| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
В условиях цифровизации и повсеместного перехода на безналичные способы оплаты проблема обеспечения кибербезопасности с каждым годом становится всё более актуальной. Динамика объема и количества несанкционированных операций с использованием платежных карт неуклонно растет от года к году.
Для борьбы с киберугрозами в 2015 году в Банке России было создано специальное структурное подразделение - Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ). На текущий момент в информационном обмене с ФинЦЕРТ участвует более 800 организаций.
ФинЦЕРТ Банка России в рамках своей деятельности осуществляет следующие основные функции:
-
Организует и координирует обмен информацией в сфере кибербезопасности
-
Анализирует данные о компьютерных атаках, готовит и рассылает участникам обмена аналитические материалы
-
Инициирует блокировку сайтов, содержащие противоправный контент
-
Ведет компьютерные исследования и проводит экспертизу в рамках взаимодействия с правоохранительными органами.
Субъекты КИИ, функционирующие в банковской сфере или иных сферах финансовых рынков, имеют возможность передавать информацию о компьютерных инцидентах в ГосСОПКА через техническую инфраструктуру Банка России (ФинЦЕРТ).
Порядок работы информационного обмена между организациями-участниками и ФинЦЕРТ:
-
Получение информации об инциденте или угрозе от участника информационного обмена
-
Проведение анализа полученной информации
-
Подготовка информационного бюллетеня с рекомендациями
-
Рассылка бюллетеня всем участникам информационного обмена с целью предотвращения инцидентов в других организациях.
С целью организации всех обозначенных процессов и обеспечения непрерывного информационного взаимодействия была создана автоматизированная система обработки инцидентов ФинЦЕРТ Банка России (далее — АСОИ ФинЦЕРТ). АСОИ ФинЦЕРТ предусматривает организацию взаимодействие с участниками как через личный кабинеты, так и через прикладной программный интерфейс (REST API) в формате JSON.
REST API АСОИ ФинЦЕРТ (https://api.fincert.cbr.ru) позволяет осуществлять обмен данными между информационным системами напрямую, без необходимости использовать браузер и различные пользовательские экранные формы личного кабинета участника ФинЦЕРТ (https://lk.fincert.cbr.ru).
У некоторых программных продуктов класса SIEM, IRP/SOAR есть настроенные коннекторы API к ЛК АСОИ ФинЦЕРТ, которые позволяют сократить время и трудозатраты на отправку и получение информации организациями-участниками. Инциденты, обнаруженные и обрабатываемые этими решениями, могут быть отправлены в ФинЦЕРТ почти сразу после небольших автоматических преобразований и в некоторых случаях дополнений со стороны пользователя. А в части полученной информации по фидам из бюллетеней через API программные решения позволяют автоматически обогатить сигнатурные базы различных инфраструктурных СЗИ организации - участника информационного обмена.
Для регистрации и отправки информации об инциденте ИБ в REST API АСОИ ФинЦЕРТ предусмотрено указание вектора атаки:
-
EXT – если атака направлена на клиента организации-участника
-
INT – если атака направлена на инфраструктуру организации-участника.
В зависимости от вектора предусмотрена возможность указания различных типов инцидентов, каждый из которых содержит свой определенный перечень атрибутов. Общий перечень типов инцидентов ИБ для передачи в АСОИ ФинЦЕРТ представлен в таблице ниже.
Перечень типов инцидентов для передачи в АСОИ «ФинЦЕРТ»
№ |
Наименование |
Код |
Вектор |
1 |
Использование вредоносного программного обеспечения |
malware |
EXT |
2 |
Использование методов социальной инженерии |
socialEngineering |
EXT |
3 |
Эксплуатация уязвимостей информационной инфраструктуры |
vulnerabilities |
EXT |
4 |
Реализация спам рассылки |
spams |
EXT |
5 |
Взаимодействие с центрами бот-нет сетей |
controlCenters |
EXT |
6 |
Изменения IMSI на SIM-карте, смена IMEI телефона |
sim |
EXT |
7 |
Использование фишинговых ресурсов |
phishingAttacks |
EXT |
8 |
Размещение запрещенного контента в сети «Интернет» |
prohibitedContents |
EXT |
9 |
Размещение вредоносного ресурса в сети «Интернет» |
maliciousResources |
EXT |
10 |
Иная компьютерная атака |
other |
EXT |
11 |
Изменение маршрутно-адресной информации |
trafficHijackAttacks |
INT |
12 |
Использование вредоносного программного обеспечения |
malware |
INT |
13 |
Реализации атаки типа «отказ в обслуживании» |
ddosAttacks |
INT |
14 |
Реализации несанкционированного доступа к банкоматам и платежным терминалам |
atmAttacks |
INT |
15 |
Эксплуатация уязвимостей информационной инфраструктуры |
vulnerabilities |
INT |
16 |
Компрометация аутентификационных/учетных данных |
bruteForces |
INT |
17 |
Реализация спам рассылки |
spams |
INT |
18 |
Взаимодействие с центрами бот-нет сетей |
controlCenters |
INT |
19 |
Использование фишинговых ресурсов |
phishingAttacks |
INT |
20 |
Размещение запрещенного контента в сети «Интернет» |
prohibitedContents |
INT |
21 |
Размещение вредоносного ресурса в сети «Интернет» |
maliciousResources |
INT |
22 |
Выполнение изменения контента |
changeContent |
INT |
23 |
Выполнение сканирования портов |
scanPorts |
INT |
24 |
Иная компьютерная атака |
other |
INT |
Также организация-участник, используя REST API АСОИ ФинЦЕРТ, может отправлять следующие виды запросов:
-
Создание запроса об изменении карточки участника
-
Создание запроса об уязвимости
-
Создание запроса о публикации
-
Регистрация запроса о блокировке корреспондентского счета
-
Регистрация запроса на анализ ВПО.
Помимо возможностей отправки информации, REST API АСОИ ФинЦЕРТ позволяет получать фиды из информационных бюллетеней. Такие бюллетени могут содержать URL или IP адреса злоумышленников, информацию об уязвимостях, а также хеш-суммы (MD5, SHA1, SHA256) вредоносного программного обеспечения.
Немного позже в рамках исполнения 167-ФЗ от 27.06.2018 г. «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств» на базе платформы АСОИ ФинЦЕРТ была создана АС «Фид-Антифрод».
АС «Фид-Антифрод» реализует следующие основные функции:
-
осуществляет сбор данных от участников информационного обмена по операциям без согласия клиента (несанкционированные переводы)
-
осуществляет распространение информации («фиды») в адрес других участников, которая позволяет выявить и пересечь деятельность мошенников.
Так называемые «фиды» содержат следующе атрибуты по получателям несанкционированного перевода: ИНН, хэшированные данные паспортов, СНИЛС, банковские счета, номера платежных карт, номера телефонов, номера электронных кошельков, счета SWIFT, ID эквайера, номера СБП. Также в качестве фидов при информационном обмене могут быть зафиксированы идентификаторы устройства, с которого злоумышленник получил доступ к системе или программному обеспечению: IP адрес, IMSI, IMEI, AIIC банка-эквайера, CAT банкомата/терминала, CAIC географического расположения банкомата/терминала.
Получив эти данные от ФинЦЕРТ, финансовая организация должна осуществить поиск и проверку их наличия в своей АБС, в случае обнаружения осуществить блокировку счетов получателя несанкционированного перевода, по итогам проведения проверки предоставить информацию в ФинЦЕРТ.
Взаимодействие с использованием сервиса REST API АС «Фид-Антифрод» особенно актуально для средних и крупных финансовых организаций. Прямое техническое взаимодействие программного обеспечения участника и АС «Фид-Антифрод» позволяет получать и отправлять большой объем данных в автоматизированном режиме, тем самым минимизируя или даже в некоторых случаях исключая полностью участие человека в такого рода рутинных операциях.
Использование REST API АС «Фид-Антифрод» предусматривает выполнение следующих сценариев:
-
Осуществление отправки сообщения об инциденте с операцией без согласия клиента
-
Получение запросов от ФинЦЕРТ по операциям без согласия клиента
-
Предоставление ответов на запросы от ФинЦЕРТ по операциям без согласия клиента
-
Получение отчетов о приостановлении зачисления средств.
Получить детальную и актуальной информацию (руководства, инструкции, сертификаты, схемы данных и описание api) по работе и подключению к АСОИ ФинЦЕРТ и АС «Фид-Антифрод» можно на информационном портале по адресу: https://portal.fincert.cbr.ru *
*Примечание: для доступа к порталу необходимо иметь установленное СКЗИ с поддержкой отечественных алгоритмов шифрования и соответствующие сертификаты TLS-доступа.