В финансовом секторе выявлены новые типы уязвимостей, связанные с использованием облачных технологий. Исследователи обнаружили, что при передаче данных между банковскими системами и облачными хранилищами возникают периоды, когда системы мониторинга не могут своевременно отследить несанкционированные операции. Это создает условия для проведения скрытых транзакций без возможности их оперативного выявления и блокировки.
Результаты исследования опубликованы в научной статье «Оценка устойчивости финансовых информационных систем в контексте существующих угроз в киберпространстве» в журнале «Вестник Университета управления "ТИСБИ"». Авторы работы - кандидат педагогических наук, доцент кафедры информационных технологий Университета управления «ТИСБИ» Людмила Смоленцева и студентка того же университета Азалия Гареева.
«Мы выявили три критических сценария атак при использовании облачных технологий. Первый - это "инъекционные" атаки на серверы, когда злоумышленники передают команды непосредственно в ядро хранилища данных. Второй - использование программ-снифферов, которые анализируют сетевой трафик, маскируясь под легитимные устройства. Третий - перехват данных во время их движения между системами», - поясняет Людмила Смоленцева.
Исследование показало, что современные программы-шпионы способны обходить большинство стандартных механизмов защиты, используя технику "спящего режима" - когда вредоносный код активируется только при определенных условиях, а в остальное время остается неактивным и невидимым для систем безопасности.
При анализе крупных взломов выявлена определенная тактика злоумышленников: они не пытаются сразу похитить средства, а постепенно собирают данные о процедурах безопасности, создавая "цифровые слепки" рабочих процессов. В случае с Bank of Bangladesh в 2016 году хакеры, используя уязвимости в системе SWIFT, смогли похитить 81 миллион долларов.
«При использовании стандартных алгоритмов шифрования возникает проблема с обработкой данных - приходится их постоянно расшифровывать, что создает дополнительные точки уязвимости. Требуются новые подходы к шифрованию, позволяющие проводить операции с данными без их расшифровки», - отмечает Людмила Смоленцева.
Исследователи проанализировали статистику инцидентов и выяснили, что значительная часть успешных атак происходит из-за некорректной настройки прав доступа при интеграции локальных и облачных систем. Частой проблемой становятся неотключенные учетные записи уволенных сотрудников.
Авторы разработали методику выявления потенциальных угроз, основанную на построении вероятностных моделей поведения систем. Методика позволяет с высокой точностью прогнозировать наиболее вероятные сценарии атак и выявлять подозрительную активность на ранней стадии.
Особое внимание в исследовании уделено проблеме резервного копирования в облачной среде. Выявлено, что существующие протоколы не учитывают возможность одновременного шифрования данных злоумышленниками. В случае с атакой на Equifax в 2017 году это привело к компрометации персональных данных 147 миллионов клиентов, а общий ущерб превысил 4 миллиарда долларов.
«Необходимо внедрять системы интеллектуального резервирования, которые анализируют характер изменений в данных. При обнаружении подозрительной активности система должна автоматически создавать дополнительную изолированную копию», - поясняет Людмила Смоленцева.
На основе исследования разработаны конкретные рекомендации по защите финансовых систем. В их числе - использование распределенных журналов событий для выявления несанкционированных изменений и внедрение механизмов поведенческого анализа для обнаружения аномальной активности пользователей. Важным элементом защиты является соблюдение международных стандартов безопасности ISO 27001 и PCI DSS.
https://www.tisbi.ru/files/prod/home/nauka/vestnik-universiteta-upravleniya-tisbi/5cc58d89cfbcc52de07f9e8add008577.pdf
Справка о вузе
УВО «Университет управления «ТИСБИ» – первый негосударственный вуз Республики Татарстан с государственной аккредитацией, основанный в 1992 году в Казани. В структуру университета входят 6 факультетов и 2 филиала в Альметьевске и Набережных Челнах, а обучение проходит в двух учебных корпусах в центре Казани. В «ТИСБИ» реализуется 24 программы бакалавриата, 1 специалитет, 13 программ магистратуры и 4 программы аспирантуры.Университет предлагает более 50 профессиональных образовательных программ, включая дистанционное обучение и программу двойных дипломов с зарубежными вузами-партнерами. 86% преподавателей вуза имеют ученые степени. За время существования вуз подготовил 30 000 выпускников, 85% из которых трудоустроены по специальности (по статистике Министерства труда и социальной защиты РФ).При университете функционирует Колледж «ТИСБИ», осуществляющий обучение по программам среднего профессионального образования с возможностью дальнейшего обучения в университете по сокращенным программам высшего образования.
Никто пока не комментировал эту страницу.
В стандарте [6] предусмотрено присваивать различным документам вида «расчет» код[1] документа РР, а для локальной сметы код документа ЛС.
Никакой необходимости использовать код Б для обозначения документов, в названии которых нет слова «Обоснование», не существует, а отсутствие документов, в названии которых использовано это слово подтверждает, что из ГОСТ 34.201-2020 должен быть исключен фактически не существующий документ «Обоснование».
Литература:
6 ГОСТ Р 21.101-2020 Основные требования к проектной документации
7 Н. Зенин. Судьба требований ГОСТ 34-й серии в проектах по информационной безопасности // [Электронный ресурс], режим доступа: https://www.anti-malware.ru/practice/methods/GOST-requirements-34th-series-in-information-security-projects
[1] В данном стандарте вместо термина «код документа» используют словосочетание «шифр документа»
Разработчики стандартов иногда предлагают новые виды документов, объясняя это тем, что существующих видов документов недостаточно для новых изделий. Например, в таблице 1 стандарта [1] перечислены несколько видов документов, разрабатываемых для автоматизированных систем (далее АС). Обратим внимание на документ «Обоснование» (код документа Б). Его назначение определено так:
«Изложение сведений, подтверждающих целесообразность принимаемых решений»
Отметим, что в числе толкований значений слова «обоснование» есть и тексты, служащие основанием для принятия решения.
Какие же текстовые документы приведены в таблице 2 стандарта [1], где перечислены конкретные документы?
Как ни странно, но документа со словом «обоснование» в названии нет ни в стандарте [1] нет, как нет его и в отменном руководящем документе [2].
Слово «обоснование» в [2] использовано в названии раздела отчета, разрабатываемого на стадии формирования требований к АС – Обоснование необходимости совершенствования информационной системы объекта.
«Обоснование» содержится ещё в двух стандартах [3, 4], где применено в названии этапа работы – Обследование объекта и обоснование необходимости создания АС.
Отметим, что в cтандартах [3, 4] обоснование необходимо для вынесения технико-экономической, социальной и т.п. оценок на стадии формирования требований к АС.
При этом сам документ, содержащий результаты обоснования, оформляют в виде отчета по ГОСТ 7.32 [5], а не в виде документа вида «Обоснование».
Обратимся теперь к стандарту [1] и посмотрим какие же документы с кодом Б (присвоен документу «Обоснование») указаны в таблице 2:
- локальный сметный расчет (код Б2);
- проектная оценка надежности системы (код Б1);
- локальная смета (код Б3).
Из перечисления видно, что ни в одном из названий этих документов с кодом Б нет слова «Обоснование».
Продолжение следует