Следует сразу оговориться, что определение «антивирус» безнадежно устарело и используется только для простоты и краткости. Современное антивирусное ПО сочетает в себе функции файлового сканера, сетевого экрана, антифишинга, контроля доступа к элементам системы (например, веб-камере) и ряд других, зависящих от конкретных задач. В случае банка под антивирусным ПО имеется в виду широкий набор продуктов от стандартных решений класса Internet Security для рабочих мест до комплексов, защищающих от целевых и DDOS-атак, со специальными модулями для потенциально уязвимых элементов инфраструктуры банка. В зависимости от архитектуры сети, количества узлов, их типа и предъявляемых требований компоненты антивирусной защиты могут меняться.

Спасибо, что FinCERT Главная угроза для банков — не высоколобые хакеры, а собственная расслабленность, позволяющая проникнуть в святая святых даже не самым квалифицированным преступникам. По крайней мере, это следует из отчета, подготовленного по итогам первого года деятельности FinCERT.

И все же в отчете FinCERT говорится именно об относительно простых антивирусных продуктах, защищающих рабочие места. Где тонко, там и рвется. Где защита слабее, там и пытаются проникнуть злоумышленники. В каком-то идеальном мире атака на рабочее место приведет в худшем случае к утечке ограниченного набора не самой конфиденциальной и устаревшей информации. Но практика показывает, что компьютеры сотрудников становятся распахнутыми воротами на пути к АРМ КБР и масштабным кражам.

Поможет ли антивирус?

Кибератаки можно условно разделить на три категории по степени сложности обнаружения. К простым относится рассылка писем с вредоносным ПО во вложении. В такой ситуации пользователь наверняка заподозрит ловушку, а если и попытается запустить вредоносную программу, ее заблокирует антивирус.

В атаках средней сложности используются многокомпонентные вредоносные инструменты и продвинутые механизмы маскировки. Такие атаки носят направленный характер — злоумышленники отправляют фишинговые сообщения конкретным людям, например сотрудникам бухгалтерии. Письма («Договор подряда», «Взыскание задолженности» и пр.) грамотно составлены, вредоносное ПО мимикрирует под документ Word, таблицу Excel или формат PDF. Если пользователь пытается открыть вложение, вредоносная программа запускается в системе, а на экран выводится фальшивый документ для маскировки. Такие атаки могут нанести банкам значительный вред.

Антивирус никогда не был и в обозримом будущем не станет панацеей в области защиты

В сложнейших атаках используется уникальное вредоносное ПО и жесткая нацеленность на конкретную жертву. Такие программы пишутся «под ключ» для конкретной кибератаки и больше нигде не встречаются. Вредоносное ПО пытается ввести в заблуждение антивирус и скрытно работает в скомпрометированной системе. Для его автоматического запуска используются эксплойты нулевого дня. Вычислить атаку крайне сложно, возможен колоссальный ущерб.

«Во всех случаях влияние человеческого фактора огромно,— считает Артем Баранов, ведущий вирусный аналитик Eset Russia.— Ключом к системе для злоумышленников может стать как некорректная настройка антивирусного продукта, так и неопытность пользователей, открывающих фишинговые сообщения».

«Антивирус никогда не был и в обозримом будущем не станет панацеей в области защиты,— уверен Глеб Чербов, заместитель директора департамента аудита защищенности Digital Security.— Единственная функция, которую способны эффективно выполнять современные антивирусы, и задача, которую имеет смысл на них возлагать,— недопущение эпидемий, отражение известных, массовых атак. Единого глобального решения здесь нет и не может быть. Для защиты отдельных компонентов и противостояния конкретным угрозам разумно использовать специализированные средства защиты».

Надеяться, что стандартный антивирус защитит от подобного, это как идти в «Макдональдс» за фуа-гра и удивляться, что персонал не понимает, о чем вы вообще

«Антивирусные решения не универсальны и не ставят перед собой задачу защищать все возможные устройства от всех возможных атак. Это как первый барьер перед хакерами, как Firewall на внешнем периметре»,— добавляет Тимур Юнусов, руководитель отдела безопасности банковских систем Positive Technologies.

Действительно, добротный лицензионный антивирус не всегда защищает от стандартных атак даже домашний компьютер, особенно если пользователь отмахивается от предупреждений приложения и педантично ходит по каждой ссылке в письме. Атаки на банки, как уже говорилось выше, разрабатываются штучно, они проводятся при помощи специально написанного или как минимум персонализированного инструментария. И надеяться, что стандартный антивирус защитит от подобного, это как идти в «Макдональдс» за фуа-гра и удивляться, что персонал не понимает, о чем вы вообще.

В последнее время, обратив внимание на человеческий фактор и усложнение хакерских атак в целом (так называемые APT), производители стали создавать и активно рекламировать средства обнаружения атак: SIEM, SOC, средства по борьбе с APT. Естественно, делать ставку только на них не стоит, хотя бы потому, что «на другом конце провода» сидят все те же люди, которые реагируют на инциденты. «Известен случай, когда очень аккуратные хакеры-злоумышленники подбирали пароль к учетной записи в течение долгого времени, имея всего три попытки в день. У них это заняло несколько недель, а при адекватно настроенных средствах мониторинга инцидентов их смогли бы поймать прямо в процессе атаки (подбора пароля),— рассказывает Тимур Юнусов.— В любом случае средства обработки больших данных помогают человеку (и ИБ-специалисту в том числе) увидеть одну единственную, по-настоящему важную, иголку в стоге иголок».

Вы возьмете сразу или частями?

Работая над системой борьбы со зловредами, всегда встает дилемма — выбрать решения от одного вендора или построить все из «кирпичиков» разных производителей.

Плюсы глобального решения в гибкости управления и унифицированности. С другой стороны, на рынке не так много решений, в которых все необходимые компоненты были бы одинаково эффективны.

Не стоит забывать о требованиях ЦБ к мультивендорной защите

Если строить защиту на базе продуктов разных вендоров, пострадает гибкость управления и универсальность. Преимущество в том, что можно подбирать специализированные решения для конкретных задач.

«Банк может использовать комплексное антивирусное решение и дополнительно усилить защиту специализированными продуктами разных вендоров — для защиты от кибератак, эксплуатирующих уязвимости нулевого дня, и для защиты от утечек информации и инсайда (DLP)»,— считает Артем Баранов, ведущий вирусный аналитик Eset Russia.

Артем Баранов, Eset Russia: «Во всех случаях влияние человеческого фактора огромно» 

Также не стоит забывать о требованиях ЦБ к мультивендорной защите. Даже надежно работающая система одного производителя может привлечь неприятное внимание регулятора.

«К сожалению, действия финансовых организаций в противодействии угрозам часто носит реактивный характер. Возникли проблемы со спамом — приобретается решение для борьбы. Хакеры проникли в бреши сетевого экрана — давайте его модернизируем. Результат напоминает лоскутное одеяло,— расстроен Радж Самани (Raj Samani), вице-президент CTO Intel Security в регионе ЕМЕА.— Если с самого начала продумать систему в целом и определиться с уровнями внимания к защите ее элементов, дальнейшая работа будет существенно проще и эффективнее».

Победы и поражения

Бывает и так, что антивирусы, напротив, позволяли успешно совершить атаку

Известны случаи, когда в ходе направленной атаки злоумышленникам удавалось получить удаленный контроль над рабочей станцией сотрудника, и антивирус не был тому препятствием. Но уже в процессе дальнейшей эксплуатации злоумышленники использовали публично известные полезные нагрузки, и атака в итоге была обнаружена антивирусом и пресечена службой ИБ.

«Бывает и так, что антивирусы, напротив, позволяли успешно совершить атаку на систему из-за наличия уязвимостей в них самих,— уточняет Глеб Чербов.— Таким образом, антивирус может служить даже для того, чтобы расширить область атаки».

«Есть очень показательный контрпример, когда вопреки всем средствам защиты и регламентам банковская система была взломана. В банке по правилам безопасности было запрещено открывать вложения в письмах, сообщениях в ДБО и т. д. Злоумышленникам пришлось зарегистрировать юридическое лицо и вполне легитимно работать с банком длительное время (почти полгода),— рассказывает Тимур Юнусов.— В какой-то момент они превратились в значимого для банка клиента, которому банк пошел навстречу, отступив от принятых правил безопасности. Письма и вложения открывались по согласованию с руководством. Финалом такого „сотрудничества” стало фишинговое письмо, вложение в котором оператору разрешил открыть непосредственно топ-менеджер. Злоумышленникам удалось войти в доверие, открыв счет заранее и расслабив сотрудников, вступив с ними в активную коммуникацию и посылая письма до этого несколько раз. В этом случае никакой антивирус бы не помог — сверху точно так же была бы команда „выключить назойливое средство”».

Тимур Юнусов, Positive Technologies: «Не рекомендуем оставлять операторские машины без антивирусной защиты»

Плечи и руки

По каким-то мистическим причинам, о каких бы мудреных IT-решениях в банкинге мы ни говорили, в конечном счете все сводится к человеческому фактору. То есть IT-решения, несомненно, нужны, однако настроить их раз и навсегда оказывается невозможным. Необходимы специально обученные и патологически ответственные люди, которые будут присматривать, приглядывать и давать советы сотрудникам.

Если такие люди есть, все будет хорошо, даже если антивирусы на десктопах перестанут обновляться. Если нет… Возможно, о том, что антивирус не обновился, вы узнаете из сводки расследования инцидента, связанного со взломом АРМ КБР. Как говорится, со всеми утекающими.