3 декабря, четверг 01:05
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Обмен инцидентами

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Обмен инцидентами

    Коллеги, ряд банков, с настойчивостью достойной лучшего применения, подвергаются "целевым атакам". Во многих случаях это и правда одноразовые атаки, заточенные на определенный банк и использующие зловреды нулевого дня. Однако, практика показывает что часть атрибутов повторяется в атаках на другие банки...

    Суть: было бы не плохо организовать обмен информацией по данным об атаках, конечно обезличенных и с ограничением доступа.

    Как мне это видится... Создаю площадку(например подфорум) с ограниченным доступом. Получение доступа - через пару человек(админов/модеров) по письму в почту с реального, банковского адреса(если надо - обратный прозвон организовать не сложно). На эту площадку, участники выкладывают данные об известных атаках по формализованной анкете. Остальные - читают и могут добавлять данные если встречаются с этой атакой. В принципе такие обменники есть уже. И за бугром и даже в России(ГИБ это делает). Но за бугром все атаки в одну кучу, ГИБ - за деньги...

    Вопрос: Нужно ли это нам? И главное - Есть ли на форуме представители банков которые: имеют систему детектирования таких атак, занимаются разбором таких инцидентов, могут на таких условиях делится информацией?

    Жду предложений и обсуждения....

    ЗЫЖ Пример анкеты по атаке через почту:

    Дата:
    Адрес отправителя:
    Реальный адрес отправителя:
    Хидер письма:
    Тело письма:
    Вложение(архив под паролем):
    ЦА письма(подразделение/должность):
    Проявление вредоноса:
    Действия вредоноса:
    Адреса обращения вредоноса:
    ..
    ..
    9
    Мы занимаемся управлением такими инцидентами, могу делится данными.
    33.33%
    3
    Мы занимаемся управлением такими инцидентами, НЕ могу делится данными.
    33.33%
    3
    Мы НЕ занимаемся управлением такими инцидентами, но читать чужие инциденты буду.
    22.22%
    2
    Мы НЕ занимаемся управлением такими инцидентами, читать чужие инциденты НЕ буду.
    0.00%
    0
    Больше чикбоксиков Богу чикбокиков
    11.11%
    1
    Подавая сигналы в рог будь всегда справедлив, но строг. ©

  • #2
    Чем FinCERT не устраивает? Его для этих целей вроде и создали, ждём только, когда заработает.
    Кроме того, кто эти два админа/модератора, знающие какой банк за каким логином стоит? Насколько можно доверять им?
    Также не стоит забывать, что всё меняется, люди приходят и уходят. Кто будет отслеживать, реально ли человек с логином на форуме ещё работает в банке или уже давно уволился и использует инфу в корыстных интересах?
    Кроме того, многим ли удастся убедить руководство выкладывать информацию о "целевых атаках", да и вообще об инцидентах, в интернет?
    С FinCERT мы готовы делиться информацией хотя бы из-за того, что площадка организована на базе ЦБ и этим обеспечено доверие, Непонятно с кем на каком-то форуме... Нет, делиться информацией не буду. Но если кто-то будет - почитаю с интересом.

    Комментарий


    • #3
      Сообщение от Tor Посмотреть сообщение
      Чем FinCERT не устраивает? Его для этих целей вроде и создали, ждём только, когда заработает.
      Тем, что опыт работы с ЦБ говорит о бестолковости этого ожидания.
      На 2831-У тоже возлагали большие надежды и много говорилось о том, что обратно от ЦБ будет приходить аналитика. Аналитика приходит, но реально ей грош-цена. За 2014-й ЦБ предоставил данные в июне 2015-го. Что с ними делать и кому они нужны? Информация протухла.

      Давно не ожидаю от ЦБ ничего, кроме новой порции бумажной волокиты.

      Комментарий


      • #4
        Сообщение от Berckut Посмотреть сообщение
        За 2014-й ЦБ предоставил данные в июне 2015-го.
        ЦБ данные предоставил после того, как на одной из конференций Сычёву весь зал на это попенял. Буквально через неделю аналитика появилась. Может и начнут оперативнее теперь выкладывать, зная, что народ таки интересуется.
        Что касается FinCERT, то у него как раз основная задача - оперативно информировать об инцидентах. Не знаю, что из этого всего получится, посмотрим через пол-годика, сдвинется ли хоть что-то.

        Комментарий


        • #5
          Сообщение от Tor Посмотреть сообщение
          Кроме того, кто эти два админа/модератора, знающие какой банк за каким логином стоит? Насколько можно доверять им?
          Также не стоит забывать, что всё меняется, люди приходят и уходят. Кто будет отслеживать, реально ли человек с логином на форуме ещё работает в банке или уже давно уволился и использует инфу в корыстных интересах?
          Админы и сейчас видят кто откуда. Если, конечно, пользователь не вечный параноик и не разу не заходил на форум мимо анонимайзера.

          Опять же специфика. Сообщение об инциденте - анонимизировано. Если во вложении и будет вредонос - то вероятней всего только загрузчик. Из него можно вытянуть пару адресов, которые к тому же, с коротким сроком жизни... использовать эти данные в корыстных целях - очень сложно. Весь смак в "оперативности". Если в течении пары дней после инцидента появится некое описание, то не сложно будет другим банкам по адресам или файлу проверить свои логи на недельку назад...
          Я такие хвосты у себя находил(по сведениям об атаках на другие банки). ИМХО, это вполне внятные мероприятия...
          Подавая сигналы в рог будь всегда справедлив, но строг. ©

          Комментарий


          • #6
            Сообщение от Tor Посмотреть сообщение
            ЦБ данные предоставил после того, как на одной из конференций Сычёву весь зал на это попенял. Буквально через неделю аналитика появилась. Может и начнут оперативнее теперь выкладывать, зная, что народ таки интересуется.
            И как обычно всё было сделано на "отъе...сь"
            Я наш местный ЦБ давно уже пинаю на тему, что если бы они заботились о безопасности, а не о показушности работы и бумаготворчестве, то они бы данные об инцидентах направляли ежемесячно - сразу после отправки местными банками отчётности. Это, кстати, входит в обязанности оператора платёжной системы, предусмотренные 382-П (п.2.13.3).

            Комментарий


            • #7
              Berckut, и какова их реакция ?

              Комментарий


              • #8
                Сообщение от khusainov rustam Посмотреть сообщение
                Berckut, и какова их реакция ?
                У нас нет возможности, информация уходит напрямую в Москву, не предусмотрено внутренними инструкциями...
                В общем, отмазались.

                Комментарий


                • #9
                  Инициатива хорошая.
                  Только она должна исходить от большого сообщества или от авторитетной конторы, потому что есть проблемы:
                  -Руководству в банках очень трудно объяснить, что нужно отдать инфу на сторону даже в обезличенном виде непонятной третьей стороне(возможность имиджевых потерь и рисков)
                  FinCERT в принципе для этого и создан, но там 3,5 человека. Делать будут долго, Реагировать медленно. Как собирать непонятно, там вроде как народ не из банков , а из органов.

                  Комментарий


                  • #10
                    "От большого сообщества" - вот голосовалка и покажет сайзинг
                    Подавая сигналы в рог будь всегда справедлив, но строг. ©

                    Комментарий


                    • #11
                      Сообщение от Tor Посмотреть сообщение
                      ЦБ данные предоставил после того, как на одной из конференций Сычёву весь зал на это попенял. Буквально через неделю аналитика появилась. Может и начнут оперативнее теперь выкладывать, зная, что народ таки интересуется.
                      Что касается FinCERT, то у него как раз основная задача - оперативно информировать об инцидентах. Не знаю, что из этого всего получится, посмотрим через пол-годика, сдвинется ли хоть что-то.
                      Отчет по 203 форме делает ДНПС , а не ГУБЗИ. Это просто совпало.

                      Комментарий


                      • #12
                        Сообщение от Алгол Посмотреть сообщение
                        Инициатива хорошая.
                        Только она должна исходить от большого сообщества или от авторитетной конторы, потому что есть проблемы:
                        -Руководству в банках очень трудно объяснить, что нужно отдать инфу на сторону даже в обезличенном виде непонятной третьей стороне(возможность имиджевых потерь и рисков)
                        FinCERT в принципе для этого и создан, но там 3,5 человека. Делать будут долго, Реагировать медленно. Как собирать непонятно, там вроде как народ не из банков , а из органов.
                        8 человек там.
                        Атака - мое мнение - ну пусть Банк 1 досят - а другим что? Мы все включим антидос? он и так на постоянке работает
                        Вирус - тут проще - кто выявил вредонос. Отправил в антивирусную хартию. Все 8 вендоров делают затычку.
                        Дропы - ну тут нарушения 2 ФЗ - это плохо.

                        Для знатоков: а чем КЛУБ то плох?

                        Комментарий


                        • #13
                          Сообщение от vinograss Посмотреть сообщение
                          Отчет по 203 форме делает ДНПС , а не ГУБЗИ. Это просто совпало.
                          Жаль, что просто совпало. Значит аналитики снова не дождёмся...

                          Комментарий


                          • #14
                            JFYI
                            с домена cbrru.info сыпят спамом с вирусами.
                            советую добавить в блок-лист
                            Я словно лист на ветру, посмотри как я лечу...

                            Комментарий


                            • #15
                              А сайта у FinCert до сих пор нет?
                              Где они вообще?
                              Вот недавно новость прочитала, что 30 банков подключены к нему (http://www.plusworld.ru/daily/cb-otm...e-organizacii/).
                              А кто-нибудь знает, как они туда вошли?)

                              Комментарий


                              • #16
                                Сообщение от SibInna Посмотреть сообщение
                                А кто-нибудь знает, как они туда вошли?
                                Напишите письмо на fincert@cbr.ru
                                Скажите, хочу.

                                Комментарий


                                • #17
                                  А хотим ли мы?)

                                  Комментарий


                                  • #18
                                    SibInna, это уже решать вам, мы от них получаем сообщения от различных атаках.

                                    Комментарий


                                    • #19
                                      Сообщение от khusainov rustam Посмотреть сообщение
                                      SibInna, это уже решать вам, мы от них получаем сообщения от различных атаках.
                                      Как часто? Можете примеры писем выслать? Интересно посмотреть

                                      Комментарий


                                      • #20
                                        Я не давно получаю рассылку, но один раз в неделю точно!

                                        Комментарий

                                        Обработка...
                                        X