FinTech. Dan apa yang harus dilindungi?

Halo semuanya,



Minutka deanona, nama saya Anatoly Makovetskiy, saya Pemimpin Tim Keamanan di Exness.



Saya akan segera meminta maaf kepada mereka yang berharap untuk melihat artikel teknis, tidak akan ada di sini. Juga, materi menjelaskan hal-hal yang sangat jelas pada pandangan pertama bahkan bukan fakta bahwa mereka seperti itu, tetapi Anda dapat bertanya secara masuk akal kepada saya bagaimana saya dipekerjakan dan kapan saya akan berhenti berpura-pura aman (jawaban dalam gambar di bawah potongan).







Mereka mengemudi.





Gambar: Saluran Telegram Information Security Memes (https://t.me/infosecmemes)



Beberapa tahun sebelumnya saya dalam profesi ini dibentuk di perusahaan teknologi, dan sebagai spesialis keamanan informasi, saya melindungi ... informasi (cap), meskipun menunggu jika memahami, seperti kebiasaan di industri kita, terkadang ada campuran yang baik dari perlindungan sistem, tanpa perbedaan nyata yang besar, jenis informasi yang dikandungnya, seberapa penting sistem ini untuk bisnis, apakah ada sesuatu yang lebih penting sekarang, dan kesepakatan lainnya.



Setuju, itu sangat keren dengan tidak adanya manajemen yang ketat, proses yang dibangun dengan baik, prioritas yang jelas dan kebahagiaan lainnya, melompat dari sistem ke sistem, menemukan bug yang indah di permukaan atau sedikit lebih dalam berdasarkan penelitian baru atau pengalaman pribadi orang lain, menunjukkan cara yang mengesankan untuk menggunakannya. Ini benar-benar memungkinkan Anda membangun dialog dengan tim TI lain dan mendapatkan kredibilitas. Di suatu tempat saya terbawa ...



Ya, itu benar, keamanan informasi nyata didasarkan pada proses, ISO, 27k di gigi dan pergi untuk mengambil otak TI dan manajemen puncak, kami akan menceritakan semuanya, kami akan menjelaskan semuanya, membenarkan dan menunjukkan, tidak ada yang akan membantah, karena, ini perlu, tetapi akankah proses kami di lapangan menjadi lebih baik dari pengenalan standar berikutnya?



Faktanya, pesannya adalah Anda perlu mencoba untuk pindah ke ide akar, ke perlindungan komprehensif dan seimbang dari aset bisnis yang berharga, dan bukan untuk "menambal" keamanan, jika tidak maka akan terlihat seperti ini:





Foto: s.66.ru



Anda adalah saya maaf hanya untuk contoh ekstrim seperti itu di kedua sisi, saya mengerti bahwa ini tidak dapat dibawa ke intinya, tetapi dalam pengalaman saya sendiri saya dibawa dari satu ekstrem ke ekstrem lainnya, persis seperti yang tertulis di atas, jadi saya sangat berharap ada penonton dewasa yang layak di sini , dan pengalaman saya tidak signifikan dengan latar belakang Anda, karena saya mulai dengan makalah paling lengkap dalam manifestasi terburuknya, kemudian dengan mulus melalui IT saya pindah ke area praktis, jadi saya bergegas dari satu ekstrem ke ekstrem lainnya, melihat mereka yang duduk di ekstrem ini di sebelah saya, jadi saya tidak sendirian di sana dan saya akan mencatat satu hal:

, , , , :

• , ( ), , , , , ;
• , - , , , , .

Kedua pendekatan ini memiliki sisi positifnya, karena perhatian yang tidak mencukupi untuk masing-masing menghasilkan risiko tersendiri, tetapi kebenarannya seimbang, jika tidak, keamanan demi keamanan diperoleh di suatu tempat di dekat kuda yang sangat bulat dalam ruang hampa. Di sini kita sampai pada satu lagi bukti nyata:

1. Petugas keamanan informasi tenggelam dalam kebutuhan untuk melindungi segala sesuatu dan semua orang, seringkali tanpa menetapkan prioritas nyata, dan bersukacita setiap kali ada kesempatan untuk secara terbuka menghukum seseorang dengan bangga mengerutkan alisnya untuk membuktikan diri ketika seseorang melanggar proses yang dibangun atau belum selesai.
2. Penjaga keamanan praktis sering kali fokus untuk menghindari kerentanan di mana pun, karena ini berpotensi membahayakan seluruh lingkungan, tetapi juga memiliki celah prioritas, memberikan prioritas lebih tinggi ke sistem yang lebih rentan daripada sistem yang lebih sensitif tetapi tidak * rentan.

Seringkali kita mengandalkan pengalaman orang lain, pada prioritas orang lain, yang kita baca di suatu tempat, yang tidak selalu salah dan tidak sesuai, tetapi seringkali tidak cukup optimal untuk kondisi tertentu, dari kategori Mulai Cepat, yang terkadang, bagaimanapun, dapat dibenarkan bila tumbleweeds dan layang-layang berputar-putar, dan jelas lebih baik daripada tidak sama sekali, tetapi bisnis, sementara itu, hidup sendiri.



Ngomong-ngomong, bagaimana dengan dialog antara bisnis dan keamanan? Menurut pendapat saya, kami (satpam) sangat sering mencoba menjual kepada bisnis apa yang tidak dipahami, apa yang sebenarnya tidak dibutuhkan dan apa yang tidak terlalu berhubungan dengannya, atau bahkan kami tidak mencoba menjual apa pun. Artinya, argumentasi kita sebagai perwakilan keamanan didasarkan pada ide dan fondasi industri kita sendiri, dari mana bisnis mungkin sangat jauh, dan kita perlu memotivasi dalam bahasa yang dapat dipahami dan masuk akal, maka efeknya akan lebih dapat diprediksi, jangka panjang, dan keterlibatan bisnis lebih tinggi. Pada akhirnya, kita harus pergi ke bisnis untuk anggaran, tidak peduli seberapa besar kita menginginkannya sebaliknya :)



Mengapa bisnis membutuhkan kita sama sekali? Terkadang keamanan diperlukan untuk pertunjukan, karena itu hanya diperlukan. Mari kita tinggalkan kasus seperti itu, dan bicarakan kasus ketika keamanan muncul karena pemahaman tentang kebutuhannya. Bisnis yang tepat menginginkan uang untuk menilai potensi risiko secara komprehensif di awal, menanganinya terlebih dahulu, serta merespons dengan cepat dan efektif terhadap ancaman yang sedang terjadi, menarik kesimpulan darinya untuk masa depan dan menjadi lebih kuat. Artinya, kami dipekerjakan untuk membantu, tetapi bagaimana kami dapat membantu?



Pertama-tama, Anda perlu memahami bagaimana perusahaan menghasilkan uang dengan cara ini, apa yang dilakukannya dan apa yang diperjuangkannya, dan kemudian dengan segenap kekuatan kita untuk melindunginya. Jika sebuah bisnis adalah membiakkan ayam yang bertelur dan berakhir di meja orang-orang yang baik hati sebagai makanan, maka mari lindungi ayam, telurnya, proses di sekitarnya, dan cara pengirimannya ke meja. Jika bisnis terlibat dalam Big Data, maka mari kita lindungi data besar ini, komputer, data mentah, algoritme, dan segala sesuatu yang berhubungan dengannya.



Jadi, saya sangat menyesal, hanya sebagian kecil dari kolega di toko yang pada kenyataannya dalam praktiknya menyadari lemahnya efisiensi dari pendekatan yang tidak sesuai dengan bisnis dan implementasi model kerja pekerjaan pada prioritas bisnis. Dan apa yang memungkinkan kita mengidentifikasi ancaman nyata? Benar, memodelkannya.



Mari minggir sejenak dan bayangkan keseluruhan proses pemodelan ancaman seperti yang saya lihat:

1. Kami mendefinisikan aset berharga perusahaan, dan yang berharga adalah itu, pelanggaran properti yang pada akhirnya menyebabkan kerugian, menurut pengalaman, yang pada akhirnya bermuara pada keuangan, langsung atau tidak langsung, ketika datang ke perusahaan komersial. Di sini, sebagai aturan, kami mendapatkan informasi ini atau itu, yang harus kami lindungi untuk kepentingan kami sendiri atau untuk alasan peraturan. Saya tidak sempat bekerja di tambang emas, mungkin tidak ada informasi dari awal.
2. Kami memberi peringkat pada aset paling berharga itu untuk diprioritaskan.
3. , , , , , ( , - , , , , ).
4. .
5. , , , , , , .
6. .
7. , **, .

Jadi, sebelumnya, dari pengalaman, saya selalu memiliki informasi tentang aset yang dilindungi, ini cukup untuk membangun perlindungan, tetapi ketika saya datang ke Exness dan mulai membentuk model yang memperhitungkan keanehan lokal, saya tidak dapat berpisah dengan perasaan bahwa ada sesuatu yang hilang, sesuatu itu kemudian yang penting terlewatkan sampai saya sadar (ya, tertawakan saya, penipu keamanan yang menulis posting ini, dan kejelasan apa yang terjadi):

"Ada uang di fintech."

Perusahaan mana pun punya uang. Perusahaan mana pun, setidaknya cepat atau lambat, membayar gaji kepada karyawan, menyewa kantor, melakukan beberapa jenis kegiatan ekonomi dan menyediakan pekerjaan untuk departemen akuntansi, tetapi ini bermuara pada memiliki rekening bank, atau, selain sistem pembayaran yang terintegrasi dengan situs web, tetapi fintech memiliki uang nyata, sementara pengguna eksternal bekerja dengannya, dan sebagian besar operasi dengannya bersifat otomatis. Ups ...



Sekarang mari kita bayangkan bahwa selain sekumpulan informasi yang relevan dengan bisnis dan informasi lain yang dilindungi, ya, termasuk kredit dan kunci dari Internet banking, yang dimiliki setiap orang dan juga tentang uang, Anda memiliki setidaknya uang nyata dari klien yang mereka hasilkan. ke akun Anda dalam sistem Anda. Artinya, pada kenyataannya, di dalam sistem, ini adalah informasi yang sama dengan segala sesuatu di sekitarnya, tetapi pada kenyataannya uanglah yang diubah menjadi informasi dan kembali ke batas-batas sistem, tetapi Anda tidak boleh memperlakukannya sebagai informasi biasa.



Gambar di bawah ini adalah diagram aliran informasi dari salah satu produk kami :)





Gambar: serial "DuckTales" Walt Disney Television Animation



Selain itu, menjauh dari paradigma bahwa kita hanya melindungi informasi memungkinkan untuk memahami jenis sumber daya berharga lain yang sebelumnya saya abaikan, tetapi ada pada semua orang, meskipun agak ambigu - hubungan yang dapat berupa kemitraan dengan pelanggan / penyedia lalu lintas, atau dengan penyedia layanan komunikasi / keamanan / infrastruktur. Tentu, sebelumnya saya selalu secara implisit mempertimbangkan hal ini, tetapi dalam konteks implementasi ancaman dalam ruang hampa, dari kategori Business Continuity Plan dan Disaster Recovery Plan, dan di sini telah berubah kesadaran menjadi aset yang sepenuhnya sadar yang layak untuk diidentifikasi dan dilindungi, yang memperluas cakupan kami, jadi bagaimana kita mulai bergerak dalam hal ini tidak hanya dari ancaman yang diketahui, tetapi juga dari aset itu sendiri, seperti dari objek yang berpotensi terkena ancaman yang tidak diketahui, tetapi ini bukan tentang itu sekarang.



Jika Anda melihat lebih dekat, Anda dapat melihat uang dari semua sisi:

1. Minimal, ada semua aktivitas ekonomi yang sama seperti di perusahaan lain.
2. Ada produk yang terkait dengan transaksi keuangan dan kecepatan pelaksanaannya, yang mengandung logika nyata masuk dan keluarnya dana, yaitu uang tidak dapat dipindahkan ke tempat yang jauh dan hanya dilihat sekali sehari setelah upacara khusus dengan "busur". dan menyelesaikan "membuka baju". Mereka perlu didorong dalam sistem, dan semakin cepat, semakin baik untuk bisnis, seringkali.
3. Ada banyak sekali sistem pembayaran dan alat lain yang berbeda, yang masing-masing memiliki penerapan fitur interaksi, batasan, dan integrasinya sendiri.
4. Ada infrastruktur tempat produk beroperasi.
5. , ; , ; , ; , - .
6. , .

Akibatnya, ada sejumlah besar sambungan aset, sistem, pengguna, karyawan, mitra, proses, dan, sebagai aturan, kami menerima ancaman utama di sambungan, dan sambungan tambahan menciptakan ancaman baru.



Semua ini berarti bahwa pada dasarnya terletak tidak hanya informasi atau data yang dikenal oleh petugas keamanan informasi, tetapi juga aset dari jenis yang berbeda, seperti uang, yang, mengingat skala "bencana" seperti itu, cukup sulit untuk dialihkan secara eksklusif ke informasi dan data yang akrab bagi kita semua. Penerapan ancaman terhadap beberapa jenis informasi yang sudah dikenal tidak selalu menyebabkan kerusakan, dan dalam kasus uang, setiap transaksi memiliki nilai minimum yang diketahui dan tidak ambigu, terutama ketika kita berbicara tentang perjalanannya yang agak cepat, yang hanya dapat meningkat dari sifat ancaman.



Artinya, dalam kasus perbankan Internet atau dompet kripto, Anda memiliki kredit / rahasia / kunci untuk mengaksesnya (diringkas dengan kata "rahasia"). Rahasia adalah informasi, tetapi masih ada proses, prosedur, dan upacara untuk mengerjakannya, dan lingkaran orang yang secara relatif berpotensi sempit untuk bekerja dengannya. Di sini, juga, konsep perlindungan informasi tidak rusak, tetapi ketika kita beralih ke tahap melewatkan logika pembayaran secara langsung atau tidak langsung melalui segala sesuatu di sekitarnya, serta untuk "mencoreng" uang di berbagai produk dan sistem, situasinya menjadi jauh lebih rumit :)



Pada akhirnya, satu-satunya hal yang harus kita harapkan adalah hubungan kita dengan bisnis dan pemahaman kita yang baik tentangnya, yang diterjemahkan ke dalam keahlian internal tertentu, yang dapat dan harus terus kita pompakan dan segera ubah menjadi model ancaman yang sebenarnya, yang pada gilirannya kita harus memaksakan fitur-fitur sistem kita untuk mencegah kerusakan dan keacakan, dan akibatnya, ketidakberartian dalam semua pekerjaan kita.



Maafkan saya bahwa ada begitu banyak kata tentang pemikiran yang singkat, tetapi saya ingin kita semua di industri keamanan informasi sekali lagi memikirkan tentang apa dan bagaimana kita melakukannya, dan jika kita diberi kesempatan seperti itu, maka lakukan semuanya dengan benar, sehingga semua tahapan dikoordinasikan satu sama lain, dan jika kesempatan seperti itu tidak diberikan - untuk memperjuangkannya, jika itu sepadan, jika tidak, kami akan selalu berada beberapa langkah di belakang para penyerang, karena mereka biasanya mengetahui tujuan mereka dengan baik dan mengikuti mereka, tidak seperti kami.



Jika materi ini tidak gagal seluruhnya, maka saya akan mencoba mengungkapkan lebih detail dan berorientasi praktis pendekatan utama, “alat” dan visi subjektif dari topik seperti:

• “Sepeda” saya tentang topik pemodelan ancaman (jika ada permintaan untuk itu, karena ada cukup sepeda bahkan tanpa sepeda saya);
• (Bukan) kepercayaan dan keamanan;
• Bug Bounty, bagaimana kami melakukannya dan apa yang kami perjuangkan;
• Komentar tentang kekhasan pasar spesialis keamanan informasi berbahasa Rusia setelah pengalaman yang lama sebagai pewawancara;
• Apa yang seharusnya mendorong keamanan.

Jika materi masuk - tambahkan, jika gagal - tenggelam di komentar. Selalu senang untuk umpan balik yang membangun, baik itu positif maupun tidak.



Semua kebaikan dan pendekatan profesional yang seimbang!