W banku: SIEM to podstawa

Systemy klasy SIEM (Security Information and Event Management) mogą być skutecznie wykorzystywane do monitorowania nie tylko bezpieczeństwa aplikacji, infrastruktury, skuteczności systemów zabezpieczeń czy sygnalizowania nieprawidłowości. Ułatwiają też przeprowadzenie analizy ataków oraz stanowią źródło materiału dowodowego w sprawach incydentów bezpieczeństwa, mających charakter przestępstw i wykroczeń przeciwko obowiązującym przepisom wewnętrznym danej organizacji oraz przepisom prawa powszechnego itp.

Wielka siła systemów SIEM tkwi w oferowanej przez nie logice korelacyjnej, dzięki czemu staje się możliwe wykrywanie incydentów o złożonym przebiegu i skomplikowanym charakterze, co ma miejsce właśnie w przypadku ataków na usługi bankowości elektronicznej. Logika korelacyjna umożliwia definiowanie ciągów zdarzeń i relacji między nimi (relacji logicznych, sekwencyjności, następstwa czasowego, częstotliwości wystąpień, ścieżki ataku, czyli miejsc wystąpień zdarzenia itp.), które składają się na pełen scenariusz złożonego, wielokomponentowego ataku.

Chociaż ataki zaliczające się do kategorii "client-side" mają miejsce na komputerach użytkowników, czyli całkowicie poza zasięgiem domeny funkcjonowania systemów zarządzania zdarzeniami, w pewnych okolicznościach jest możliwe monitorowanie na serwerach bankowych określonych sekwencji zdarzeń, które poprzedzają wystąpienie właściwych oszustw, czyli wyprowadzenie środków z rachunków bankowych klientów. Nie w każdym banku SIEM będzie sprawdzał się równie dobrze. Kluczem do sukcesu jest właściwa konfiguracja reguł korelacyjnych - a to wymaga od bankowego zespołu bezpieczeństwa zarówno dogłębnej znajomości możliwych scenariuszy ataku, jak i sporej wyobraźni.

Właściwie skonfigurowany SIEM może posłużyć do wykrycia chociażby działań opisanego Sinowala czy Limbo 2. Posłużmy się przykładem zaczerpniętym z praktyki jednego z zespołów bezpieczeństwa w dużym banku w Polsce. Przestępcy dysponowali tylko wybranymi, i to ściśle określonymi kodami autoryzacyjnymi. Chcąc wyprowadzić środki z konta klienta, musieli "wpasować" się w zapytania aplikacji o kody o określonych numerach. Na ogół wymagało to od agresora wielu wycofań z operacji, dla których autoryzacji atakujący nie posiadał kodów. To właśnie sekwencja czynności nieudanych autoryzacji w określonym czasie i sekwencji w ramach jednej sesji stanowiła podstawę reguły korelacyjnej. W populacji zdarzeń pasujących do tego wzorca ataku wyróżniono następnie operacje wysokiego ryzyka i przełożono je na język zrozumiały dla systemu SIEM, przez uściślenie reguły korelacyjnej i wprowadzenie dodatkowego kryterium kwoty. Zlecenia przelewów na wysokie kwoty, autoryzowane kodami Sinowala czy Limbo 2 były sygnalizowane i później obsługiwane z wysokim priorytetem.

Warto zwrócić uwagę na fakt, iż każde powiadomienie wymagało weryfikacji pod kątem eliminacji fałszywych alarmów (false positives), które z oczywistych powodów zdarzały się dość często.