флешку и т. д. В зависимости от настроек аудита на «источник событий», а также уровня детализации (например, уровни логирования Emergencies и Debug для сетевых устройств, т. е. минимальный и максимальный уровни) при использовании системы возможны следующие варианты анализа и выявления событий:
• все попытки изменения конфигураций на маршрутизаторах и других сетевых устройствах с указанием, кто, когда и что изменил. Отслеживание атаки с полной предысторией ее начала и распространения по корпоративной сети или инфраструктуре глобальной сети;
• отслеживание попыток соединений с внутреннего оборудования в неразрешенные политикой безопасности места и статистическая информация о разрешенных соединениях между внутренними и внешними хостами — аномалии, повышенная активность разных хостов и др.;
• попытки доступа к собственно ресурсам серверов, учет доступа к серверам с административными правами;
• анализ запуска на сервере несанкционированных программ, подмена файлов (например, апгрейд) и изменение файлов. Удаление критичных файлов;
• мониторинг запуска и остановки служб. Мониторинг запущенных сервисов и приложений, информация о падении или остановке сервиса;
• связь попыток доступа с возможным использованием уязвимостей (exploits) внутренней инфраструктуры;
• мониторинг доступа к базе данных и анализ подключений — кто подключался и какие способы подключения использовались (например, SSH и telnet);
• кто работал с базой данных с администраторскими правами и что сделал;
• и многое другое.
Во всем мире, как специалисты по безопасности, так и те, кому они противостоят, используют множество самых разных вариаций софта, которые автоматизируют многие процессы по обнаружению и/или реализации уязвимостей в различном ПО. Одним из самых распространенных типов реализаций можно без преувеличения назвать Meterpreter, входящий в состав MSF (Metasploit Framework)[96], который обновляется регулярно и позволяет автоматизировать взломы по известным багам и не закрытым уязвимостям в ПО, причем механизмы эксплуатации так называемых 0day уязвимостей[97] в нем также присутствуют, т. е. специальные инструменты (эксплойты, или exploit), которые реализуют взлом через те уязвимости, которые не закрыты на момент выхода данного эксплойта. Так, например, можно через, скажем, Nmap (мультиплатформенный бесплатный сетевой сканер) просканировать некий пул адресов, подсетей или же конкретный сервер, примерно определить, что на нем есть и какая операционная система используется, а дальше применять эксплойты под уже известные уязвимости. Что уж говорить про версию Metasploit Pro, в которую добавлен WEB 2.0 интерфейс.
По понятным причинам никаких конкретных скриптов по использованию данного продукта особо не найдешь, даже долгое время проведя в поисковиках, поскольку даже на сайтах, посвященных безопасности, или хакерских форумах ими не любят делиться.
Пожалуй, самый распространенный способ списать деньги со счета клиента — это воспользоваться компьютером того же клиента, точнее того сотрудника, который может такие операции проводить. Схема атаки довольно стандартная и про нее не раз было сказано в Интернете.
Помимо ПО для взлома, полезно иметь еще некий набор средств для проведения расследований инцидентов информационной безопасности — так называемые forensic tool’s [102] и специальные программы. Ими активно пользуются все, кто имеет хоть какое-то отношение к безопасности, поскольку нужно не только найти нарушителя информационной безопасности, но еще и доказать, что это именно он сделал это и именно в такое-то время. В данном случае лучшим помощником является Интернет, а точнее — google.com, поскольку где-то 90–95 % всего forensic-софта делается не у нас, а значит, и искать нужно по зарубежным форумам и специализированным сайтам. Или же на конкретных ресурсах, где можно найти, например, отлично работающую утилиту USB History, из названия которой понятно, что она вытаскивает из недр реестра Windows, обрабатывает и сводит в один вид информацию о том, какие USB-устройства и когда были подключены в последний раз[103] .
Одним из основополагающих принципов построения центра ИБ является уход от «бумажной безопасности», когда отсутствует контроль настроек ИТ-систем, т. е. политики реализованы только в виде регламентирующих документов, а как они реализованы на практике, никто не знает, и когда отсутствует процесс управления защищенностью, ведь новые уязвимости появляются ежедневно и никто в компании не знает, какие есть бреши в их системе. Если быть точнее, то не уход, а переключение осознания того, что если «так написано, значит, оно так и есть», на «если так написано, то надо проверить, исполняется ли». Конечно, сотрудники службы информационной безопасности могут быть в отличных отношениях с админами и полностью им доверять, но это не означает, что нужно отменять принцип «четырех глаз» и делать, как кому-либо удобнее, нежели чем безопаснее. Все мы понимаем, что необходимо искать некий компромисс между безопасностью и производительностью, поскольку это прямо противоположные понятия, но только в том случае, когда мы настраиваем аудит каких-либо объектов, поскольку это напрямую будет способствовать увеличению затрат серверных ресурсов.
Поэтому нужно четко понимать, какие именно действия или, проще говоря, события мы хотим увидеть.
Использование обеих систем (SIEM и сканер безопасности) в связке позволяет контролировать то, что происходит в сетях, на рабочих станциях, серверах, в базах данных, и оперативно реагировать, если произошло нарушение установленных регламентов и политик или имела место иная внештатная ситуация. Кроме того, две системы позволяют лучше оценить то, каковы могут быть потенциальные последствия вновь обнаруженных уязвимостей.
О самом процессе производства банковских карт и его этапах написано немало[104]. Этот раздел в книге хотелось бы посвятить жизненному циклу карточного продукта с момента его рождения и доставки банку-эмитенту с соблюдением мер безопасности.
Когда мы говорим о производстве продукта, то следует понимать, что карточный продукт, или продукция, не может быть выпущена на обычной фабрике. И не только потому, что требуется специализированное оборудование, обученный персонал и технологии для ее производства, но и необходимо еще одно важное условие — это должна быть территория с высоким уровнем безопасности.
Территория с высоким уровнем безопасности подразумевает хорошо организованный, слаженный комплекс с интегрированными устройствами защиты безопасности и жесткими процедурами допуска. Конечно, эти требования по безопасности придумал не сам производитель пластиковых карт, а международные платежные системы, и остается лишь строго исполнять их. Изначально следует понимать, что для того чтобы добиться высокой степени защиты на производстве банковских карт, необходимо начинать с разработки проекта фабрики, правильного планирования и проектирования производственных зон и участков и, соответственно, организации физического доступа на эти зоны и участки.
