от участника информационного обмена

  • Проведение анализа полученной информации

  • Подготовка информационного бюллетеня с рекомендациями

  • Рассылка бюллетеня всем участникам информационного обмена с целью предотвращения инцидентов в других организациях.

1122.png

С целью организации всех обозначенных процессов и обеспечения непрерывного информационного взаимодействия была создана автоматизированная система обработки инцидентов ФинЦЕРТ Банка России (далее — АСОИ ФинЦЕРТ). АСОИ ФинЦЕРТ предусматривает организацию взаимодействие с участниками как через личный кабинеты, так и через прикладной программный интерфейс (REST API) в формате JSON.

REST API АСОИ ФинЦЕРТ (https://api.fincert.cbr.ru) позволяет осуществлять обмен данными между информационным системами напрямую, без необходимости использовать браузер и различные пользовательские экранные формы личного кабинета участника ФинЦЕРТ (https://lk.fincert.cbr.ru).

У некоторых программных продуктов класса SIEM, IRP/SOAR есть настроенные коннекторы API к ЛК АСОИ ФинЦЕРТ, которые позволяют сократить время и трудозатраты на отправку и получение информации организациями-участниками. Инциденты, обнаруженные и обрабатываемые этими решениями, могут быть отправлены в ФинЦЕРТ почти сразу после небольших автоматических преобразований и в некоторых случаях дополнений со стороны пользователя. А в части полученной информации по фидам из бюллетеней через API программные решения позволяют автоматически обогатить сигнатурные базы различных инфраструктурных СЗИ организации - участника информационного обмена.

Для регистрации и отправки информации об инциденте ИБ в REST API АСОИ ФинЦЕРТ предусмотрено указание вектора атаки:

  • EXT – если атака направлена на клиента организации-участника

  • INT – если атака направлена на инфраструктуру организации-участника.

В зависимости от вектора предусмотрена возможность указания различных типов инцидентов, каждый из которых содержит свой определенный перечень атрибутов. Общий перечень типов инцидентов ИБ для передачи в АСОИ ФинЦЕРТ представлен в таблице ниже.

Перечень типов инцидентов для передачи в АСОИ «ФинЦЕРТ»

Наименование

Код

Вектор

1

Использование вредоносного программного обеспечения

malware

EXT

2

Использование методов социальной инженерии

socialEngineering

EXT

3

Эксплуатация уязвимостей информационной инфраструктуры

vulnerabilities

EXT

4

Реализация спам рассылки

spams

EXT

5

Взаимодействие с центрами бот-нет сетей

controlCenters

EXT

6

Изменения IMSI на SIM-карте, смена IMEI телефона

sim

EXT

7

Использование фишинговых ресурсов

phishingAttacks

EXT

8

Размещение запрещенного контента в сети «Интернет»

prohibitedContents

EXT

9

Размещение вредоносного ресурса в сети

«Интернет»

maliciousResources

EXT

10

Иная компьютерная атака

other

EXT

11

Изменение маршрутно-адресной информации

trafficHijackAttacks

INT

12

Использование вредоносного программного обеспечения

malware

INT

13

Реализации атаки типа «отказ в обслуживании»

ddosAttacks

INT

14

Реализации несанкционированного доступа к банкоматам и платежным терминалам

atmAttacks

INT

15

Эксплуатация уязвимостей информационной инфраструктуры

vulnerabilities

INT

16

Компрометация аутентификационных/учетных данных

bruteForces

INT

17

Реализация спам рассылки

spams

INT

18

Взаимодействие с центрами бот-нет сетей

controlCenters

INT

19

Использование фишинговых ресурсов

phishingAttacks

INT

20

Размещение запрещенного контента в сети «Интернет»

prohibitedContents

INT

21

Размещение вредоносного ресурса в сети «Интернет»

maliciousResources

INT

22

Выполнение изменения контента

changeContent

INT

23

Выполнение сканирования портов

scanPorts

INT

24

Иная компьютерная атака

other

INT

Также организация-участник, используя REST API АСОИ ФинЦЕРТ, может отправлять следующие виды запросов:

  • Создание запроса об изменении карточки участника

  • Создание запроса об уязвимости

  • Создание запроса о публикации

  • Регистрация запроса о блокировке корреспондентского счета

  • Регистрация запроса на анализ ВПО.

Помимо возможностей отправки информации, REST API АСОИ ФинЦЕРТ позволяет получать фиды из информационных бюллетеней. Такие бюллетени могут содержать URL или IP адреса злоумышленников, информацию об уязвимостях, а также хеш-суммы (MD5, SHA1, SHA256) вредоносного программного обеспечения.

Немного позже в рамках исполнения 167-ФЗ от 27.06.2018 г. «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» на базе платформы АСОИ ФинЦЕРТ была создана АС «Фид-Антифрод».

АС «Фид-Антифрод» реализует следующие основные функции:

  • осуществляет сбор данных от участников информационного обмена по операциям без согласия клиента (несанкционированные переводы)

  • осуществляет распространение информации («фиды») в адрес других участников, которая позволяет выявить и пересечь деятельность мошенников.

Так называемые «фиды» содержат следующе атрибуты по получателям несанкционированного перевода: ИНН, хэшированные данные паспортов, СНИЛС, банковские счета, номера платежных карт, номера телефонов, номера электронных кошельков, счета SWIFT, ID эквайера, номера СБП. Также в качестве фидов при информационном обмене могут быть зафиксированы идентификаторы устройства, с которого злоумышленник получил доступ к системе или программному обеспечению: IP адрес, IMSI, IMEI, AIIC банка-эквайера, CAT банкомата/терминала, CAIC географического расположения банкомата/терминала.

Получив эти данные от ФинЦЕРТ, финансовая организация должна осуществить поиск и проверку их наличия в своей АБС, в случае обнаружения осуществить блокировку счетов получателя несанкционированного перевода, по итогам проведения проверки предоставить информацию в ФинЦЕРТ.

Взаимодействие с использованием сервиса REST API АС «Фид-Антифрод» особенно актуально для средних и крупных финансовых организаций. Прямое техническое взаимодействие программного обеспечения участника и АС «Фид-Антифрод» позволяет получать и отправлять большой объем данных в автоматизированном режиме, тем самым минимизируя или даже в некоторых случаях исключая полностью участие человека в такого рода рутинных операциях.

123.png

Использование REST API АС «Фид-Антифрод» предусматривает выполнение следующих сценариев:

  • Осуществление отправки сообщения об инциденте с операцией без согласия клиента

  • Получение запросов от ФинЦЕРТ по операциям без согласия клиента

  • Предоставление ответов на запросы от ФинЦЕРТ по операциям без согласия клиента

  • Получение отчетов о приостановлении зачисления средств.

Получить детальную и актуальной информацию (руководства, инструкции, сертификаты, схемы данных и описание api) по работе и подключению к АСОИ ФинЦЕРТ и АС «Фид-Антифрод» можно на информационном портале по адресу: https://portal.fincert.cbr.ru *

*Примечание: для доступа к порталу необходимо иметь установленное СКЗИ с поддержкой отечественных алгоритмов шифрования и соответствующие сертификаты TLS-доступа.


Интересные публикации