Защита информации в финансовых организациях с помощью UserGate

Дата: 23.04.2022. Автор: CISOCLUB. Категории: Главное по информационной безопасности, Обзоры средств защиты информации, Статьи по информационной безопасности
Защита информации в финансовых организациях с помощью UserGate

Исторически банки и финансовые учреждения были первоочередной целью киберпреступников, но постепенно ситуация изменилась. Финансовые институты повышали уровень защищенности, и хакеры искали других, менее защищённых жертв. Развитие криптовалют также изменило схему действий хакерских группировок. Если раньше можно было получить финансовую выгоду только прямой кражей денег со счетов, то теперь выгоднее и безопаснее, взломав жертву, потребовать с неё выкуп.

Но в 2022 году на «сцену» выходят кибервойна и хактивизм. По сообщению заместителя председателя ЦБ Германа Зубарева, число DDoS-атак на финансовые организации за март-начало апреля возросло в 22 (!) раза по сравнению с двумя первыми месяцами 2022 года. Большая часть – это непрофессиональные атаки, которые относительно легко отразить, но в 32% случаев использовались продвинутые техники, требующие определенного опыта и подготовки.

Другим риском для российского финансового сектора стали санкции на ПО, ИТ-оборудование и сервисы – сюда же отнесём добровольный уход компаний с отечественного рынка. Хотя использование зарубежных ИБ-продуктов ограничивалось российскими регуляторами, всё же они были достаточно популярны, поэтому их отсутствие будет чувствительным. Например, становится сложнее выполнить требование ЦБ по использованию средств защиты от вредоносного кода различных производителей – ранее минимум один из трёх антивирусов был иностранным. Нужно будет заменять оборудование и ПО, продление лицензий на которые невозможно, а значит, искать варианты, не уступающие по функционалу и производительности.

Так какие шаги нужно предпринять российским банкам, чтобы соблюсти обязательные требования по информационной безопасности и обеспечить реальную защиту данных?

Требования российских регуляторов по информационной безопасности в финансовой сфере

Финансовая отрасль традиционно контролируется строже остальных, в том числе и в сфере информационной безопасности. Финансовые организации должны соблюдать международные стандарты (например, PCI DSS или SWIFT Customer Security Controls Framework) и соответствовать требованию российского законодательства.  К тому же они, помимо чисто банковских требований, должны обеспечивать безопасность платежных операций, персональных данных и (для крупнейших банков) работоспособность критической информационной инфраструктуры. В этой статье мы не будем рассматривать требования к организации информационной безопасности банков (например, аудиту или оценке рисков) – это темы отдельных статей или даже цикла статей, а сосредоточимся на технических требованиях российских регуляторов, предъявляемых к мерам защиты информации в финансовых учреждениях.

Определим области, в которых есть такие требования:

  • Персональные данные

Обязанность защищать ИСПДн определена 152-ФЗ «О персональных данных», а требуемые меры защиты – приказом № 21 ФСТЭК России. Технические средства и ПО средств защиты информации также должны быть сертифицированы по ТУ и уровням доверия.

  • Критическая информационная инфраструктура (КИИ)

Принятый в 2017 г. федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» вводит понятие критической информационной инфраструктуры – информационных систем и сетей, функционирующих в определённых сферах (необходимых для нормальной жизнедеятельности людей). Субъектом КИИ, согласно этому же закону, является российское юридическое лице, владеющее информационной системой из банковской или иных сферах финансового рынка. Так что если организация достаточно крупная, она должна будет соблюдать требования к защите значимых объектов КИИ, изложенные в Приказе ФСТЭК России № 239. Также к 2025 году все средства, используемые в объектах КИИ, должны быть отечественного производства.

  • Отраслевые стандарты

Центральный Банк Российской Федерации, являясь регулятором в сфере банков и финансовых организаций, также устанавливает требования к информационной безопасности в этой сфере. Были разработаны и выпущены рекомендации по обеспечению информационной безопасности организаций банковской системы.

Для поэтапного повышения уровня защищенности в финансовой сфере Банк России выпустил положения 683-П684-П719-П747-П757-П, относящиеся к кредитным и некредитным финансовым организациям, операторам по переводу денежных средств, операторам услуг платежной инфраструктуры.

Эти организации обязаны соблюдать ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

  • Стандарт безопасности данных индустрии платёжных карт

В требованиях PCI DSS есть перечень мер и конкретных настроек, которые финансовая организация должна реализовать. Что важно – его действие не ограничено платёжными системами Visa и Mastercard, поэтому он по-прежнему обязателен для банков-эмитентов карт, а также для процессинговых центров, сервис-провайдеров и торгово-сервисных организаций.  

Дополнительно можно упомянуть рекомендации регуляторов, например, информационное сообщение ФСТЭК России от 24 марта 2022 г. N 240/22/1549, рекомендующее, в частности, установить доступ к настройке оборудования только с разрешённых IP-адресов и заблокировать неиспользуемые открытые сетевые порты.

Во всех перечисленных регламентах есть требования по межсетевому экранированию и обнаружению вторжений, антивирусной проверке, идентификации пользователей, разграничению доступа, регистрации событий безопасности. И продукты UserGate SUMMA выполняют большую часть этих требований.

Применение UserGate в банках и финансовых организациях

В экосистеме продуктов кибербезопасности UserGate SUMMA центральным компонентом является межсетевой экран нового поколения UserGate (UserGate NGFW).

UserGate NGFW обладает сертификатами ФСТЭК России:

  • По 4 уровню доверия к средствам технической защиты информации;
  • По требованиям к профилям защиты межсетевых экранов типа «А», «Б» и «Д» 4 класса защиты;
  • Системам обнаружения вторжений 4 класса защиты.

UserGate NGFW занесён в Реестр отечественного ПО Минкомсвязи (№ записи 1194), поэтому полностью подпадает под понятие отечественного средства защиты информации и помогает выполнить требование по импортозамещению.

Поэтому при использовании UserGate NGFW в информационной системе её можно будет аттестовать по требованиям безопасности информации ИСПДн по всем уровням защиты – от 4 до 1 включительно.

Функциональные возможности продуктов UserGate SUMMA позволяют обеспечить защиту значимых объектов критической информационной инфраструктуры до 1 категории значимости включительно.

В банковском ГОСТ Р 57580.1-2017 с помощью UserGate SUMMA выполняются следующие требования: 

  • Процесс 2 «Обеспечение защиты вычислительных сетей» (Подпроцесс «Сегментация и межсетевое экранирование вычислительных сетей», Подпроцесс «Выявление вторжений и сетевых атак», Подпроцесс «Защита информации, передаваемой по вычислительным сетям», Подпроцесс «Защита беспроводных сетей»);
  • Процесс 4 «Защита от вредоносного кода»;
  • Процесс 6 «Управление инцидентами защиты информации» (Подпроцесс «Мониторинг и анализ событий защиты информации», Подпроцесс «Обнаружение инцидентов защиты информации и реагирование на них»);
  • Процесс 7 «Защита среды виртуализации».

В PCI DSS продукты из экосистемы UserGate SUMMA обеспечивают выполнение 7 из 12 требований:

  • Требование 1. Установить и поддерживать конфигурацию межсетевых экранов для защиты ДДК.
  • Требование 2. Не использовать пароли к системам и другие параметры безопасности по умолчанию, заданные производителем.
  • Требование 4. Шифровать ДДК при передаче через сети общего пользования.
  • Требование 5. Защищать все системы от вредоносного программного обеспечения и регулярно обновлять антивирусные ПО или программы.
  • Требование 7. Ограничивать доступ к ДДК в соответствии со служебной необходимостью.
  • Требование 8. Идентифицировать и аутентифицировать доступ к системным компонентам.
  • Требование 10. Отслеживать и вести мониторинг всего доступа к сетевым ресурсам и ДДК.

Помимо мер, содержащихся в требованиях регуляторов, любая организация нуждается в практической безопасности. UserGate SUMMA предоставляет пользователям простой и защищенный удаленный доступ к корпоративным сетям и ресурсам для удаленной работы по модели «нулевого доверия» (ZTNA).  С помощью UserGate NGFW проводится микро-сегментация сети, в том числе и на уровне L7. Обязательное шифрование реализуется с помощью встроенных инструментов по построению VPN-туннелей, а также публикациями reverse-прокси и созданием SSL-VPN порталов для доступа к веб-приложениям.

Защита информации в финансовых организациях с помощью UserGate

Подробный функционал UserGate NGFW представлен ниже.

  • Межсетевое экранирование

В правилах, на основе которых блокируется или пропускается трафик, в качестве условий может быть задан большой набор L3- и L7-параметров. Не говоря о стандартных IP получателя, IP источника, протоколе и т. д., в UserGate NGFW определяется также инициировавший соединение пользователь (аутентифицированный через различные системы) и конкретное приложение (например, мессенджер Skype, сайт Яндекс.Диск – всего более 1200 приложения и протоколов). Также проверяются и приложения, работающие по протоколу HTTPS. Всё это позволит настроить доступ к определённым сайтам и приложениям для разных групп пользователей, ограничить скорость соединений, запретить трафик в/из «опасной» страны.

  • Обнаружение и предотвращение вторжений (IDS/IPS)

Поиск и блокировка подозрительных соединений – следов вирусной активности, попыток эксплуатации уязвимостей – с возможностью гибко настроить включённые сигнатуры и реакцию UserGate на них. Работа функций безопасности решения основана на постоянном взаимодействии с центром безопасности UserGate, что позволяет поддерживать минимальное время реакции на известные и неизвестные угрозы. Разработчики UserGate обладают уникальным и специфическим опытом по работе с интернет-ресурсами и угрозами, особенно актуальными для русскоязычного сегмента Интернета.

Центр мониторинга и реагирования UserGate также помогает предотвращать инциденты. Его специалисты постоянно работают над тем, чтобы как можно быстрее найти угрозы нулевого дня и выслать рекомендации по их устранению или компенсации, а также добавить сигнатуры обнаруженных угроз в обновления механизмов IPS.

  • Защита от DoS-атак и сетевого флуда

Чтобы один хост не мог отправкой большого количества пакетов случайно или специально парализовать работу всей сети, в UserGate NGFW можно включить счётчик количества запросов от одного источника, чтобы в случае превышения уведомить администраторов или сразу заблокировать.

  • Защита от вирусов и угроз нулевого дня (zero-day)

Помимо традиционного сигнатурного антивируса, проверяющего скачиваемые и загружаемые файлы, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочницу, чтобы обезвредить вредоносное ПО, для которого ещё не написаны сигнатуры.

  • Защита веб-трафика и почты

UserGate NGFW разбирает загружаемые пользователями страницы, обнаруживая опасные и рекламные скрипты. Может проводиться морфологический анализ с поиском ключевых слов (и блокировкой страницы, если слова были найдены). Почтовые сообщения также анализируются: не только вложения в поисках вирусов, но и само письмо – чтобы пресечь фишинговые и спамерские атаки на вашу организацию.

  • Контроль мобильных устройств

UserGate NGFW позволяет обеспечивать безопасность при использовании в организации концепции BYOD (Bring your own device). Если во внутренней сети есть портативные устройства работников (ноутбуки, планшеты, и т. п.), им можно разрешать или запрещать доступ в сеть, гибко ограничивая, например, максимальное количество одновременно активных устройств для одного пользователя.

  • Гостевой портал (Captive Portal)

UserGate NGFW предоставляет специальный портал, с помощью которого внешние пользователи могут, зарегистрировавшись через email или SMS, получить доступ в сеть. А для внутренних пользователей Captive Portal будет дополнительным средством аутентификации, проверяющим SMS/OTP.

  • Кластеризация

UserGate NGFW поддерживает возможность кластеризации в режиме active-passive (защита от сбоев, переключение на запасное устройство при неполадках основного) и в режиме active-active (распределение нагрузки на все устройства кластера одновременно).

Программно-аппаратные комплексы UserGate NGFW

Линейка программно-аппаратных комплексов UserGate NGFW рассчитана на то, чтобы покрыть потребности как небольшого филиала, так и крупной территориально-распределенной медицинской организации или центра обработки данных. Вся многофункциональность сосредоточена в едином корпусе. Для выполнения требований по информационной безопасности нужно будет установить всего одно устройство.

 C100D200D500E1000E3000F8000
Производительность межсетевого экранадо 2 Гб/cдо 18 Гб/cдо 20 Гб/cдо 25 Гб/cдо 40 Гб/cдо 60 Гб/c
Производительность межсетевого экрана с определением приложений L7до 1,9 Гб/cдо 15 Гб/cдо 18,7 Гб/cдо 24 Гб/cдо 32 Гб/cдо 40 Гб/c
Производительность IPSдо 300 Мб/сдо 1,8 Гб/сдо 2 Гб/сдо 2,8 Гб/сдо 3,9 Гб/сдо 8 Гб/с
Контентная фильтрациядо 800 Мб/сдо 8,7 Гб/сдо 9,5 Гб/сдо 13 Гб/сдо 14,9 Гб/сдо 15 Гб/с
Инспектирование SSLдо 300 Мб/cдо 4 Гб/cдо 4,4 Гб/cдо 5 Гб/cдо 6,5 Гб/cдо 8 Гб/c
Одновременных TCP-сессийдо 2 млндо 8 млндо 16 млндо 16 млндо 16 млндо 48 млн
Рекомендованное количество пользователейдо 100до 300до 500до 1 000до 3000до 10 000
C100D200 и D500
  
E1000 и E3000F8000
 C100D200D500E1000E3000F8000
CPU, ядер488162872
RAM, ГБ81632323264
HDD1х500 ГБ1х1000 ГБ2х1000 ГБ, RAID-12х1000 ГБ, горячая замена, RAID-1
Сетевые порты5 шт. Gbe5 шт. Gbe, 2 шт. SFP 1 Gbps, +8 шт. с использованием плат расширений 10GBase-F SFP+: 4 шт. с использованием плат расширений8 шт. Gbe, +24 шт. с использованием плат расширений Портов 10GBase-F SFP+: 12 шт. с использованием плат расширений9 шт. Gbe,+ 40 шт. Gbe с использованием плат расширений Портов 10GBase-F SFP+: 4 шт.,+ 20 шт. с использованием плат расширений
ГабаритыTabletop 1U  1U  1U  1U  2U 

В линейке UserGate NGFW так же следует обратить внимание на новые аппаратные платформы C150, разработанные и произведенные на территории России.

Защита информации в финансовых организациях с помощью UserGate
UserGate C150

Благодаря своим техническим и функциональным особенностям UserGate С150 оптимально соответствуют задачам защиты корпоративных сетей крупных компаний с разветвленной филиальной сетью, например банковских отделений.  

Весь цикл разработки, включая создание архитектуры аппаратных платформ, разработки схемотехники и печатной платы был осуществлен инженерами UserGate. Такой подход позволил компании не только контролировать процесс и результат разработки, но и максимально воплотить в продукте потребности рынка, благодаря глубокой экспертизе команды.

Платформы UserGate С150 позволяют использовать единовременно большое количество правил межсетевого экранирования, контентной-фильтрации и прокси-сервера, что дает возможность без потерь скорости настраивать даже самые сложные политики безопасности.

Инженеры предусмотрели в UserGate C150 8 сетевых портов, что расширяет возможности применения аппаратных платформ, позволяя создавать различные конфигурации.

В устройстве предусмотрен дополнительный порт, который осуществляет функцию удаленного управления (out-of-band management).

UserGate C150 имеют 2 блока питания для повышенной отказоустойчивости, что особенно востребовано для применения в информационных системах финансовых организаций.

UserGate C150 поддерживают режим работы интерфейса типа «мост» с аппаратным bypass. Однако архитектура платформ позволяет производить версию продукта без режима bypass, максимально удовлетворяя требования заказчиков в конкретном применении и обеспечивая надежное и доступное решение для малого бизнеса.

Корпуса аппаратных платформ также разработаны специалистами компании и являются воплощением представления UserGate об инженерной красоте и эргономике.

Производство изделий осуществляется на контрактном производстве в Санкт-Петербурге.

Программно-аппаратный комплекс UserGate C150 включен в действующий сертификат ФСТЭК России №3905 и в реестр отечественной радиоэлектроники Минпромторг.

Виртуальная машина UserGate NGFW

Виртуальная машина UserGate NGFW также поставляется в виде готовых образов, аналогичных обычным программно-аппаратным комплексам). При этом производительность будет зависеть только от объёма выделенных ресурсов, без дополнительных лицензионных ограничений.

При необходимости возможно настроить облачный межсетевой экран UserGate as a Service (UGaaS). Такой вариант будет удобен при активном использовании в организации облачных информационных систем, нуждающихся в защите. Функционал UGaaS будет аналогичен версии on-premise. Подробный обзор облачных решений UserGate можно прочитать по ссылке.

Защита ЦОД

Поток трафика крупного банка может быть настолько большим, что обычному межсетевому экрану (даже размещённому с распределением нагрузки) сложно будет его обрабатывать.  Для таких случаев готовится к выпуску высокопроизводительный межсетевой экран UserGate FG. Заявленная производительность одного устройства – до 80 Гб/с, с возможностью объединить устройства в кластер распределения нагрузки.

Высокая скорость обработки достигается благодаря специальным FPGA (ПЛИС), обеспечивающим параллельную аппаратную обработку трафика. Также в UserGate FG предусмотрены скоростные интерфейсы QSFP28 (100 Гб/с) и 10 Гб/с SFP.

Защита информации в финансовых организациях с помощью UserGate

UserGate Client

Конечно, система защиты информации является неполной без решения, защищающего рабочее место – EDR (Endpoint Detection and Response). В экосистеме продуктов UserGate эту роль выполняет UserGate Client. Он обнаруживает и блокирует сложные угрозы на автоматизированных рабочих местах (АРМ), например, шифровальщики или вредоносную активность легитимного ПО. 

Функции UserGate Client

  • Защита рабочего места от сложных угроз

Специальный движок отслеживает происходящие на АРМ процессы, используя индикаторы компрометации (IoC) и индикаторы атак (IoA). Также с компьютера собираются и анализируются дополнительные сведения: запуск или остановка антивируса, активный пользователь, установленное ПО и обновления ОС и т.п. Эти сведения коррелируются с другими событиями безопасности (в частности, сетевыми). В результате выявляются целевые угрозы, распределённые по времени и инфраструктуре атаки.

  • Управление безопасностью АРМ

UserGate Client предоставляет возможность, обнаружив угрозу, немедленно на неё отреагировать: установить обновления безопасности, отключить сеть на потенциально заражённой машине.

  • Хостовый межсетевой экран

Блокировка нежелательных сетевых соединений на уровне рабочего места. 

  • VPN-клиент

Для безопасной удалённой работы в UserGate Client встроен VPN-клиент, использующий протокол L2TP.

Управление межсетевыми экранами

Даже самое функциональное средство защиты информации может стать тяжким грузом и «дырой» в информационном периметре, если таких средств будет не одно, а пять, десять или более. Особенно это актуально, если они размещены не в одном месте, а в нескольких филиалах, разбросанных по разным временным зонам. Для удобного централизованного управления UserGate NGFW был создан UserGate Management Center. Управление осуществляется на основе шаблонов политик безопасности – наборов параметров и правил, применяющихся для групп устройств.

Для работы UserGate Management Center лицензируется количество управляемых устройств и модуль получения обновлений ПО.

Возможности управления:

  • Создание областей безопасности

Для разных подразделений (функциональных или территориальных) можно создавать свои области безопасности и администраторов этих областей. Если же необходимости в этом нет, можно обойтись одной стандартной областью.

  • Группы шаблонов безопасности

Управление подчиненными устройствами реализуется с помощью шаблона безопасности, в котором выстраиваются необходимые политики, правила и настройки. Шаблон можно применять для одного или нескольких устройств и комбинировать их.

  • Обновление ПО и библиотек

ПО и обновления библиотек (сигнатуры IPS, списки сайтов и т.п.) могут быть загружены на UserGate Management Center и установлены на все устройства. 

  • Мониторинг и управление питанием

Для подчинённых устройств доступна информация о лицензии (используемые модули и количество активных подключений), аптайме, занятых ресурсах RAM и CPU. В этой же консоли есть кнопки перезагрузки и выключения устройств.

Мониторинг событий безопасности

Банковские организации должны передавать информацию об инцидентах информационной безопасности в ФинЦЕРТ (отраслевой центр реагирования на кибератаки) и в НКЦКИ. При этом значительное место уделяется именно регистрации событий безопасности и передаче их в эти центры. Если в сети финансовой организации несколько источников событий, удобнее всего будет использовать централизованную систему сбора событий. UserGate Log Analyzer как раз и является такой системой. 

Изначально это была просто система хранения логов, но после появления функций анализа событий и реагирования на инциденты UserGate Log Analyzer становится полноценной SIEM-системой. Можно, например, организовать обработку событий безопасности для всех филиалов территориально распределённого банка в одном месте. Причём не только для устройств UserGate – планируется добавлять источники других производителей, уже сейчас возможен сбор по протоколу SNMP.

Защита информации в финансовых организациях с помощью UserGate

Возможности UserGate Log Analyzer:

  • Сбор и хранение журналов

UserGate Log Analyzer собирает события безопасности с устройств Usergate (по проприентарному протоколу) и с других устройств (по SNMP). Благодаря этому высвобождаются ресурсы конечных устройств, и увеличивается срок хранения этих событий. Хранятся: журнал событий (изменение настроек целевых серверов, обновления и т. д), журнал веб-доступа пользователей, журнал трафика (срабатывания правил межсетевого экрана, NAT, маршрутизации), журнал IPS, история перехваченных поисковых запросов пользователей в поисковиках.

  • Анализ событий и автоматическое реагирование

Поступающие журналы автоматически проверяются на соответствие встроенным правилам UserGate Log Analyzer, и при совпадении создаётся срабатывание.

Когда генерируется срабатывание, система может выполнить действия, настроенные в правиле создания инцидента. Можно отправить email или SMS, создать правило на межсетевом экране с задаваемыми параметрами, или создать тикет в системе.

  • Создание отчётов

В UserGate Log Analyzer доступна фильтрация, сортировка и группировка по журналам событий, веб-доступа, трафика, IPS. Отчёты могут предоставить подробный список всех посещенных веб-сайтов, топ блокируемых доменов, топ пользователей по URL-категориям и по заблокированным сайтам, топ заблокированных приложений, топ сработавших правил; топ IP-адресов источников атак, IP-адресы целей атакующих, топ протоколов, используемых в атаках; используемые в организации устройства, топ сигнатур устройств. Можно настроить генерацию отчёта по расписанию и отправку их по протоколу SNMP.

Заключение

Риски реализации инцидентов информационной безопасности для финансовых институтов сейчас повышены, а западные производители средств защиты информации приостанавливают деятельность на территории России. Но несмотря на это, построить систему обеспечения информационной безопасности, нейтрализующие актуальные угрозы, можно на отечественных решениях компании UserGate. Продукты из экосистемы UserGate SUMMA позволяют не только выполнить требования российского законодательства, но и обеспечить реальную защиту клиентских данных, платежных операций, информации ограниченного доступа. 

С помощью UserGate SUMMA можно применить лучшие практики по обеспечению должного уровня кибербезопасности в финансовой отрасли, например, реализовать концепцию сети с нулевым доверием (ZTNA) или обеспечить мониторинг и автоматическое реагирование на угрозы (XDR). При этом будут выполняться меры по информационной безопасности, предъявляемые регуляторами к финансовым организациям. То есть будут решены две главные задачи отдела информационной безопасности – соблюдение формальных требований и обеспечение реальной кибербезопасности организации.

Об авторе CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Читать все записи автора CISOCLUB

Добавить комментарий

Ваш адрес email не будет опубликован.