QRadar Suite, czyli kompleksowe wsparcie dla banków w zapewnieniu bezpieczeństwa

Jak upowszechnienie rozwiązań bazujących na AI i uczeniu maszynowym zmieniło mapę zagrożeń dla instytucji finansowych oraz ich klientów? Chodzi zarówno o same strategie przestępcze, jak też skuteczność dotychczas używanych środków bezpieczeństwa.

– Wyścig zbrojeń pomiędzy światem przestępczym a twórcami zabezpieczeń dla sektora bankowego trwa od zawsze. W czasach, gdy to kasiarze stanowili główne zagrożenie dla instytucji finansowych, odpowiedzią ze strony tych ostatnich były coraz bardziej przemyślane sejfy, skarbce i systemy alarmowe. Wraz z digitalizacją gospodarki rywalizacja pomiędzy złodziejami a bankowcami przenosiła się do cyberprzestrzeni. Tu sporą przewagę zyskała jasna strona mocy, przeznaczając kolosalne nakłady finansowe na tworzenie skutecznych systemów bezpieczeństwa cyfrowego, czy też wdrażając odpowiednie polityki antyfraudowe i w zakresie AML/KYC. W ślad za przemianami natury technologicznej i organizacyjnej postępowała edukacja pracowników instytucji finansowych odnośnie ewentualnych zagrożeń, co przyczyniło się do budowy ich świadomości w tym zakresie.

Najsłabszym ogniwem w całym łańcuchu pozostał konsument, przeciętny Kowalski korzystający z usług finansowych, który – pomimo licznych kampanii uświadamiających zagrożenie cyberprzestępczością – w dalszym ciągu jest najbardziej podatny na coraz bardziej wyrafinowane kampanie socjotechniczne, wspomagane najnowszymi rozwiązaniami IT. Niekiedy wystarczy jedno kliknięcie czy otwarcie trefnego załącznika, by utracić całe oszczędności życia, zwłaszcza jeśli po drugiej stronie mamy oszustów posługujących się deepfake czy innymi narzędziami bazującymi na uczeniu maszynowym, których skuteczność przewyższa doświadczonego hakera. Rosnąca liczba zaawansowanych prób oszukańczych z użyciem botów sprawia, że instytucje finansowe przejmują na siebie część odpowiedzialności za zabezpieczenie zdalnych kanałów komunikacji z bankiem, z których korzystają ich klienci.

Działania te stymulowane są zarówno wewnętrznym poczuciem odpowiedzialności społecznej kadry zarządzającej banków, jak i presją ze strony regulatorów, zarówno na szczeblu krajowym, jak i europejskim.

– Przykładem mogą być bardzo prokonsumenckie zapisy polskiej ustawy o usługach płatniczych, przewidujące rozpatrywanie reklamacji na nieautoryzowaną transakcję, zapisy o podobnej treści znalazły się w projekcie unijnego rozporządzenia PSR, które miałoby zastąpić obecnie obowiązującą dyrektywę PSD2. Budzą one kontrowersje, niemniej kierunek, w jakim zmierza europejski regulator, jest poniekąd zrozumiały, gdyż nie sposób wymóc na wszystkich bez wyjątku klientach instytucji bankowych, by posługiwali się bardziej zaawansowanymi rozwiązaniami antyfraudowymi, kiedy korzystają ze zdalnego dostępu do banku dosłownie na co dzień, płacąc smartfonem w restauracji czy sklepie, a także w kanałach e-commerce. Tymczasem banki są w stanie wdrożyć odpowiednie narzędzia, maksymalnie ograniczające ryzyko podszywania się osoby niepowołanej pod użytkownika rachunku bankowego, a w sukurs przychodzi im sztuczna inteligencja.

Algorytmy z obszaru analizy zachowań użytkownika (user behaviour analytics) są w stanie bardzo szybko i z olbrzymim prawdopodobieństwem zweryfikować, czy po drugiej stronie mamy do czynienia z tą samą osobą, co zwykle, a także, czy i na ile jej zachowanie w danej chwili odbiega od dotychczasowych doświadczeń.

Do tego dochodzą elementy kontekstu samego uwierzytelniania, w tym weryfikacja, z jakiego urządzenia i z jakiego regionu następuje połączenie. Dzięki temu można wykryć przypadki, kiedy niewzbudzająca podejrzeń transakcja wykonywana jest o godzinie 14.00 z Warszawy, a za 15 minut z tego samego konta i przy użyciu tych samych poświadczeń przeprowadzana jest operacja z odległego miejsca. Możliwości narzędzia user behaviour analytics nie ograniczają się do weryfikacji interakcji klientów z urządzeniem, ale są również w stanie wychwycić anomalie wewnątrz infrastruktury danej instytucji. Chodzi

o sytuacje, kiedy logowanie administratora czy innego pracownika następuje w nietypowym czasie, albo próbuje on uzyskać dostęp do zasobów, z których nigdy dotąd nie korzystał. Każdy taki przypadek, zgłoszony przez system, należy oczy wiście zweryfikować i odpowiednio zareagować.

Skoro już mówimy o kompleksowej zmianie podejścia do kwestii cyberbezpieczeństwa, w którym obszarze sektor finansowy wymaga największych zmian, by skutecznie stawiać czoło zagrożeniom XXI wieku: technologicznym, organizacyjnym czy regulacyjnym?

– Zacznę od końca. Regulatorzy wymagają coraz większej odpowiedzialności, przerzucając ją na poszczególne sektory poprzez wymuszanie określonych działań w celu minimalizacji ryzyka, co – jak już wcześniej wspomniałem – wynika poniekąd z rosnącej świadomości zagrożeń. W tej sferze nie upatrywałbym jakichś szczególnych wyzwań. Pod względem organizacyjnym bankowość ma szczególnie rozwiniętą świadomość adresowania problemów, związanych z szeroko pojętym  bezpieczeństwem, jest to niejako wpisane w DNA instytucji finansowych już od początków transformacji cyfrowej. Najwięcej uwagi wymagać będzie zatem odświeżenie czy też raczej aktualizacja wykorzystywanych technologii, które są w stanie wspomóc sektor i jego klientów w obszarze bezpieczeństwa.

Systemy, jakich używają w tym celu banki, nie zawsze należą do najświeższych, bywa i tak, że przedstawiciele instytucji oceniają dotychczasowe rozwiązania, nierzadko skrojone pod ich indywidualne potrzeby, jako wystarczające, tymczasem świat cyberataków cały czas się rozwija. Jesteśmy świadkami nie tylko powstawania nowych schematów przestępczych działań, ale i ewolucji dotychczasowych, w dalszym ciągu najczęstszym atakiem wymierzonym w dane jest ransomware, zaś najpowszechniejsza taktyka przestępcza służąca wykradaniu poświadczeń to phishing. Te zagrożenia nie pojawiły się miesiąc czy pół roku temu, są znane od dawna, tylko stają się coraz bardziej wyrafinowane. Aby im przeciwdziałać, potrzeba narzędzi, które będą w stanie nie tylko reagować na znane zagrożenia, ale korzystając z analityki pewnych czynności, wskażą, że coś niepokojącego się dzieje bądź za chwilę może się wydarzyć.

Podstawą sukcesu każdego rozwiązania, wykorzystującego uczenie maszynowe, jest dostęp do danych. Jak skutecznie zarządzać wewnętrznymi zbiorami danych banku i agregować je z informacjami pozyskiwanymi z zewnątrz, by w oparciu o te zasoby stworzyć skuteczną zaporę antyfraudową?

– Wszystko zależy od tego, jak w tym kontekście rozumiemy fraud. Jeśli chodzi o dane, to kluczowe znaczenie ma ich zabezpieczenie. Banki, podobnie jak inne instytucje finansowe, przechowują mnóstwo informacji o swoich klientach, i są to wszystko dane chronione, zatem w pierwszej kolejności należy zapobiegać ich wyciekom. W tym celu zaś nie wystarczy wdrożenie odpowiednich polityk bezpieczeństwa ani zakup zaawansowanego pakietu cybersecurity. Niezbędna jest świadomość, gdzie i jakie dane posiadamy, bo przy obecnym natłoku informacji nietrudno doprowadzić do sytuacji, w której dana instytucja traci panowanie nad tym, co i gdzie gromadzi, a w konsekwencji również, które zbiory należy chronić w szczególny sposób. To pierwszy krok do powstania luki w systemie bezpieczeństwa i potencjalnego ryzyka dostania się do tych danych czy przechwycenia ich przez osoby niepowołane.

Jednym z głównych kierunków digitalizacji banków jest migracja do środowisk chmurowych. Jak powinny wyglądać poszczególne etapy wdrażania cloudu z punktu widzenia bezpieczeństwa, by osiągnąć optymalny efekt? Pamiętajmy, że przenoszenie zasobów do chmury jest niczym przebudowa samolotu w trakcie lotu, gdyż instytucja finansowa jako element infrastruktury krytycznej musi utrzymywać ciągłość działania.

– Transformacja chmurowa w ostatnim czasie się nasiliła, a rozwiązania chmurowe są coraz popularniejsze także z uwagi na bezpieczeństwo przechowywania danych. Mamy zapewnione backupowanie, dostępność i skalowalność, a to wszystko przy wydatnie niższych nakładach finansowych niż w przypadku klasycznej architektury. Należy jednak pamiętać, że cloud cloudowi nierówny. Mamy rozwiązania bazujące na chmurze prywatnej, wdrażane przez organizację wyłącznie na potrzeby własne i funkcjonujące we własnym środowisku, ale również chmury hybrydowe czy publiczne. W przypadku tych ostatnich należy po pierwsze odpowiednio zabezpieczyć serwery, one powinny być aktualne i posiadać wdrożone odpowiednie polityki, jak najbardziej ograniczające dostęp, bo pamiętajmy, że całe zasoby mogą być wówczas dostępne z internetu.

Odrębnym wyzwaniem jest to, że w powszechnie dostępnych chmurach swoje rozwiązania i swoje usługi mają różne organizacje, zatem zasoby banku trzeba odpowiednio odseparować i zabezpieczyć sieci. Z tych wymogów raczej wszyscy zdają sobie sprawę, niemniej trzeba jeszcze pamiętać o odpowiednim monitoringu bezpieczeństwa tych wszystkich rozwiązań. Zarówno chmury publiczne, jak i nawet prywatne, udostępniają pewne zasoby logów, które wypadałoby odpowiednio gromadzić i przetwarzać, a przede wszystkim skorelować z tym, co się dzieje w wewnętrznym środowisku, czy też na styku pomiędzy on premise a rozwiązaniem chmurowym.

Przede wszystkim trzeba dbać o bezpieczeństwo danych, czemu służą odpowiednie narzędzia, które szyfrują dane, kontrolują dostęp, monitorują wykorzystanie zasobów danych, żeby wychwycić podejrzany ruch i odpowiednio zareagować. Do tego dochodzą elementy związane z rozwiązaniami opartymi na sztucznej inteligencji, które się tego wszystkiego uczą, analizują i sygnalizują, jeśli coś odbiega od normy.

Na czym polega zatem specyfika narzędzi takich, jak IBM Security QRadar i IBM Cloud Pak for Security, w kontekście podnoszenia poziomu ochrony instytucji finansowych, a w szczególności jak radzą sobie one z nowymi, nieznanymi dotychczas schematami przestępczych działań?

– Mamy do dyspozycji cały pakiet QRadar Suite, stanowi on zestaw rozwiązań, wspierających instytucję finansową w zapewnieniu odpowied niego poziomu bezpieczeństwa. Należy zacząć od QRadar SIEM, narzędzia odpowiedzialnego za zbieranie informacji o całej aktywności w środowisku, zarówno jeśli chodzi o ruch sieciowy, logi bezpośrednio z systemów, aplikacji bazodanowych, czy wreszcie feedback z każdego urządzenia, przełącznika sieciowego czy firewalla.

Rozwiązania tej klasy służą po to, by w infrastrukturze zbierać dane z mnóstwa końcówek, ale również korelować je, budować informacje o tym, co po kolei się działo, co z czego wynika, by w konsekwencji uzyskać pełny obraz danej sytuacji. Te skorelowane już informacje pozwalają wyodrębnić potencjalne incydenty, w przypadku tego rozwiązania określane jako ofience.

Oczywiście należy pamiętać, iż nie każda informacja zgłoszona przez system musi być od razu zagrożeniem. Wdrażając takie rozwiązanie, określamy sytuacje typowe i standardowe, które normalnie występują w codziennej pracy całego środowiska, a odstępstwa od tej normy są klasyfikowane jako potencjalny incydent bezpieczeństwa, którym trzeba by się zająć, choć niekonieczne zareagować. To jest istota pracy z narzędziem, nie wystarczy je wdrożyć i mieć święty spokój. Zagrożeń przybywa, a więc trzeba pracować nad tego typu rozwiązaniem, konfigurować i aktualizować pod kątem tego, co się dzieje u nas w środowisku.

Bardzo mocno powiązane z QRadar SIEM jest rozwiązanie QRadar SOAR (Security Automation, Orchestration and Response), które bazuje na informacjach pochodzących ze SIEM-a, a jego zadaniem jest przesyłanie wskazanych przez SIEM, potencjalnie ryzykownych sytuacji do odpowiednich grup wsparcia. Nie chodzi jednak wyłącznie o samo zaprezentowanie incydentu i zapewnienie jego obsługi, ale również automa tyczne zadziałanie poprzez tak zwane playbooki, czyli skrypty, które reagują odpowiednio na określoną sytuację potencjalnego zagrożenia. Zadaniem takiego playbooku jest np. sprawdzenie, w oparciu o feedback otrzymany od SIEM, czy trwa jakiś proces, który wskazuje bezpośrednio na atak, czy można w danej sytuacji zablokować dostęp, a jeśli już doszło np. do zaszyfrowania zasobu danych, to odtworzyć je z ostatniego możliwego backupu, żeby zminimalizować postój całego środowiska.

W ramach narzędzia występują też moduły oparte na sztucznej inteligencji, które wspierają operatora, automatycznie wzbogacając informacje o zagrożeniu. Można np. sprawdzić, czy domena, z której jest wykonywany ruch, nie została zarejestrowana wczoraj, co już stanowi istotny sygnał ostrzegawczy. Ale możliwe jest również skanowanie wiadomości mailowych, które przychodzą do pracowników banku, pod kątem załączników zawierających malware, czy URL-i, przekierowujących na domeny nieznane bądź z innych względów oznaczone jako niebezpieczne. Takie rozwiązanie jest w stanie poprowadzić osobę, która obsługuje dany incydent krok po kroku, żeby wykonała wszystkie niezbędne czynności, od potwierdzenia, że faktycznie trzeba w jakiś sposób zareagować, chociażby poprzez zgłoszenie naruszenia bezpieczeństwa, jeśli przepisy tego wymagają. To może nas wspomóc w wykonaniu wszystkich kroków, niezbędnych w ramach pełnej obsługi incydentu. Działania te mogą być realizowane po części automatycznie, a po części przez operatora.

Dysponujemy jeszcze jednym elementem wspomagającym całe nasze środowisko, QRadar NDR (Network Detection and Response). To moduł odpowiadający za szczegółową analizę ruchu sieciowego, włącznie z analizą pakietów, które krążą w sieci w danym środowisku IT. Mamy rozwiązanie QRadar EDR (Endpoint Detection and Response) przeznaczone do zabezpieczeń końcówek, czyli poszczególnych urządzeń, które jest w stanie upewnić się, że nie trwa żaden niepożądany proces, nikt nie próbuje zmanipulować danych, zaszyfrować ich czy bezpośrednio zaatakować danej końcówki.

Jeśli chodzi o Cloud Pak for Security, jest to rozwiązanie uzupełniające, dedykowane wspomnianym wcześniej środowiskom chmurowym. Zawiera ono elementy SIEM, jak i SOAR, i jest przeznaczone po to, by z jednej strony korelować wszystkie informacje, które jesteśmy w stanie zebrać z cloudu i połączyć je ze zdarzeniami, które mamy w SIEM-ie obsługującym infrastrukturę lokalną – po to, żeby mieć pełny pogląd na to, co się dzieje już na naszym całym środowisku, żeby jedno środowisko nie było oderwane od drugiego. Pamiętajmy, że zasoby chmurowe nierzadko współpracują z naszym środowiskiem lokalnym, i dlatego Cloud Pak for Security spaja te dwa oddzielne środowiska. IBM udostępnia swoje usługi związane z bezpieczeństwem, polegające na dostępie do wiedzy i bazy wszystkich aktualnych zagrożeń.

Baza zabezpieczeń jest na bieżąco uaktualniana, żeby być cały czas na bieżąco ze wszystkimi zagrożeniami, zatem bank czy inna instytucja, korzystając z tych narzędzi, nie jest osamotniona w walce z szeroko rozumianymi cyberatakami.