Традиционна RBS защитаподходи

системи

Защитата на клиентите на дистанционни банкови услуги (RBS) винаги е била нетривиален проблем и следователно интерес за специализираните специалисти. И въпросът тук не е защитата на системите за дистанционно банкиране на банката, която всъщност не се различава от осигуряването на сигурността на всеки отдалечен достъп от ненадеждна среда, въоръжена е с редица „най-добри практики“ и понякога дори попада в обхвата на регулаторни стандарти, като STO BR и PCI DSS. Едно нещо остава нетривиално - защитата на самите клиентски места за дистанционно банкиране.

FZ-161 „За националната платежна система“ (той гласи, че ако клиентът уведоми банката за злоупотреба с електронни платежни средства, банката е длъжна да му възстанови сумата на операцията, извършена без негово съгласие).

Клиентските компютри са територия, външна за системите на банката, тя не се контролира от ИТ и ИС услугите на банката

В същото време броят на атаките срещу клиентски сайтове напоследък нараства. В тази област създателите на зловреден софтуер традиционно водят, тъй като са способни на най-масова атака. Според представители на МВР1 в България през 2011 г. едни от най-честите видове киберпрестъпления са били атаките именно срещу потребители на системите Клиент-Банка. И когато злоумишлениците получат този или онзи вид достъп до сметките на юридическо лице, щетите са средно 3-5 милиона рубли на организация.

Най-често срещаните методи за атаки срещу RBS системи:

  • зловреден софтуер (троянски коне, ботнет клиенти и др.);
  • фишинг;
  • използване на атаки Man-in-the-Middle за извършване на фалшиви транзакции;
  • вътрешни атаки (за корпоративни клиенти);
  • целенасочени атаки срещу клиентски сайтове (отново има смисъл за корпоративниклиенти).

Съответно най-честите вектори на атаки срещу RBS системи са:

  • кражба на ключ и/или информация за удостоверяване с последващото му използване на място или на отдалечен компютър;
  • извършване на транзакции директно от компютъра на клиента;
  • подмяна на легитимни сделки с фалшиви.

От гледна точка на възможностите за защита RBS клиентските места могат да бъдат разделени на два вида в зависимост от спецификата на тяхното приложение. Първият е защитата на традиционните решения "Клиент-Банка" (или "Банка-Клиент"), които предполагат наличието на "дебел" клиент и традиционно се използват при работа с юридически лица. Тази опция предвижда необходимостта от инсталиране на съответния софтуерен пакет на работната станция на потребителя.

Второто е защитата на интернет банкирането. В този случай "тънкият" клиент действа като работно място на потребителя, което предполага липсата на специализиран софтуер от страна на клиента на банката. Тази опция се използва предимно при работа с физически лица, но става все по-популярна поради липсата на необходимост от инсталиране на допълнителен софтуер и хардуер, както и поради своята мобилност.

Защита на системите "Банка-клиент".

Както вече казахме, характеристика на защитата на „дебело“ решение е наличието на инсталиран софтуерен пакет на работното място на клиента, чийто състав се определя от самата банка. Това означава, че финансовата институция има възможност да постави редица изисквания към софтуера на крайната работна станция. Въвеждането на решение за защита на крайни точки в системата „Банка-клиент” се превърна в добра практика в банковата среда. От най-често използваните методи тук е пасивното наблюдение на активността всофтуерна среда или дори цялостно решение, което може да включва модули като антивирусен софтуер, хост IPS, основна лична защитна стена, криптографски инструменти за защита на информацията (CIPF), възможност за многофакторно удостоверяване и др.

Какво трябва да се отбележи като добра практика за използване на традиционните защити на банката-клиент? Списъкът по-долу:

Използване на СКЗИ. В допълнение към използването на криптографски инструменти за защита на предаването на информация през ненадеждни комуникационни канали, стана добра практика да се използва сертифициран от FSB CIPF за генериране на електронни цифрови подписи (EDS). Основната задача на крипто-средствата в този случай е да гарантират неотричането на банковите операции в случай на конфликти (използването на сертифицирани средства ни позволява да предоставим правно основание при разглеждане на спорове в съдилищата).

Защита на ключова информация. Използването на CIPF и EDS за банкови операции означава, че ключовата информация е една от основните цели на атака в такива системи клиент-банка. С тези данни нарушителят ще може да извършва законни финансови транзакции от името на клиента.

Двуфакторна автентификация. Допълнително ниво на защита може да бъде двуфакторна автентификация на потребителската сесия със системата "Клиент-Банка". За да направите това, можете да използвате хардуерни и софтуерни генератори на еднократни пароли, токени и др.

Удостоверяване на ниво транзакция. Автентификацията не включва еднократна автентификация в рамките на сесията на системата "Банка-клиент", а проверка по време на всяка от финансовите транзакции. Тази технология винаги подобрява нивото на сигурност, но много рядко се използва за корпоративни клиенти. Работата е,че при извършване на голям брой плащания такъв режим предизвиква твърде много оплаквания от самите потребители на системата.

Антивирусен софтуер. По един или друг начин злонамереният код е основният вектор за атака, включително за корпоративни клиенти. Поради това почти винаги се предлагат препоръки за използването на системи за антивирусна защита на компютри с RBS. Понякога в практиката на защита има случаи, когато антивирусната защита (поне безплатна) е включена директно в комплекта за доставка на софтуера Клиент-Банка.

Използване на комплекси End-point Security. Допълнително ниво на защита срещу външни въздействия на системите "Клиент-Банка" е използването на автономно управлявани (често с предварително инсталирани препоръчителни настройки) комплекси Endpoint Security. В допълнение към антивирусната защита, те могат да включват един или повече компоненти: персонална защитна стена, инструмент за откриване на проникване на базата на хост и инструмент за криптографска защита.

Защита на уеб банкирането

Използване на SSL протокола. Този протокол позволява удостоверяване на сървъра и криптиране на сесията. Той е повсеместен поради факта, че е внедрен във всички съвременни браузъри и избягва голям брой сравнително прости атаки, като прихващане на данни за удостоверяване или прости решения от класа Man-in-the-Middle. В същото време протоколът не осигурява защита в случай на компрометиране на браузъра или подмяна на сертификати на root CA на клиентски сайтове. Има и версии на протокола с определени слабости и уязвимости.

Защита срещу регистриране на данни за достъп, което включва използването на "виртуални клавиатури", captcha и други методи за борба с прихващането и/илиавтоматизиран избор на информация за удостоверяване. Уви, постоянното развитие на зловреден код и различни системи за регистриране на потребителската активност прави тези мерки недостатъчни. Използването им при изграждане на системи за уеб банкиране обаче не изисква големи разходи и затова може да се препоръча за използване.

Кражба на EDS ключове

Безклиентска защита на крайната точка. Това е най-сложната технология, която е еволюцията на безклиентските NAC решения. Всъщност това е пълноценен клиент за крайна точка, работещ в браузър (използващ Java аплети, ActiveX и т.н.), който позволява, без да се инсталира допълнителен софтуер, да се осигури основна защита на клиентските сайтове по време на сесия за уеб банкиране. Тази област едва се развива, практиката за използване на такива решения е много малка, но техните недостатъци вече са очевидни - това е зависимостта от версиите на софтуера на браузъра и клиентските операционни системи, както и високата цена на притежание. Организационни мерки, които насърчават клиентите да се защитават. Предлагането на клиентите на RBS на преференциални програми за покупка/наем, например антивирусен софтуер, също може да се счита за една от мерките за защита на работните места на клиентите.

Заключение

В същото време има доста голям избор от средства и методи за защита на RBS. Ако говорим за внедряването им за масово използване, особено за обслужване на физически лица чрез уеб банкиране, можем да кажем, че малко решения преминават критериите за цена и скалируемост. В същото време настоящата ситуация с развитието на киберпрестъпленията и ниският процент на разкриваемост на подобни престъпления доказват, че използването на подобни технологии от банките за защита на техните клиенти е повече от оправдано.