Команда «АСТ» защитила городской банк в рамках соревнований «CityF: Противостояние»

Команда АСТ в ходе соревнований «CityF: Противостояние», проходящих в рамках форума Positive Hack Days VI, обеспечила должную защиту банка от кибератак. Об этом CNews сообщили в компании IT Guard, специализирующейся на дистрибьюции решений в области информационной безопасности. На полигоне PHDays VI СityF была развернута масштабная эмуляция городской инфраструктуры. Полигон представлял собой единый город, в котором работали и взаимодействовали между собой банки, телеком-оператор, электроэнергетическая компания и офис крупного холдинга. Команда АСТ взяла под защиту городской банк, а именно — его типовые объекты: систему дистанционного банковского обслуживания; систему электронного документооборота; корпоративный домен; почтовую систему; систему видеоконференций; рабочие места пользователей. Именно эти объекты, по мнению экспертов компании, должны были привлечь внимание противников, среди которых — постоянные участники CTF: хакеры, атаковавшие банк как с площадки PHDays, так и удаленно через интернет из разных регионов России. Для защиты инфраструктуры банка была разработана комплексная система обеспечения информационной безопасности, состоявшая из целого ряда компонентов. Так, подсистема контроля конфигураций сетевого оборудования на базе SkyBox Firewall Assurance / Network Assurance помогла автоматизировать работу по построению схемы сети банка и контролю ее изменения в дальнейшем. Подсистема мониторинга инцидентов ИБ на базе HPE ArcSight отвечала за сбор и анализ данных, на основе чего были построены информационные панели, визуализирующие текущее состояние защищенности сети, попытки осуществления атак в режиме реального времени, статистическую информацию с МЭ и пр. Подсистема антивирусной защиты на базе решений «Лаборатории Касперского» обеспечила защиту на уровне сети, защиту от вирусов, ликвидацию уязвимостей за счет установки обновлений и полный контроль над рабочими местами и серверами. Подсистема защиты веб-приложений и баз данных на базе решения Imperva SecureSphere отвечала за безопасность системы дистанционного банковского обслуживания, системы видеоконференцсвязи, корпоративной почтовой системы и системы электронного документооборота. Комплексная система обеспечения ИБ также включала подсистему межсетевого экранирования и защиты от атак. Для защиты периметра банка и сегментации ЛВС использовались межсетевые экраны нового поколения Palo Alto Networks. Используемое решение позволило обеспечить защиту от массированных атак как со стороны интернета, так и со стороны подключения к городу CityF, а с использованием зонной модели обеспечивалась защита внутренних сетей банка. Благодаря подсистеме анализа защищенности на базе MaxPatrol 8 было обнаружено и устранено огромное количество критических уязвимостей. Основная ценность используемого решения заключалась в оперативном обнаружении новых объектов в инфраструктуре банка, функционирующих на них сервисов и наличия уязвимых мест, которые могут быть успешно использованы хакерами. Подсистема контроля утечки данных на базе решения InfoWatch Trafic Monitor в процессе противостояния анализировала весь перехваченный трафик и осуществляла его категоризацию с учетом разработанного для банка классификатора. Для контроля атак на доменных пользователей использовалась система защиты Cyber Ark PTA. Система была настроена на анализ пользовательского трафика аутентификаций в домене с целью выявления указанных типов атак. Однако, поскольку хакерам не удалось попасть во внутреннюю сеть банка, атаки данного типа остались не тронутыми, отметили в компании. Для защиты Linux-серверов использовались такие инструменты, как suricata — детектирование атак, apparmor — изоляция приложений в случае их взлома, selinux — ограничение доступа приложений, запущенных в системе. Принятые меры позволили своевременно обнаруживать и предотвращать несанкционированный доступ. Наконец, было реализовано собственное решение для отвлечения внимания противников (приманка/honeypot), представляющее собой полностью контролируемую базу данных с критичной с точки зрения хакеров, но не имеющей практической ценности информацией. По информации АСТ, благодаря настроенной системе защиты банку удалось активно и результативно противостоять беспрерывному 30-часовому потоку атак на критичные сервисы, а также детально расследовать инцидент с несанкционированным переводом денег хакером на свой счет. Команда АСТ справилась с защитой сервисов ДБО от сетевых атак и обеспечила должный уровень защищенности систем от несанкционированного доступа к информационным ресурсам банка, отметили в компании. Ссылка на источник