ISACA Kyiv ChapterВчера в 10:33 · .

ISACA Киев главаVčera в 10:33 · ..Предупреждение: банки под угрозойНедавно представители киевского филиала Исаака участвовали в расследовании и vičistki инцидент, связанный с кража большого объема из банка через SWIFT.После тщательного изучения этого инцидента мы считаем необходимым уведомить Банк о следующей компании:• Международной преступной группы Carbanak/Akunak и Buhtrap создан и помещен в общественном достоянии набор инструментов для проникновения в банки и другие финансовые учреждения• К сожалению, традиционные средства защиты – брандмауэры и антивирусы является недостаточным для эффективного противодействия• После проникновения банка, хакеры через несколько месяцев, изучая его работу и внутренние процессы• После тщательного изучения деятельности банка, нападавшие использовали власть законного пользователя для осуществления платежей через mìžbankìvs′ku системы платежей SWIFT и системы электронных платежей бота и также нападения банкоматов и обработка карт. • В настоящее время под угрозой десятки банков (в основном в Украине и России), из которых похищенных сотни миллионов долларовМы считаем, что нападающие проникли большинство украинских банков и в настоящее время проводит исследование бизнес процессов и готовы для проведения мошеннических операций.Типичный алгоритм действий злоумышленников1. Установка PC банковского работника уголовного программного обеспечения через зараженные или ссылку. Традиционные антивирусные программы могут быть непродуктивным, если уголовное программное обеспечение просто был составлен самостоятельно (нападение класса APT или ZERO-DAY) Упакованные/zakriptovane специальные программы pakerom, и т.д.2. уголовное программного обеспечения инициирует подключение к центр управления пользователя ПК. Поскольку подключение инициируется из внутри банка, большинство банков не блокировать эти соединения3. на компьютере пользователя осуществляется исследование внутренней инфраструктуры банка, и проведенные нападения на другие компьютеры и серверы4. Использование специализированных инструментов, таких как Mimikatz, пароли перехватываемых администраторами домена и захвачен контроль всех компьютеров, подключенных в домене5 преступники расследовать деятельность банка и откройте для себя наиболее ценных рабочих мест и серверов. На них являются установленные программы, которые перехватывать и передавать злоумышленникам копирования экрана. Этот процесс занимает несколько месяцев6. нападавшие ожидать оптимальное время атаки (например, когда корреспондентские счета деньги) и получают средства, с помощью учетных записей законных пользователей банка и произвести чистку их следыЧто делать? Ниже мы предоставляем неисчерпаемый перечень шагов, необходимых для осуществления• Организационное обучение. Создавать планы для реагирования на инциденты, связанные с платежными системами (ответственный; кризис команды; коммуникация – внутренний, с платежными системами и контрагентами; отключение, и т.д.) Для проведения аудита безопасности и разработать и осуществить план быстрых изменений, а также архитектуры и приложений безопасности• Мониторинг и анализ инцидентов и событий. Реализовать полный процесс мониторинга событий безопасности и анализа рисков. Внедрение инструментов для обнаружения вторжений, корреляции событий и консолидации всех систем. Чтобы ввести дополнительный контроль информации, которая отправляется в банк, так и вне ее. Выполнить реконструирование уголовного программного обеспечения выявления центров управления и для поиска следов уголовного банковских систем программного обеспечения. • Стримування злочинців в разі інциденту. Відключити можливість доступу в Інтернет із внутрішніх сегментів мережі банку, і особливо з критичних робочих місць. Розробити план стримування для виключення подальших інцидентів і створення максимальної кількості перешкод зловмисникам, які проникли в банк. Посилити захист найбільш критичних платіжних сервісів – SWIFT, СЕП, процесинг, інтернет-банкінг, банкомати, системи грошових переказів тощо. Запровадити для цих сервісів сегментацію на мережевому рівні, виведення із загального домену, запровадження додаткових лімітів та контролів на рівні бізнес-процесів, впровадження алгоритмів моніторингу аномальної платіжної активності та відключення платіжних систем в разі виявлення підозрілих операцій. Провести перегенерацію ключів та паролів користувачів, щоденно міняти паролі адміністраторів. Зняти образи з скомпрометованих комп’ютерів та дослідити зразки злочинного коду, забезпечити зберігання цифрових доказів. Посилити безпеку домену та розпочати вичистку. Потрібно бути готовим до того, що екстрені процедурі із стримування злочинців можуть привести до простоїв в бізнес-процесах, оскільки зміни потрібно впроваджувати настільки терміново, що не завжди є можливість проводити ретельне тестування• Очистка системы. Искоренить преступниками с it систем банка является сложной задачей, потому что банки используются тысячи компьютеров и серверов и найти следы уголовного программного обеспечения и vičistka или переустановить зараженных устройств может занять много времени (от нескольких месяцев до года). За это время банк был вынужден работать в режиме n

ISACA Kyiv Chapter Вчера в 10:33 · .. Предупреждение : банки под угрозой Недавно представители Киевского Отделения Исаака были привлечены к расследованию , сдерживания и вичисткы инцидента , эт ' связанного с кражей крупной суммы из украинского банка через систему SWIFT. После тщательного изучения инцидента , мы считаем необходимым предупредить банковское общество следующее : • Международные преступные группировки Carbanak / Akunak и Buhtrap создали и разместили в открытом доступе набор инструментов для проникновения в банки и другие финансовые учреждения • К сожалению , традиционные средства защиты - межсетевые экраны и антивирусы - недостаточны для эффективной противодействия • После проникновения в банк , хакеры несколько месяцев изучают его работу и внутренние процессы • После тщательного изучения работы банка , злоумышленники используют полномочия легитимных пользователей для создания платежей через международную межбанковскую систему платежей SWIFT и систему электронных платежей СЭП , и также атакуют банкоматы и карточный процессинг . • На данный момент скомпрометировано десятки банков ( в основном в Украине и в России ), из которых украдено сотни миллионов долларов Мы считаем , что злоумышленники проникли в большинство украинских банков , и в данный момент проводят изучение бизнес - процессов и готовятся к проведению мошеннических операций . Типичный алгоритм действий злоумышленников 1. Установка на ПК сотрудника банка преступного ПО через зараженное письмо или ссылки . Традиционные антивирусные программы могут быть недейственными , если преступное ПО было только скомпилировано ( атака класса APT или ZERO - DAY), упакованное / закриптоване специальной программой - пакером и т 2. Преступное пО инициирует подключение к контрольному центру с ПК пользователя . Поскольку подключение инициируется изнутри банка , большинство банков не блокируют такие подключения 3. Далее с компьютера " ютера пользователя проводится изучение внутренней инфраструктуры банка , и проводятся атаки на другие ПК и серверы 4. с помощью специализированных средств , таких как Mimikatz, перехватываются пароли администраторов домена и увлекается контроль всех ПК , подключенных в домен 5. Преступники исследуют работу банка и выявляют наиболее ценные рабочие места и серверы . На них устанавливаются программы , которые перехватывают и передают злоумышленникам копии экрана . этот процесс длится несколько месяцев 6. Злоумышленники ожидают оптимального времени для атаки ( например , когда на корреспондентских счетах больше денег ) и выводят средства , используя законные учетные записи пользователей банка , и выполняют зачистку своих следов Что делать ? Ниже мы предоставляем неисчерпаемый перечень шагов , которые необходимо ввести • Организационная подготовка . Создать планы реагирования на инциденты , эт ' связаны с платежными системами ( ответственные ; кризисная команда ; коммуникации - внутренние , с платежными системами и контрагентами ; отключение , и др .) Провести аудит безопасности и разработать и внедрить план быстрых изменений , а также архитектуру и программу обеспечения безопасности • Мониторинг и анализ инцидентов и событий безопасности . Ввести полноценный процесс мониторинга событий безопасности и анализа рисков . Ввести инструменты для обнаружения вторжений , консолидации и корреляции событий из всех систем . Ввести дополнительный контроль информации , отправляемой в банк и из него . Проводить реверс - инжиниринг преступного пО , обнаруживать контрольные центры , и искать следы преступного пО в системах банка . • Сдерживание преступников в случае инцидента . Отключить возможность доступа в Интернет с внутренних сегментов сети банка , и особенно критических рабочих мест . Разработать план сдерживания для исключения дальнейших инцидентов и создание максимального количества препятствий злоумышленникам , которые проникли в банк . Усилить защиту наиболее критических платежных денежных переводов и т . Ввести для этих сервисов сегментацию на сетевом уровне , вывода из общего домена , введение дополнительных лимитов и контролей на уровне бизнес - процессов , внедрение алгоритмов мониторинга аномальной платежной активности и отключения платежных систем в случае обнаружения подозрительных операций . Провести перегенерации ключей и паролей пользователей , ежедневно менять пароли администраторов . Снять образы с скомпрометированных комп " компьютеров и исследовать образцы преступного кода , обеспечить хранение цифровых доказательств . Усилить безопасность домена и начать вичистку . Нужно быть готовым к тому , что экстренные процедуре по сдерживанию преступников могут привести к простоям в бизнес - процессах , поскольку изменения нужно внедрять столь срочно , что не всегда есть возможность проводить тщательное тестирование • вычистке систем . Искоренение преступников с ИТ - систем банка является сложной задачей , поскольку в банках используются тысячи комп " компьютеров и серверов , и поиск следов преступного пО и вичистка или переустановка инфицированных устройств может занять длительное время ( от нескольких месяцев до года ). в течение этого времени банк вынужден будет работать в режиме п

%%%%%E2%80% A2%20%D0%9F%D1%96%D1%81% D0%BB%D1%8F%20%D1%80% D0%B5%D1%82%D0%B5%D0%BB%D1%8C%D0%BD%D0%быть%D0%B3%D0%быть%20%D0%B2%D0%B8%D0%B2%D1%87%D0%B5%D0%BD%D0%BD%D1%8F%20%D1%80% D0%быть%D0%B1%D0%быть%D1%82%D0%B8%20%D0%B1%D0%B0%D0%BD%D0%BA%D1%83,