32% компаний из финансовой отрасли подтвердили увеличение своего ИБ-бюджета в 2016 году, а еще 39% отметили сохранение инвестиций в безопасность в прежнем объеме, выяснили эксперты Qrator Labs и «Валарм», осенью 2017 года опросив 150 представителей индустрии.
Заметно, что рост ИБ-бюджетов становится напрямую связанным с практической составляющей: финансовые организации планируют увеличение расходов на безопасность, оказавшись перед лицом реальной угрозы. Это примечательно по двум причинам: в то время как формальное соответствие требованиям регуляторов перестает быть основным драйвером роста, проактивная тактика защиты и планирование ИБ-архитектуры на основе тестирования на проникновение все еще таким драйвером не является.
13% респондентов сообщили, что бюджет на ИБ в их организациях в 2016 году несколько снизился. При этом опрошенные в целом отмечают отсутствие связи между снижением бюджета и реальным уровнем угроз — причины снижения ИБ-бюджетов в основном лежат в иной плоскости и не зависят от состояния и вызовов дисциплины ИБ. По сути, перед заметной частью департаментов ИБ в 2016 году была поставлена задача оптимизации расходов при сохранении и даже повышении требуемого уровня защищенности от внешних неблагоприятных условий, хотя в целом по индустрии тенденция к росту бюджетов на данный момент сохраняется.
Более половины опрошенных отмечают в числе наиболее существенных последствий от инцидентов ИБ финансовые (32%) и репутационные (38%) риски. Повышение риска отзыва лицензии фиксируют 24% респондентов (годом ранее — более 60%).
Методы защиты, внедряемые ранее, сегодня обеспечивают недостаточный уровень безопасности: выросли угрозы по уже существующим направлениям, появились и новые риски. В подавляющем большинстве случаев основной стимул для обновления инфраструктуры ИБ — это внешняя активность: инциденты, связанные с демонстрацией недостаточной защиты и проблемами, которые организованы либо «черными шляпами» — взломщиками, либо «белыми» — тестировщиками. Более четверти респондентов видят для себя необходимость в замене используемых средств защиты при переходе на новые инфраструктуры (облака, микросервисы и пр.), где используемые решения перестают быть эффективными.
Заметную роль при принятии решения об обновлении используемых средств защиты играет вопрос происхождения закупаемых продуктов: около 13% респондентов ответили, что в первую очередь склонны заменять импортные решения на российские аналоги. 53% опрошенных в качестве причин замены используемых средств защиты назвали недостаточно высокий уровень защиты, 26% — переход на новую инфраструктуру, где старые решения неэффективны.
В качестве основного фактора для покупки решения WAF респонденты отметили защиту от уязвимостей нулевого дня — 37%. Такой возможностью обладают только решения нового поколения, использующие бессигнатурный подход для детектирования атак. По-прежнему значительная часть компаний использует WAF для соответствия стандарту PCI DSS — 27%. 36% респондентов используют WAF для обеспечения высокого темпа разработки: 19% — для защиты часто обновляемого кода и 17% — для использования виртуального патчинга уязвимостей. Увеличение числа компаний, применяющих решения по обеспечению безопасности на этапе написания кода, говорит об общем росте осведомленности о стандартных ИБ-практиках и формировании качественного подхода к обеспечению комплексной защиты веб-приложений.
55% респондентов из финансового сектора отмечают, что за последний год уровень угроз DDoS вырос. По-прежнему DDoS-атаки на организации финансового сектора устраиваются чаще, чем на компании из других отраслей. Однако теперь важно не только то, что злоумышленники обладают всей полнотой знаний, где именно хранятся интересующие их средства, но также они понимают, с помощью каких методов эти деньги можно получить. Запустив DDoS-атаку в качестве отвлекающего фактора, злоумышленники с помощью вредоносных программ могут произвести захват системы управления безналичными платежами и, таким образом, получают возможность переводить деньги между любыми счетами до момента своего обнаружения. Отсюда следует, что системы защиты, применяемые в финансовых организациях, несовершенны, и подходы к развитию ИТ-инфраструктуры требуют пересмотра и обновления.
Угроза атак на отказ в обслуживании продолжает расти: 45% опрошенных испытали по крайней мере одну DDoS-атаку в 2016 году. Столкнувшись с наличием мер по защите от атак, злоумышленники обычно переключают свое внимание на иные цели. В том числе, вероятно, ввиду этого целый ряд компаний в финансовой сфере столкнулся с DDoS-атаками в 2016 году впервые. При этом, однако, около 20% компаний находятся в фокусе злоумышленников и вынуждены применять продвинутые методы защиты. Среди основных причин, ведущих к попаданию финансовой организации в фокус организаторов DDoS-атак, можно назвать как размеры организации и ее популярность на рынке, так и отсутствие внедренных адекватных контрмер для борьбы с DDoS-атаками, вследствие чего организация может стать легкой добычей для кибервымогателей.
Наиболее часто опрошенные компании из финансового сектора сталкиваются с фишингом (30%) и DDoS-атаками (26%). Угроза фишинга существенно выросла (с 21% в 2015 году) в связи с компаниями, выходящими на ICO. Неутихающий ажиотаж вокруг ICO привел к высокому риску мошенничества, и среднестатистические пользователи не имеют точного представления, как обеспечить собственную защиту и склонны не замечать интернет-мошенничество. В сфере ICO фишинг стал серьезной проблемой, и это позволяет судить о том, что и в смежных отраслях, например, в финансовом секторе, фокус злоумышленников также смещается в сторону такого метода получения доступа к конфиденциальным данным пользователей.
Среднее количество атак на веб-приложения в финансовой сфере, по данным «Валарм», составляет 1500 в день. Основная часть из них — это автоматизированные инструменты и сканеры. Такая активность автоматизированных средств создает большой информационный фон и усложняет выявление реальных инцидентов. Основные векторы атак на веб-приложения — это внедрение SQLi операторов — 26,8% и межсайтовая подделка запросов (XSS) — 25,6%. Повышенный интерес к этим типам атак связан с возможностью получения информации о базах данных клиентов и персональной информации пользователей. Третье и четвертое место занимают выход за пределы значений директории (25%) и удаленное выполнение кода (19,5%). При этом основная часть инцидентов — 60% — связана с удаленным выполнением кода.
68% респондентов считают самым эффективным средством противодействия DDoS гибридные решения (на стороне клиента с участием операторского решения, либо распределенной сети). Однако, по мнению экспертов Qrator, у этого метода существует ряд нюансов, которые необходимо учитывать. «Гибридные решения не компенсируют недостатки друг друга, а комбинируют преимущества и отрицательные свойства в определенных пропорциях, что может негативно сказаться на уровне защиты. В индустрии еще не сложилось четкое понимание подобных рисков: многие до сих пор полагаются на гибридные решения. Однако с ростом угроз можно ожидать, что в дальнейшем рынок отнесется к этой ситуации более серьезно, осознав, что комбинированные системы не могут обеспечить защиту от целых классов атак», — отметил Александр Лямин, генеральный директор Qrator Labs.
Почти 2/3 опрошенных заявляют, что пропускают трафик через внешнее решение постоянно или поинцидентно (37% и 24% соответственно). За прошедший год процент банков, использующих сторонние решения для защиты от атак, вырос кардинально — почти в 2 раза. «В отрасли сформировалось понимание, что с атаками, число которых экспоненциально растет, собственными средствами справиться сложно. Как мы видим, на данный момент доля респондентов, пропускающих трафик через внешнее решение, примерно совпадает с числом тех, кто считает, что уровень угроз за последний год вырос, и с теми, кто реально сталкивался с атаками. Отсюда можно заключить, что не привлекают внешние решения лишь те, кого подобные проблемы пока не коснулись», — прокомментировал Александр Лямин.
В зависимости от роста и модификации внешних угроз в будущем индустрия будет двигаться в сторону специализированных сервисов. Сегодня акцент уже сместился от применения CPE-решений в сторону комбинирования решений на стороне клиента с другими — облачными и операторскими. Компании начали заменять используемые ими средства ИБ в случае, если уровень защиты, обеспечиваемый этими решениями, оказывается недостаточным, что подтверждается внешними инцидентами или пентестами. Поскольку внедренная пару лет назад CPE-инфраструктура не отвечает современным требованиям, а построение новой дорого и неэффективно, то при сохранении уровня угроз на достаточно высоком уровне будет происходить дальнейшая замена CPE и гибридных решений на внешние средства защиты.
