Обзор Средства защиты информации и бизнеса 2006	подготовлен	При поддержке

Пример решения: Железный рубеж защиты

Количество программных решений в области защиты данных и предотвращения вторжений растет. Однако практика показывает, что действенен по-прежнему только комплексный подход. 

Количество банковских карточек в РФ неуклонно увеличивается — их сегодня имеет примерно треть населения страны. Согласно данным Центробанка, по итогам 2005 года в России насчитывалось более 54,7 млн. банковских карт, что на 55,5% превышает показатель 2004 года. Темпы роста числа пластиковых платежных инструментов сохраняются на протяжении 5 лет — их количество увеличивается примерно в полтора раза ежегодно. В подавляющем большинстве случаев банковские карты используется для снятия наличных — на эту операцию приходится 94% всех действий с ними. Оплата товаров и услуг составляет только 6%.

Такое внушительное количество карт порождает солидный денежный оборот: в прошедшем году, по данным ЦБ РФ, объем операций по ним составил 2,8 трлн. руб. «Сейчас в России пластиковая карточка становится таким же привычным атрибутом, как и на Западе, — комментирует директор POS-терминальных проектов компании ЛАНИТ Дмитрий Костарев. — В ряде стран СНГ даже принят закон о том, что каждая торговая точка обязана иметь POS-терминал для приема «пластика». Подобный закон муссируется и в Госдуме РФ, но пока его рассмотрение отложили. На мой взгляд, в той или иной форме это требование все равно внедрят, когда — вопрос времени. Государству выгодно, чтобы объем наличности в обороте сокращался, а оплата осуществлялась в безналичной форме, в том числе посредством банковских карт».

Особенности национальной рыбалки

Но любая массовость влечет за собой серьезные проблемы: банки-эмитенты обязаны позаботиться об обеспечении безопасности транзакций. Крупные денежные операции неизменно привлекают внимание мошенников, и это внимание становится все более заметным. По различным оценкам, «кардеры» облегчают кошельки и банковские счета российских граждан на сумму до 20 млн. долларов в год. Кража данных с пластиковых карт приобретает поистине промышленный масштаб, при этом, в преступных сообществах существует строгое распределение обязанностей — одни воруют данные, другие изготавливают поддельные карты, третьи приобретают по ним товары, четвертые реализуют купленное, а выручка делится между всеми членами группировки. 

Способов кражи данных несколько. Один из самых распространенных — так называемый, «фишинг» (phishing — искаженное английское «рыбалка»). В этом случае злоумышленники эксплуатируют доверчивость держателей карт. Последним приходят различные послания и предложения, например, поддельные письма из банка с просьбой выслать данные карты, так как произошел сбой на банковском сервере и информация была утрачена. Полученные номера карт и пин-коды впоследствии используются для незаконного снятия денег со счета или оплаты покупок. Другой вариант кражи — воровство данных во время транзакции, например, той же оплаты товара. В этом случае задача злоумышленников облегчается, так как от владельца карты не требуют ввести пин-код — карту просто «прокатывают» через специальное кассовое устройство, так называемый, POS-терминал.

«Основная угроза для операций с карточками — утечка информации о данных и пин-кодах, — говорит Дмитрий Костарев. — Существующие технологии позволяют легко изготавливать поддельные карты, которыми могут воспользоваться мошенники».

Прекрасно осознавая эту угрозу, крупнейшие карточные системы постоянно ужесточают требования к безопасности транзакций. В частности, Visa и Master Card требуют, чтобы все операции удовлетворяли международному сертификату безопасности SSL. Это требование распространяется, в том числе, и на российские банки.

Железные плюсы

Один из способов обеспечения безопасности операций с пластиковыми картами — шифрование всего потока данных от POS-терминала до сервера банка. Софтверные приложения, обеспечивающее подобную защиту, имеются в избытке, в том числе есть такие, которые предлагаются бесплатно. Однако не все банки согласны на защиту исключительно программными средствами. «В «МДМ-банке», крупном финансовом институте, имеющем разветвленную филиальную сеть, нужно было решить вопрос защиты платежных транзакций при операциях с пластиковыми карточками, — рассказывает Дмитрий Костарев. — Мы предложили решение на основе POS-терминального оборудования Hypercom, дистрибутором которого является наша компания». Одно из важных преимуществ Hypercom заключается в том, что протокол SSL уже встроен в ПО терминалов. Оставалось обеспечить защиту со стороны банковского сервера, который вел учет транзакций и разрешал оплату товара банковской картой. Решить вопрос исключительно при помощи программного продукта в банке отказались. «Такой вариант имеет свои недостатки: он не удовлетворяет требованиями безопасности, — отметил Костарев. — На компьютер, где установлен SSL-сервер, могут быть внедрены троянские программы, которые способны перехватывать информацию. Если банк понимает, что защита информации — это доверие клиентов, то он, конечно, выберет самое надежное решение из возможных. Для защиты сервера «МДМ-банка» мы предложили разместить специальное, сертифицированное производителем POS-терминалов, оборудование компании Radware. Преимущества аппаратного решения в том, что в этом случае потенциальные взломщики не смогут ничего предпринять, поскольку оборудование им неизвестно, оно разработано именно под задачи защиты и имеет специальные средства доступа».

Преимущество простых решений

«Железные» решения для обеспечения безопасности предлагают многие ведущие поставщики сетевого оборудования, в том числе Cisco Systems, 3Com и другие. «В данном случае мы остановились на оборудовании компании Radware, но не только потому, что нам его рекомендовали производители POS-терминалов, — рассказывает Костарев. — Дело в том, что другие компании предлагают функцию безопасности в качестве опции в составе более сложных сетевых решений. В результате, пришлось бы покупать избыточную функциональность, в то время как требовалось решить конкретную задачу. Оборудование Radware предоставляет именно эту ее составляющую. И установка одного устройства обходилась в небольшую для крупной корпорации сумму — во много раз дешевле других вариантов».

«Все ведущие вендоры имеют практику создания систем предотвращения вторжений, — добавляет глава российского представительства Radware Юлий Демурджян. — Но наше оборудование имеет существенные отличия: мы изначально занимались только вопросами защиты. Другие производители оборудования делали сначала системы обнаружения атак и вторжений, а потом дорабатывали их до систем предотвращения этих атак. И по производительности такие системы не могут работать с тем объемом трафика, который присутствует в современных сетях. А сегодня все больше и больше бизнес-приложений требует бесперебойной работы сетевой инфраструктуры, малейшие задержки трафика приводят к сбоям и, как результат, негативно влияют на производительность. Сбои могут возникнуть не только из-за нехватки ресурсов оборудования, но и в результате целенаправленных атак. Компания Radware специализируется на решениях, обеспечивающих не только оптимизацию работы серверов и приложений, но и на защите этих ресурсов от атак различного типа, включая защиту от атак DoS/DDoS.»

Процесс внедрения, в рамках которого активно взаимодействовали специалисты ЛАНИТ, «МДМ-банка» и Hypercom, занял порядка месяца. Исходя из своих корпоративных принципов информационной безопасности, «МДМ-банк» купил комплекс из нескольких продуктов Radware. «Избыточные мощности не пропадут — в банке постепенно внедряется система защиты других транзакций, а не только операций по банковским картам. Кроме того, два устройства с дополнительным блоком управления и распределения нагрузки обеспечивают большую надежность системы — благодаря им реализована схема «нагруженного резерва». Устройства работают параллельно, но если выйдет из строя один из блоков, то весь трафик будет автоматически перенаправлен на оставшийся. Системным администраторам не придется в спешном порядке лихорадочно переключать разъемы», — заметил Дмитрий Костарев.

Удачный пример внедрения заинтересовал и другие банки: в ЛАНИТ поступило несколько предложений по тестированию такой схемы реализации SSL-сервера. «В ближайшее время у нас начнется процесс апробации подобных решений еще в трех крупных банках», — сказал Костарев.

Атака со многими неизвестными

Защита данных при транзакциях — не единственная функция, которую может обеспечивать оборудование Radware. Еще один вариант использования аппаратного и программного обеспечения компании — защита от распределенных DOS-атак, которые в последнее время происходят все чаще и чаще. «Например, американский офис Radware сотрудничает с интернет-аукционом eBay, — комментирует Юлий Демурджян. — На сегодняшний день сайт компании является одним из самых часто атакуемых. Для такой организации ущерб от DOS-атак легко оценить. В среднем, за одну минуту eBay зарабатывает 7 тыс. долларов, и легко понять, какие убытки приносят простои в результате атаки и вызванных ею перебоев». Правда, в большинстве случаев, в отличие от кражи данных, урон от DOS-атаки просчитать сложнее — он не всегда выражается в конкретных цифрах. Задержки в обслуживании, отказ сервера банка и другие следствия DOS-атак могут негативно сказаться на имидже и репутации корпорации. Кроме того, от распределенных атак могут пострадать приложения ИТ-инфраструктуры. Например, могут возникнуть нарушения голосовой телефонной связи через IP-протокол — а сегодня многие крупные организации переводят внутреннюю связь на VoIP.

Главная сложность предотвращения DOS-атак в том, что их очень трудно распознать. Если вирусы выявляют по определенным уникальным участкам программного кода (сигнатурам), распределенная атака не отличается от обычного всплеска интереса к какой-либо новости практически ничем. Разработчики Radware предусмотрели решение этой проблемы. Прежде чем начать работу в «боевом режиме», оборудование в течение некоторого времени анализирует весь трафик банка или корпорации, выявляя основные закономерности. Модуль поведенческой защиты Behavioral Protection на основе анализа составляет многомерную модель, которая служит основой для выявления атак. Эта модель учитывает все возможные данные — параметры протоколов, уровни трафика приложений и т.п. — и постоянно обновляется. DoS/DDoS-атака обнаруживает себя тем, что резко нарушает устоявшуюся картину. Благодаря этому устройство может ее выявить и нейтрализовать, отсекая только нежелательный трафик и позволяя приложениям работать в нормальном режиме. «Обычно заказчики очень осторожно относятся к такого рода защитным системам, потому что боятся, что по ошибке будет отключено какое-либо приложение. Но для этого предусмотрена возможность использования системы в режиме обнаружения вторжений, когда атаки идентифицируются, но не блокируются. От этого тоже есть определенная польза — предупрежден, значит вооружен. И когда заказчики узнают, какое число атак против них осуществляется, они задумываются о том, что нужно срочно предпринимать меры», — комментирует Демурджян.