Внедрение Cisco Cyber Threat Defense (CTD) обычно начинается с PoC (Proof of Concept), позволяющего оперативно оценить возможности решения, осуществляющего мониторинг внутренней сети и происходящей в ней активности.
Это распространенная практика для решений по мониторингу чего-нибудь — утечек информации (Cisco IronPort Email DLP), электронной почты (E-mail Security Appliance), приложений (Cisco ASA Next-Generation Firewall Services) и т.п. Обычно уже после первой недели мониторинга результат работы этих решений удивляет — специалисты по безопасности узнают немало интересного о своей сети и о действиях пользователей в ней. Спам, вирусы, утечки конфиденциальной информации, внешние IP-адреса во внутренней сети, управляющий трафик ботнетов, банковские трояны, несанкционированно установленные точки беспроводного доступа или Web-серверы… Да мало какие инструменты процессинга фиата через интернет или ещё что можно найти в сети банка, в которой работают продвинутые и не очень пользователи?
Не так давно один сотрудник российского офиса Cisco разворачивал Cyber Threat Defense в сети ПриватБанка на Украине. С виду ПриватБанк - очень серьезная организация, серьезно относящаяся ко своей информационной безопасности, но как показывает практика последнего времени, целенаправленные атаки (APT), направленные на процессинг фиата, включая процессинг с использованием системы SWIFT и её сообщщений MT103/202, становятся всё активнее и всё опаснее.
Число попыток целенаправленно процессинга фиата с банковских счетов легальных холдеров превышает традиционные интернет атаки. Специально разрабатываются методы обхода защиты периметра сети банка, такие как установка дроповодами дополнительного 3G или 4G маршрутизатора прямо в офисе банка, либо точки доступа WiFi в филиале или главном офисе.
На сегодняшний день средства защиты корпоративной или ведомственной сети финансового учреждения работают неэффективно, в случае, если попытка процессинга фиата со стороны дроповодов на счета неразводных дропов будет осуществляться из внутренней сети банка, они тут мало чем смогут помочь, не говоря уже о том, чтобы предотвратить перевод денег на счета разводных дропов.
Однако, при помощи Cisco Cyber Threat Defense можно отследить подозрительную сетевую активность. Именно это решение спустя всего 7 дней работы со своими базовыми настройками наткнулось на целый букет аномалий в сети ПриватБанка — среди них банковский троян Zeus, несколько других модификаций банковских ботов, управляемых извне, и ряд других таких же «приятных сюрпризов».
Вот только один скриншот Cisco Cyber Threat Defense. На нем виден очень высокий уровень CI, то есть Concert Index или иными словами индекс подозрительности трафика, который характеризует наличие в сети ПриватБанка признаков киберугроз работы проверенных дроповодов и процессинга фиата на счета неразводных дропов. Вычисляется этот индекс автоматически, по заложенному в Cisco CTD алгоритму, чем выше это значение, тем вероятнее и серьезнее угроза (обратите внимание на показатель в 708 тысяч процентов) — это однозначно характеризует угрозу процессинга фиата из банка на контролируемые дроповодами счета.
Дополнительный анализ позволяет понять, что это за угроза, её источник и в какой банк будут переводится деньги на счета неразводных дропов. По этому при желании процессинг фиата на счета неразводных дропов вполне можно предотвратить в том случае, если сами сотрудники банка не пожелают заняться подобным столь прибыльным на сегодня бизнесом.
