Проблемы информационной безопасности банков
В статье обсуждаются основные принципы, методы и направления обеспечения информационной безопасности банков. Основное внимание уделяется анализу потенциальных угроз и слабостей банковских систем, а также организационных, технических, правовых и процедурных мер по защите данных. Конфиденциальность, целостность, доступность, аутентичность и неотказуемость являются основными принципами информационной безопасности. Криптографические инструменты, системы управления доступом, антивирусные программы, системы обнаружения и предотвращения вторжений, а также резервное копирование и восстановление данных рассматриваются. Таким образом, цель этой статьи состоит в том, чтобы собрать информацию и методы, необходимые для обеспечения безопасности банковских систем, что позволит минимизировать риски и эффективно защищать активы и данные.
Ключевые слова:
Информационная безопасность, банки, фишинг, DDoS-атаки, биометрия, многофакторная аутентификация, искусственный интеллект, блокчейн, киберугрозы, защита данных, инсайдерские угрозы, мониторинг транзакций, шифрование, финансовая безопасность.
Введение
В современном мире банки становятся наиболее подверженными кибератакам. Информационная безопасность в финансовой сфере включает не только защиту денег, но и защиту личных данных клиентов. В этой статье рассматриваются основные угрозы и средства защиты банковского сектора, а также предлагаются идеи для улучшения безопасности.
Критерии оценки уязвимостей
Специалисты оценивают уязвимость корпоративной инфраструктуры по трем критериям.
- Доступность — легко ли злоумышленнику получить доступ к сети или отдельным устройствам.
- Фатальность — как влияет уязвимость на процессы и данные, какие могут быть последствия: потеря данных, нарушение конфиденциальности и доступность сервисов.
- Количество — сколько компонентов программно-аппаратного комплекса подвержено уязвимостям. Также оценивается распространенность уязвимости и ее потенциальное влияние.
Источники угроз информационной безопасности
К основными источникам угроз относятся несовершенное ПО, проблемы с конфигурацией, нестандартные условия использования оборудования или программ и, конечно, человеческий фактор.
· Несовершенное ПО или аппаратное обеспечение. Устаревшие версии ПО или не обновляемая «прошивка» аппаратной части нередко содержат уязвимости, которые злоумышленники могут использовать для атак.
· Неправильное функционирование систем. Ошибочная конфигурация или неполное обновление системы также приводят к возникновению уязвимостей.
· Уязвимости в протоколах. Создать возможности для атак может некорректная реализация протоколов связи или интерфейсов, связывающих компоненты системы.
· Сложные или несовершенные условия эксплуатации. Сюда отнесем в том числе нестандартные сценарии использования ПО и оборудования, а также недостаточное тестирование.
· Человеческий фактор. Это ошибки персонала и недостаточное знание правил безопасности, а также фишинг и другие приемы социальной инженерии.
Угрозы по месту
· Внутренние. Связаны с уязвимостями, заложенными в самой системе или компонентах, то есть без участия человека. Пример: уязвимость в ПО или аппаратуре, которую могут использовать злоумышленники.
· В пределах видимости. Включают перехватывающую и прослушивающую аппаратуру, кражу данных с физических носителей (флешек, жестких дисков и т.п.), камер наблюдения и другого оборудования и устройств.
· Внешние. Происходят извне — например, через каналы связи. К таким угрозам относятся атаки хакеров, попытки взлома, фишинг, социальная инженерия и другие методы атак.
Угрозы по видимости
· Активные. Это прежде всего внесение изменений в систему. Это может быть внедрение вредоносного ПО, изменение конфигурации системы или повреждение данных.
· Пассивные. Зачастую даже более опасные, поскольку они незаметны, то есть происходят без внесения видимых изменений в информационные журналы (логи). Примеры таких угроз информационной безопасности: считывание конфиденциальных данных или тихий мониторинг трафика.
Угрозы по доступу
· Несанкционированный доступ. Попытка получения доступа без разрешения или авторизации. Например, когда сотрудник компании пытается получить нежелательный доступ к конфиденциальным данным, используя чужие учетные данные. В этом случае можно обнаружить подозрительную активность — несколько неудачных попыток ввода пароля — и заблокировать доступ.
· Утечка или повреждение данных. Происходит в результате ошибочных или неправомерных действий сотрудника с доступом. В таком случае сотрудник компании преднамеренно или непреднамеренно нарушает правила ИБ и вызывает утечку или повреждение данных либо всей системы. Пример такой угрозы — когда сотрудник компании случайно удаляет важные файлы или программу, что приводит к потере данных и нарушению работы системы.
Угрозы по цели
· Угрозы данным. Попытки несанкционированного доступа с целью кражи данных или их изменения, порчи, удаления.
· Угрозы программной среде. Атаки на программное обеспечение, попытки внедрения вредоносного ПО или изменения программных компонентов.
· Угрозы аппаратному обеспечению. Физическое повреждение оборудования, кража или неправомерный доступ к аппаратным компонентам.
· Угрозы поддерживающей инфраструктуре. Атаки на сетевую инфраструктуру, серверы и базы данных.
Угрозы по объективности
Классификация угроз информационной безопасности по уровню объективности включает объективные, субъективные и случайные угрозы.
К объективным относятся:
· технические средства излучения, например, электромагнитные, звуковые, электрические;
· активируемые угрозы — вредоносное ПО и бэкдоры, программные «закладки» и закладки аппаратуры;
· особенности объекта — его расположение, наличие контролируемой зоны, каналов обмена информацией;
· особенности носителей, например, электроакустические модификации, детали под воздействием электромагнитных полей и т.д.
Субъективные угрозы включают:
· ошибки при установке ПО и в процессе эксплуатации;
· повреждение данных или ненадлежащая работа с ними — неправильная работа с личными данными, нарушения режима защищенности, преобразование или уничтожение данных.
К случайным угрозам относят:
· сбои и отказы в работе корпоративной инфраструктуры;
· неисправность, повреждения сетевых коммуникаций или систем киберзащиты.
Обзор основных угроз и рекомендация для защиты от угроз
Фишинговые атаки:
Фишинговые атаки — это атаки с применением социального инжиниринга. Цели для атаки могут быть самые разные, в зависимости от намерений злоумышленника.
Типы фишинг атак:
1. Направленный фишинг:
При ловле на удочку можно подцепить на крючок много всякого: крупную камбалу, какую-нибудь мелкую рыбешку или просто мусор. При рыбалке с гарпуном вы направляете его на конкретную рыбу. Отсюда и название.
2. Уэйлинг:
Уэйлинг (от whaling, «китобойный промысел») — вид фишинга, направленный на «китов» — руководителей высшего звена. Уэйлинговым атакам обычно подвергаются генеральные директора, финансовые директора и другие руководители подобного ранга, независимо от того, в какой отрасли и в какой организации они работают. Уэйлинговое письмо может извещать, что у компании появились юридические проблемы и для получения дополнительной информации необходимо нажать на ссылку.Ссылка ведет на страницу, где вас попросят ввести важные данные о компании, например, ИНН и номера банковских счетов.
3. Смишинг:
Смишинг (smishing — SMS + phishing) — это фишинговая атака с использованием СМС, а также фишинг в мессенджерах. Распространенная техника смишинга: прислать СМС, в котором содержится ссылка или номер, по которому надо перезвонить.
Часто СМС-сообщение выглядит так, будто его прислали из вашего банка. В нем говорится, что ваш аккаунт скомпрометирован, и нужно немедленно принять ответные меры. При этом вас просят подтвердить номер банковского счета и другие детали. Как только злоумышленник получит эту информацию, он сможет контролировать ваш банковский счет.
4. Вишинг:
Вишинг преследует те же цели, что и любой другой тип фишинга. Злоумышленники охотятся за чувствительной личной или корпоративной информацией. Для этого типа атак используются разговоры по телефону. Вишинг (voice phishing) — это голосовой фишинг.
Часто вишинговая атака начинается с того, что вам звонит по телефону, к примеру, якобы сотрудник Microsoft. Он сообщает, что на вашем компьютере обнаружен вирус. Вас просят предоставить информацию по кредитной карте, чтобы установить на ваш компьютер обновленный антивирус. Таким образом, злоумышленник не только получает данные кредитной карты, но и, скорее всего, установит на ваш компьютер вредоносное ПО.
Это ПО может быть каким угодно — от банковского трояна до бота. Банковский троян будет отслеживать онлайн-активность жертвы, чтобы украсть дополнительные данные, чаще всего информацию о банковском аккаунте, включая пароль.
Бот — это программа, разработанная для выполнения тех действий, которые требуются хакеру. Ботнет под управлением командных центров C&C применяется для майнинга биткоинов, рассылки спама или DDoS-атак.
5. Фишинг с использованием электронной почты:
Фишинг с использованием электронной почты — самый распространенный вид фишинга, который используется с 1990-х годов. Злоумышленники массово рассылают фишинговые письма по всем адресам, которые могут получить. В электронном письме обычно сообщается, что ваша учетная запись была взломана и что вам необходимо немедленно ответить, нажав на предоставленную ссылку. Эти атаки обычно легко обнаружить, поскольку в тексте электронного письма часто содержатся орфографические и грамматические ошибки.
Но когда письмо написано грамотно, становится сложнее распознать фишинговую атаку. Проверяйте, нет ли чего-то подозрительного в адресе отправителя и ссылках, по которым вас направляют. Это может дать подсказку, пришло ли письмо из легитимного источника.
6. Фишинг в поисковых системах:
Фишинг в поисковых системах, также известный как «заражение SEO» (SEO poisoning) или SEO Trojans, заключается в том, что злоумышленники добиваются подъема подконтрольных им сайтов в топ поисковых систем. Нажав на ссылку в поисковике, жертва попадает на сайт злоумышленников. Там преступники крадут информацию при регистрации аккаунта или при вводе чувствительных данных. Злоумышленники могут выдавать свои веб-сайты за любой тип сайта, но в основном имитируют сайты для денежных переводов, сайты банков, социальных сетей и онлайн-магазинов.
Статистика и тенденции 2023–2024 годов
По данным Positive Technologies, большинство фишинговых атак (58%) направлено на получение финансовой информации и документов, связанных с договорными отношениями. В 2023 году отмечается рост фишинга, особенно среди банковских и медицинских организаций, где цель — получение доступов к критически важной информации. Также увеличилось использование фишинга через мессенджеры и SMS.
Методы защиты:
- внедрять в организациях обучение основам ИБ для сотрудников;
- проводить фишинговых симуляций;
- использовать репутационные механизмы на основе средств защиты классов SWG (secure web gateway), NGFW (next‑generation firewall), SASE (secure access service edge), решений класса EDR (endpoint detection and response);
- использовать песочницы для почтового трафика и защиты от фишинга, встроенных в популярные браузеры или реализуемых при помощи дополнительных плагинов к ним;
- не пренебрегать классическими принципами цифровой гигиены на персональных компьютерах и мобильных устройствах (например, регулярно выполнять обновление, выдавать приложениям минимальный набор привилегий).
Внутренние угрозы и инсайдерские атаки:
Инсайдерская угроза — риск причинения ущерба организации людьми, которые находятся внутри контура безопасности. К таким людям — их называют инсайдерами — могут относиться как бывшие или действующие сотрудники самой компании, так и специалисты подрядчиков или партнеры, то есть все, кто имеет доступ к конфиденциальной информации и критической инфраструктуре компании.
Какой вред организации может нанести инсайдер:
- Украсть конфиденциальную информацию и передать ее конкурентам.
- Обнародовать персональные данные, подпадающие под действие государственных регламентов.
- Уничтожить информацию, критически важную для работы компании.
- Установить и запустить вредоносные программы.
- Отключить или вывести из строя ИБ-системы для упрощения внешней атаки.
Типы инсайдерских угроз:
· Злонамеренные инсайдеры Это сотрудники или партнёры, которые умышленно используют свой доступ для кражи, уничтожения или продажи конфиденциальных данных. Примеры включают:
· Утечка корпоративной информации конкурентам.
· Продажа данных клиентов или финансовой информации в даркнете.
· Неосторожные действия сотрудников Сотрудники могут непреднамеренно нарушить безопасность, например:
· Загружая вредоносные файлы.
· Используя личные устройства для работы, что увеличивает риск утечки данных.
· Передавая данные по незащищённым каналам связи.
· Инсайдеры с личными мотивами Например, уволенные сотрудники, которые мстят компании, повреждая системы или утрачивая данные. Такие угрозы особенно опасны, так как могут привести к репутационным потерям и операционным сбоям.
Статистика и актуальные тенденции
В 2024 году отмечено увеличение инсайдерских угроз на 47% за последние два года. Средние финансовые потери на инцидент составляют около 15,38 млн долларов, что указывает на серьёзные риски для компаний. Большую роль играют стресс сотрудников и их выгорание, которые способствуют неосторожным действиям и ошибкам, приводящим к утечкам данных.
Методы защиты от инсайдерских атак:
- Внедрите контроль доступа. В частности, управление доступом на основе ролей (RBAC) может помочь ограничить доступ к конфиденциальным данным и системам, за исключением тех сотрудников, которым он нужен для выполнения служебных обязанностей. Таким образом, компания может значительно уменьшить влияние инсайдерских угроз. Также важно регулярно пересматривать эти права, чтобы уровни доступа оставались актуальными и отвечали обязанностям сотрудников.
- Отслеживайте деятельность персонала: внедрение XDR-инструмента для расширенного обнаружения и реагирования позволяет быстро и эффективно выявлять аномальное поведение и нарушения, а также дает возможность оценки рисков, оперативного реагирования, расследования и устранения инцидентов.
- Проверьте репутацию сотрудников, подрядчиков и поставщиков перед предоставлением им доступа к конфиденциальным данным. Это может помочь выявить какие-либо потенциальные риски.
- Организуйте обучение по вопросам безопасности. Проведение регулярных тренингов по безопасности для персонала имеет важное значение для улучшения их понимания рисков кибербезопасности и способов их минимизации. Зачастую сотрудники могут ненамеренно перейти по фишинговой ссылке, загрузить вредоносное программное обеспечение или поделиться конфиденциальной информацией компании, что приведет к утечке данных или другим инцидентам. Регулярное обучение может предотвратить подобные инциденты, уменьшив расходы, а также ущерб репутации, связанный с инсайдерскими угрозами.
- Предотвращайте потерю данных: внедрение DLP-системы позволит предотвратить утечку данных с помощью мониторинга, обнаружения и блокировки любого несанкционированного использования или обмена конфиденциальными данными. Одним из таких решений является Safetica, которое обеспечивает комплексную защиту от потерь данных и внутренних угроз, позволяя обнаруживать конфиденциальную информацию, а также проверять все действия с ней. Это поможет своевременно выявлять риски утечки или похищения данных и предотвращать последствия, вызванные инсайдерскими угрозами.
Атаки типа DDoS
Атака типа «отказ в обслуживании» (DoS) – это попытка причинить вред, сделав недоступной целевую систему, например веб-сайт или приложение, для обычных конечных пользователей. Обычно злоумышленники генерируют большое количество пакетов или запросов, которые в конечном счете перегружают работу целевой системы.
Для осуществления атаки типа «распределенный отказ в обслуживании» (DDoS) злоумышленник использует множество взломанных или контролируемых источников.
В общем случае DDoS-атаки можно разделить на типы в зависимости от того, на каком уровне модели взаимодействия открытых систем (OSI) происходит атака. Атаки на сетевом уровне (уровень 3), транспортном уровне (уровень 4), уровне представления (уровень 6) и уровне приложений (уровень 7) наиболее распространены.
Атаки уровня инфраструктуры
К атакам уровня инфраструктуры обычно относят атаки на уровнях 3 и 4. Это наиболее распространенный тип DDoS-атак, который включает в себя такие векторы, как SYN-флуд, и другие атаки отражения, такие как UDP-флуд. Подобные атаки обычно массовые и направлены на то, чтобы перегрузить пропускную способность сети либо серверы приложений. Тем не менее, такой тип атак имеет определенные признаки, поэтому их легче обнаружить.
Атаки уровня приложения
К атакам уровня приложений обычно относят атаки на уровнях 6 и 7. Эти атаки менее распространены, но в то же время являются более сложными. Как правило, они не столь массовые, как атаки уровня инфраструктуры, но нацелены на определенные дорогостоящие части приложения и приводят к тому, что оно становится недоступным для реальных пользователей. В качестве примера можно привести поток HTTP-запросов на страницу входа в систему, дорогой API поиска или даже потоки XML-RPC Wordpress (также известные как атаки Wordpress Pingback).
Уменьшение зон, доступных для атаки
Одним из первых методов нейтрализации DDoS-атак является сведение к минимуму размера зоны, которую можно атаковать. Подобный прием ограничивает возможности злоумышленников для атаки и обеспечивает возможность создания централизованной защиты. Необходимо убедиться, что доступ к приложению или ресурсам не был открыт для портов, протоколов или приложений, взаимодействие с которыми не предусмотрено. Таким образом, сведение к минимуму количества возможных точек для атаки позволяет сосредоточить усилия на их нейтрализации. В некоторых случаях этого можно добиться, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик к определенным частям своей инфраструктуры, таким как серверы баз данных. Также можно использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик поступает в приложения.
План масштабирования
Двумя основными элементами нейтрализации крупномасштабных DDoS-атак являются пропускная способность (или транзитный потенциал) и производительность сервера, достаточная для поглощения и нейтрализации атак.
Транзитный потенциал. При проектировании приложений необходимо убедиться, что поставщик услуг хостинга предоставляет избыточную пропускную способность подключения к Интернету, которая позволяет обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак – повлиять на доступность ресурсов или приложений, необходимо размещать их рядом не только с конечными пользователями, но и с крупными узлами межсетевого обмена трафиком, которые легко обеспечат вашим пользователям доступ к приложению даже при большом объеме трафика. Работа с интернет-приложениями обеспечивает еще более широкие возможности. В этом случае можно воспользоваться сетями распространения контента (CDN) и сервисами интеллектуального преобразования адресов DNS, которые создают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые зачастую расположены ближе к конечным пользователям.
Производительность сервера. Большинство DDoS-атак являются объемными и потребляют много ресурсов, поэтому важно иметь возможность быстро увеличивать или уменьшать объем своих вычислительных ресурсов. Это можно обеспечить, используя избыточный объем вычислительных ресурсов или ресурсы со специальными возможностями, такими как более производительные сетевые интерфейсы или улучшенная сетевая конфигурация, что позволяет поддерживать обработку больших объемов трафика. Кроме того, для постоянного контроля и распределения нагрузок между ресурсами и предотвращения перегрузки какого-либо одного ресурса часто используются соответствующие балансировщики.
Сведения о типичном и нетипичном трафике
Каждый раз, когда обнаруживается повышение объема трафика, попадающего на хост, в качестве ориентира можно брать максимально возможный объем трафика, который хост может обработать без ухудшения его доступности. Такая концепция называется ограничением скорости. Более продвинутые методы защиты соответственно обладают дополнительными возможностями и могут интеллектуально принимать только трафик, который разрешен, анализируя отдельные пакеты. Для использования подобных средств необходимо определить характеристики хорошего трафика, который обычно получает целевой объект, и иметь возможность сравнивать каждый пакет с этим эталоном.
Развертывание брандмауэров для отражения сложных атак уровня приложений
Против атак, которые пытаются использовать уязвимость в приложении, например против попыток внедрения SQL-кода или подделки межсайтовых запросов, рекомендуется использовать Web Application Firewall (WAF). Кроме того, из-за уникальности этих атак вы должны быть способны самостоятельно нейтрализовать запрещенные запросы, которые могут иметь определенные характеристики, например могут определяться как отличные от хорошего трафика или исходить из подозрительных IP-адресов, из неожиданных географических регионов и т. д. Чтобы нейтрализовать происходящие атаки, иногда может быть полезно получить поддержку специалистов для изучения характеристик трафика и создания индивидуальной защиты.
Статистика DDoS-атак:
По данным различных исследований, количество DDoS-атак продолжает расти. В 2023 году количество таких атак увеличилось на 28% по сравнению с предыдущим годом. В среднем, каждая DDoS-атака стоит компании до 1,5 миллионов долларов, учитывая простои и восстановление после инцидента
Недостатки традиционных методов аутентификации
Традиционные пароли имеют ряд существенных недостатков с точки зрения безопасности и удобства использования.
· Многие пользователи склонны применять один и тот же пароль для разных учетных записей, что делает их уязвимыми - утечка пароля на одном ресурсе ставит под угрозу безопасность данных на многих других.
· Люди часто выбирают слишком простые и предсказуемые пароли, которые легко подобрать.
· Необходимость запоминать множество разных паролей создает неудобства и приводит к тому, что пользователи записывают их, что тоже небезопасно.
· Наконец, традиционные пароли уязвимы к методам социальной инженерии, когда злоумышленники обманом выманивают их у пользователей.
Основные недостатки
· Уязвимость к атакам Пароли легко подвержены атакам методом перебора (brute force) или фишингу. Даже сложные пароли могут быть скомпрометированы при утечках данных, а их использование на разных платформах увеличивает риск взлома.
· Низкий уровень удобства Требование запоминать множество сложных паролей приводит к ошибкам и раздражению пользователей, что побуждает их к упрощению паролей или повторному использованию одного и того же на разных сайтах. Это упрощает доступ для злоумышленников, если хотя бы один из сервисов взломан.
· Отсутствие защиты от социальной инженерии Пользователи могут быть обмануты через фишинг или другие методы социальной инженерии, и тогда даже самый сложный пароль становится бесполезным. Пароли не могут гарантировать защиту в случае компрометации самого пользователя.
· Устаревшие механизмы передачи SMS-пароли и коды подтверждения уязвимы к перехвату, если устройство пользователя заражено или подключено к небезопасной сети. Это делает такой метод ненадежным для двухфакторной аутентификации (2FA) в современных условиях.
· Увеличение нагрузки на ИТ-службы Частые запросы на восстановление паролей и блокировки из-за неправильного ввода создают дополнительную нагрузку на техподдержку.
Альтернативы и новые технологии
Усиленная парольная политика устанавливает строгие требования к паролям. Пользователи обязаны создавать пароли, включающие минимальную длину (8-12 символов), использование букв разных регистров, цифр и специальных символов. Политика запрещает использование легко угадываемой информации, такой как словарные слова, имена и даты рождения. Регулярная смена паролей, например, раз в 30-90 дней, минимизирует ущерб от возможной компрометации. Некоторые системы также проверяют пароли по базам скомпрометированных паролей и словарям, защищая от перебора.
Надёжность усиленных паролей
Усиленная парольная политика имеет ряд преимуществ для защиты учетных записей и данных пользователей.
· Политика вынуждает пользователей создавать более сложные и уникальные пароли, устойчивые к попыткам подбора и взлома. Требования к минимальной длине, использованию букв разного регистра, цифр и специальных символов значительно увеличивают пространство возможных комбинаций, усложняя задачу злоумышленникам.
· Запрет на использование словарных слов, личной информации и других предсказуемых элементов снижает риск успешной атаки методом социальной инженерии или угадывания пароля.
· Регулярная смена паролей также является преимуществом, так как минимизирует ущерб от возможной утечки или компрометации пароля - даже если злоумышленник сумеет получить действующий пароль, через определенное время он станет недействительным.
Усиленная парольная политика проста в реализации и не требует дополнительного оборудования или устройств в отличие от аппаратных токенов или приложений-аутентификаторов для двухфакторной аутентификации. Она может быть внедрена как штатными средствами вроде Microsoft Default Domain Policy, так и сторонними средствами для усиления парольных политик, например, с помощью Strongpass. Такие решения дают большую гибкость управления и контроля над политиками паролей.
Проблемы усиленных паролей
Применение усиленной парольной политики может столкнуться с рядом сложностей и проблем.
· Недовольство пользователей и сопротивление изменениям. Людям трудно запоминать длинные, сложные пароли, особенно если требуется регулярная смена.
· Усиленная парольная политика может создавать дополнительную нагрузку на ИТ-отдел и службу поддержки из-за увеличения числа обращений пользователей, забывших свои пароли и заблокировавших учетные записи.
· Обеспечение согласованного применения политики в разных системах организации может быть сложной задачей.
· Наконец, даже надежные пароли уязвимы к фишингу, кейлоггерам и другим методам кражи.
Как работает двухфакторная аутентификация
2FA добавляет дополнительный уровень защиты к традиционной системе логина и пароля. При входе в учетную запись пользователь вводит логин и пароль, затем предоставляет второй фактор — одноразовый код, генерируемый приложением-аутентификатором или отправленный в SMS. Этот код действителен лишь в течение короткого промежутка времени, обычно 30-60 секунд. В таком случае даже если злоумышленник узнает пароль, без одноразового кода он не сможет получить доступ к учетной записи. Пример такого решения для 2FA - MultiFactor
Преимущества двухфакторной аутентификации
Двухфакторная аутентификация (2FA) имеет ряд существенных преимуществ для защиты учетных записей.
· 2FA значительно повышает уровень безопасности, требуя два отдельных фактора для подтверждения личности пользователя.
· Эффективно противодействует методам социальной инженерии и фишинга, так как одного пароля недостаточно. Кроме того, в случае утечки пароля двухфакторная аутентификация дает пользователю время среагировать и сменить скомпрометированный пароль до того, как аккаунт будет взломан.
· Наконец, 2FA проста в использовании и не требует от пользователя запоминать дополнительную информацию в отличие от множества сложных паролей.
Недостатки двухфакторной аутентификации
Двухфакторная аутентификация, несмотря на свои преимущества, имеет и некоторые недостатки.
· Необходимость иметь при себе доверенное устройство, обычно смартфон, для получения второго фактора. Если телефон разрядится, сломается или будет утерян, пользователь может лишиться доступа к своим учетным записям.
· 2FA усложняет и замедляет процесс входа, требуя дополнительных действий от пользователя. Это может вызывать неудобства и раздражение.
· Еще один потенциальный недостаток - уязвимость некоторых методов 2FA. Например, SMS-коды могут быть перехвачены, если телефон заражен вредоносным ПО.
2FA или усиленные пароли?
В итоге при выборе между усиленной парольной политикой и 2FA важно учитывать следующие факторы:
· Простота реализации: Усиленная парольная политика проще в реализации и не требует дополнительных устройств. Однако повышенная сложность для пользователей может привести к повышению нагрузки на ИТ-отдел.
· Уровень безопасности: 2FA обеспечивает более высокий уровень безопасности, требуя два отдельных фактора аутентификации. Довольно прост для работы пользователей, но требует наличия доверенного устройства и добавляет дополнительный шаг к процессу входа.
Современные методы защиты
Биометрические технологии:
· Биометрические методы аутентификации. Данное направление в защите информации является одним из самых актуальных в настоящее время. Биометрические методы аутентификации позволяют использовать физические особенности пользователей для проверки подлинности. Среди наиболее популярных биометрических методов аутентификации можно выделить: – сканирование отпечатков пальцев. Данный метод очень распространен и используется в большинстве современных смартфонов, ноутбуков и других устройств; – распознавание лица. Данный метод использует нейронные сети и алгоритмы машинного обучения для идентификации пользователя по его лицу; – распознавание голоса. Данный метод позволяет идентифицировать пользователя по его голосу, используя анализ спектра и частот звука; – сканирование радужки глаза. Данный метод использует уникальные физические особенности глаза для идентификации пользователя. Остановимся подробнее на каждом из способов.
· Сканирование отпечатков пальцев. Преимущества такого подхода включают в себя быстроту и удобство использования, отсутствие необходимости запоминать сложные пароли, а также высокую степень достоверности аутентификации, поскольку отпечатки пальцев уникальны для каждого человека. Однако существуют и некоторые недостатки, которые также нужно учитывать при использовании сканирования отпечатков пальцев. Например, такой метод аутентификации может оказаться недостаточно надежным в том случае, если злоумышленник сможет подделать отпечаток пальца (например, восстановив его с помощью 3D-принтера [1]). Кроме того, использование сканирования отпечатков пальцев может потребовать дополнительных инвестиций в инфраструктуру, поскольку необходимо обеспечить наличие специального оборудования для считывания отпечатков пальцев.
· Распознавание лица. Одним из относительно новых и перспективных методов аутентификации является распознавание лица. Его преимущества заключаются в том, что это быстрая, простая и достаточно точная система проверки личности, которая может быть успешно применена на различных устройствах: от телефонов до сложных систем безопасности. Данный метод использует глубокое обучение и искусственный интеллект для сканирования и сопоставления уникальных черт лица пользователя. Он позволяет надежно определить легитимность доступа к системе, так как нет двух одинаковых лиц, в том числе у близнецов [2]. Недостатками использования распознавания лица в качестве метода аутентификации могут быть: – необходимость использования специальных камер или датчиков для обзора лица; – возможные ложные срабатывания, когда система считает лицо неопознанным из-за недостаточного качества данных или изменения внешности пользователя; – риск взлома распознавательной системы при использовании фальшивых лиц или масок.
· Распознавание голоса. Этот способ является удобным, поскольку не требуется никакого дополнительного оборудования, кроме микрофона. Кроме того, голос, как и отпечаток пальца, уникален у каждого человека, что делает его более защищенным, чем пароль или PIN-код. Однако у распознавания голоса есть и свои недостатки. Проблемы могут возникнуть, когда звуковые условия не идеальны, например, когда пользователь устал или заболел, или когда в фоне есть шум. Более серьезная проблема заключается в том, что запись голоса может быть просто скопирована и повторена злоумышленником, что ставит под угрозу безопасность системы.
· Сканирование радужки глаза. Достоинства данного метода аутентификации заключаются в следующих характеристиках: – высокая точность и надежность: каждый глаз имеет уникальный отпечаток, который не повторяется у других людей, что делает подделку идентификационных данных практически невозможной; – высокий уровень безопасности: в отличие от других методов аутентификации, таких как пароли, карты доступа отпечатки пальцев и тому подобное, сканирование радужки глаза невозможно взломать или скопировать, так как это уникальный биометрический параметр.
Системы управления доступом (IAM):
Системы IAM обычно предоставляют следующие основные функциональные возможности:
- Управление удостоверениями — процесс создания, хранения и управления сведениями об удостоверениях. Поставщики удостоверений (IdP) — это программное обеспечение, которое используется для отслеживания удостоверений пользователей и управления ими, а также разрешений и уровней доступа, связанных с этими удостоверениями.
- Федерация удостоверений. Вы можете разрешить пользователям, у которых уже есть пароли (например, в корпоративной сети или с поставщиком удостоверений Интернета или социального удостоверений), чтобы получить доступ к вашей системе.
- Подготовка и отмена подготовки пользователей — процесс создания учетных записей пользователей и управления ими, включая указание доступа пользователей к каким ресурсам, а также назначение разрешений и уровней доступа.
- Проверка подлинности пользователей — проверка подлинности пользователя, компьютера или компонента программного обеспечения путем подтверждения того, кто или что они говорят. Вы можете добавить многофакторную проверку подлинности (MFA) для отдельных пользователей для дополнительной безопасности или единого входа (SSO), чтобы пользователи могли проходить проверку подлинности с помощью одного портала вместо множества различных ресурсов.
- Авторизация пользователей — авторизация гарантирует, что пользователю предоставляется точный уровень и тип доступа к инструменту, которому они имеют право. Пользователи также могут быть разделены на группы или роли, так что большие когорты пользователей могут быть предоставлены те же привилегии.
- Управление доступом — процесс определения того, кто или что имеет доступ к каким ресурсам. Это включает определение ролей и разрешений пользователей, а также настройку механизмов проверки подлинности и авторизации. Элементы управления доступом регулируют доступ к системам и данным.
- Отчеты и мониторинг . Создание отчетов после действий на платформе (например, во время входа, доступ к системам и тип проверки подлинности) для обеспечения соответствия требованиям и оценки рисков безопасности. Получите аналитические сведения о шаблонах безопасности и использования среды.
Как работает IAM:
- Пользователь (владелец ресурса) инициирует запрос проверки подлинности с помощью поставщика удостоверений или сервера авторизации из клиентского приложения.
- Если учетные данные действительны, сервер удостоверений или сервера авторизации сначала отправляет маркер идентификатора, содержащий сведения о пользователе обратно в клиентское приложение.
- Сервер удостоверений и авторизации также получает согласие конечных пользователей и предоставляет клиентскому приложению авторизацию для доступа к защищенному ресурсу. Авторизация предоставляется в маркере доступа, который также отправляется в клиентское приложение.
- Маркер доступа присоединен к последующим запросам, сделанным на защищенный сервер ресурсов из клиентского приложения.
- Сервер удостоверений или авторизации проверяет маркер доступа. При успешном выполнении запроса на защищенные ресурсы предоставляется, а ответ отправляется в клиентское приложение.
Шифрование данных:
Шифрование — это метод защиты данных, при котором информация преобразуется в зашифрованный текст, доступный только тем, у кого есть соответствующий ключ. Этот процесс используется для обеспечения конфиденциальности, целостности и безопасности данных как при хранении, так и при передаче.
Основные типы шифрования
· Симметричное шифрование
1. Используется один и тот же ключ для шифрования и дешифровки данных.
2. Пример: AES (Advanced Encryption Standard), который является основным стандартом для защиты данных в современных системах благодаря скорости и высокой безопасности.
3. Недостаток: если ключ будет перехвачен, злоумышленник получит полный доступ к данным.
· Асимметричное шифрование
1. Использует пару ключей: публичный для шифрования и приватный для расшифровки.
2. Пример: RSA, который широко используется для передачи данных в Интернете, например, в SSL/TLS протоколах.
3. Преимущество: даже при перехвате публичного ключа злоумышленник не сможет расшифровать данные без приватного ключа.
· Гибридное шифрование
1. Комбинирует симметричные и асимметричные методы. Например, асимметричное шифрование используется для передачи симметричного ключа, который затем применяется для основной передачи данных. Это обеспечивает баланс между безопасностью и производительностью.
Системы обнаружения и предотвращения вторжений (IDS/IPS):
Что такое IPS/IDS:
IDS расшифровывается как Intrusion Detection System — система обнаружения вторжений. IPS, или Intrusion Prevention System, — система предотвращения вторжений. По сравнению с традиционными средствами защиты — антивирусами, спам-фильтрами, файерволами — IDS/IPS обеспечивают гораздо более высокий уровень защиты сети.
Антивирус анализирует файлы, спам-фильтр анализирует письма, файервол — соединения по IP. IDS/IPS анализируют данные и сетевое поведение. Продолжая аналогию с хранителями правопорядка, файервол, почтовые фильтры и антивирус — это рядовые сотрудники, работающие «в поле», а системы обнаружения и предотвращения вторжений — это старшие по рангу офицеры, которые работают в отделении. Рассмотрим эти системы подробнее.
Виды IDS по месту установки
Два самых распространенных вида IDS по месту установки:
· Network Intrusion Detection System (NIDS);
· Host-based Intrusion Detection System (HIDS).
Первая работает на уровне сети, а вторая — только на уровне отдельно взятого хоста.
Сетевые системы обнаружения вторжения (NIDS)
Технология NIDS дает возможность установить систему в стратегически важных местах сети и анализировать входящий/исходящий трафик всех устройств сети. NIDS анализируют трафик на глубоком уровне, «заглядывая» в каждый пакет с канального уровня до уровня приложений.
NIDS отличается от межсетевого экрана, или файервола. Файервол фиксирует только атаки, поступающие снаружи сети, в то время как NIDS способна обнаружить и внутреннюю угрозу.
Сетевые системы обнаружения вторжений контролируют всю сеть, что позволяет не тратиться на дополнительные решения. Но есть недостаток: NIDS отслеживают весь сетевой трафик, потребляя большое количество ресурсов. Чем больше объем трафика, тем выше потребность в ресурсах CPU и RAM. Это приводит к заметным задержкам обмена данными и снижению скорости работы сети. Большой объем информации также может «ошеломить» NIDS, вынудив систему пропускать некоторые пакеты, что делает сеть уязвимой.
Хостовая система обнаружения вторжений (HIDS)
Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри сети и защищают только его. HIDS также анализируют все входящие и исходящие пакеты, но только для одного устройства. Система HIDS работает по принципу создания снапшотов файлов: делает снимок текущей версии и сравнивает его с предыдущей, тем самым выявляя возможные угрозы. HIDS лучше устанавливать на критически важные машины в сети, которые редко меняют конфигурацию.
Другие разновидности IDS по месту установки
Кроме NIDS и HIDS, доступны также PIDS (Perimeter Intrusion Detection Systems), которые охраняют не всю сеть, а только границы и сигнализируют об их нарушении. Как забор с сигнализацией или «стена Трампа».
Еще одна разновидность — VMIDS (Virtual Machine-based Intrusion Detection Systems). Это разновидность систем обнаружения угрозы на основе технологий виртуализации. Такая IDS позволяет обойтись без развертывания системы обнаружения на отдельном устройстве. Достаточно развернуть защиту на виртуальной машине, которая будет отслеживать любую подозрительную активность.
Open Source проекты и некоторые вендоры на рынке IDS
Классическая NIDS — Snort. Это система с открытым кодом, созданная еще в 1998 году. Система Snort разрабатывалась как независимое ПО, а в 2008 году ее приобрела компания Cisco, которая теперь является партнером и разработчиком. Snort лучше подходит маленьким и средним компаниям. Утилита включает в себя сниффер пакетов, поддерживает настройку правил и многое другое. Snort — инструмент для тех, кто ищет понятную и функциональную систему предотвращения вторжений.
Конкурент Snort на рынке среднего бизнеса — система с открытым исходным кодом Suricata, впервые представлена в 2010 году. Suricata — довольно молодая система, и это ее преимущество. В Suricata нет большого количества legacy-кода,также система использует более новые разработки, чем у конкурентов. Благодаря этому Suricata работает быстрее. Кроме того, разработчики позаботились о совместимости со стандартными утилитами анализа результатов. Это значит, что Suricata поддерживает те же модули, что и Snort. Она способна выявлять угрозы по сигнатурам и подходит для средних и больших компаний.
Если вы — большая компания, располагающая значительным бюджетом, можете рассмотреть McAfee Network Security Platform со стартовой ценой около $10 000. IDS блокирует огромное количество угроз, доступ к вредоносным сайтам, предотвращает DDoS-атаки и т.д. В силу монументальности McAfee Network Security Platform может замедлять работу сети, поэтому тут требуется решить, что более значимо — интеграция с другими сервисами или максимальная безопасность.
Полностью бесплатная IDS с открытым исходным кодом. Поддерживает работу как в стандартном режиме обнаружения вторжений, так и в режиме обнаружения вредоносных сигнатур. Zeek может также обнаруживать события и позволяет задавать собственные скрипты политик. Недостаток Zeek — сложность общения с инструментом, так как разработка ведется с упором на функциональность, а не графический интерфейс.
Песочницы для анализа вредоносного ПО
Песочницы — эффективное средство проверки ПО на потенциальную вредоностность в изолированной среде, защищающее от целевых и массовых атак на внутренний периметр компании.
Локальные песочницы
Локальные песочницы входят в состав многих антивирусов. Они реализуют изоляцию на базе частичной виртуализации файловой системы и реестра. Вместо того, чтобы создавать для каждого проверяемого процесса отдельную виртуальную машину, локальная песочница создаёт для них дубликаты объектов файловой системы и реестра. Получается безопасная среда-песочница на компьютере пользователя. Если процесс изменит файлы или запишет что-то в реестр, изменятся лишь копии внутри песочницы, а реальные объекты не будут затронуты. Изоляция от основной системы обеспечивается с помощью контроля прав.
Достоинством такого подхода является относительная простота реализации и невысокие затраты системных ресурсов. А в качестве недостатков можно отметить необходимость постоянной очистки контейнеров виртуализации для запуска каждого проверяемого файла. Помимо этого, встречаются обходы такой реализации песочницы, которые позволяют вредоносному коду «сбежать» в основную систему и разгуляться по полной.
Более защищённый вариант локальной песочницы предполагает создание отдельной виртуальной машины, копирующей рабочее окружение. Но затраты ресурсов на такой вариант оказываются неприемлемо высокими, поэтому вместо него используются сетевые песочницы, которые располагаются на выделенном сервере внутри сети компании (on-premise) или в облаке производителя антивирусного решения.
Сетевые песочницы — облачные и on-premise
Сетевые песочницы имеют меньше ограничений, чем локальные — они не снижают производительность компьютера пользователя и позволяют проверять потенциальные угрозы на различных операционных системах. Даже успешный побег из такой песочницы не станет проблемой, поскольку она полностью изолирована от рабочего компьютера пользователя. При необходимости такие песочницы могут эмулировать подключение к интернету и работу со съёмными носителями.
При работе с сетевыми песочницами на компьютерах пользователей устанавливается агент — служба, которая отправляет попавшие под подозрения файлы в сетевую песочницу. Передача файлов на анализ в облако занимает больше времени, чем при взаимодействии с on-premise-сервером в сети компании. В совокупности с длительностью анализа время ожидания результата может составить несколько минут, на протяжении которых запуск приложения будет «поставлен на паузу» до получения разрешения от песочницы. В связи с этим разработчики песочниц указывают максимальное время ожидания в SLA.
Вредоносное ПО, ориентированное на конкретную компанию, как правило, проверяет окружение, в котором запущено. И даже если оно не содержит проверку на запуск в песочнице, несоответствие окружения может привести к тому, что полезная нагрузка во время анализа не сработает, и файл будет считаться безобидным. Чтобы избежать такой ситуации, нужно, чтобы рабочая среда, которую эмулирует песочница, максимально точно соответствовала рабочим станциям реальных пользователей.
В случае с облачными песочницам добиться такого соответствия сложнее, в то время как загрузка образа рабочей станции на on-premise сервер не составляет сложности. Главное, чтобы выбранный вариант сервера-песочницы поддерживал работу с кастомными образами.
Другими словами, чтобы максимально приблизить конфигурацию виртуальных машин внутри песочницы к продакшн-среде, нужно иметь возможность тонко настраивать их содержимое: изменять настройки ОС, редактировать перечень установленных языков, драйверов периферийных устройств, устанавливать дополнительный, либо нестандартный софт и даже управлять содержимым рабочего стола, поскольку всё это и многое другое может расцениваться киберзлоумышленниками как условие для запуска либо незапуска вредоносных инструкций.
Использование же стандартизированных образов для разворачивания виртуальных машин внутри песочниц легко отслеживается и позволяет применить механизмы обхода детектирования в песочницах.
Песочницы Trend Micro поддерживают возможность загрузки кастомизированных образов ВМ, что на практике неоднократно показывало более высокую эффективность при обнаружении вредоносного ПО в сравнении с песочницами производителей, использующих стандартизированные образы ВМ для анализа.
Исходя из соображений необходимости обеспечения максимальной эффективности на сегодняшний день предпочтение следует отдать on-premise-варианту. Известные нам реализации облачных песочниц на сегодняшний день ни у одного из производителей не поддерживают в качестве среды тестирования кастомизированные образы виртуальных машин, точно отражающих инфраструктуру конкретного заказчика.
Облачные же песочницы могут рассматриваться в качестве более доступной по стоимости альтернативы, либо если инфраструктура компании территориально распределена. В этом случае затраты на обеспечение необходимой сетевой маршрутизации могут превысить выгоду от разницы между облачной и on-premise песочницей.
Функциональные возможности песочницы
- В основе песочницы лежит аппаратная виртуализация, обеспечивающая скорость и стабильность работы.
- Доступны виртуальные машины для следующих платформ:
- ОС Windows (все версии для персональных компьютеров, начиная с Windows XP; все серверные версии, начиная с Windows Server 2003);
- ОС Android (x86, архитектура процессора ARM).
- Песочница отслеживает взаимодействие исследуемого процесса с операционной системой. В подозрительных случаях производится углубленный анализ.
- Песочница обеспечивает выявление эксплойтов, начиная с ранних этапов выполнения. Она обнаруживает типичное поведение эксплойтов, например использование цепочки возвратно-ориентированного программирования (ROP), heap spraying, подмену стека, изменение токенов безопасности и защиты памяти и др. Песочница позволяет выявлять даже продвинутые эксплойты, используемые в целевых атаках.
Типы объектов, которые могут исполняться в песочнице:
- Windows: любые файлы, например *.exe, *.dll, объекты .NET, файлы MS Office, PDF-файлы.
- Android: APK (DEX).
- URL-адреса: песочница переходит по URL-адресу и выявляет загрузки, события JavaScript, исполнение Adobe Flash и др.
Рабочий процесс обнаружения вредоносных программ
- Песочница получает от другой системы безопасности запрос на проверку объекта (файла или URL-адреса) со следующими инструкциями: операционная система и конфигурация для запуска объекта, параметры выполнения объекта, другие сторонние приложения, установленные в виртуальной машине, ограничение времени проверки и др.
- Выполняется запуск проверяемого объекта.
- Песочница собирает артефакты в течение заданного интервала времени. Если объект взаимодействует с другими процессами или URL-адресами с известной репутацией, песочница собирает соответствующие данные.
- Песочница анализирует артефакты и предоставляет запрашивающей системе заключение по объекту: вредоносный или нет. Песочница добавляет к заключению данные по объекту (идентификатор, функции, журналы, сведения о поведении), которые помогают при дальнейшем анализе без отправки нового запроса в песочницу.
Артефакты, собираемые песочницей:
- Журналы выполнения приложений (вызовы функций API с параметрами, события выполнения)
- Дампы памяти
- Дампы загруженных модулей
- Изменения файловой системы, реестра
- Сетевой трафик (файлы PCAP)
- Снимки экрана (для упрощения аудита и анализа вручную, если требуется)
- Артефакты активности эксплойтов
Предотвращение уклонения от анализа
Современные вредоносные программы, как правило, пытаются обнаружить песочницу и избежать анализа в ней. Обнаружив выполнение в песочнице, такие программы отказываются от выполнения любых вредоносных действий, удаляют себя с дисков, полностью прекращают работу или используют другие техники.
Блокчейн для безопасности транзакций
Блокчейн — это распределённая база данных, в которой все транзакции фиксируются в виде цепочки блоков. Технология используется в финансовой сфере для повышения прозрачности и безопасности.
Основные преимущества блокчейна для безопасности
- Децентрализация: Данные хранятся на множестве узлов, что исключает единый точку отказа и снижает риск хакерских атак на центральные серверы.
- Неизменяемость записей: После добавления данных в блокчейн их невозможно изменить без одобрения участников сети. Это предотвращает фальсификацию транзакций.
- Прозрачность: Все операции доступны для проверки участниками сети, что упрощает аудит и снижает вероятность мошенничества.
- Смарт-контракты: Эти автоматизированные программы на базе блокчейна выполняют условия сделки без посредников, что ускоряет процессы и снижает издержки.
Использование блокчейна в банковском секторе
- Международные переводы: Блокчейн упрощает трансграничные платежи, снижает комиссии и ускоряет обработку транзакций, устраняя необходимость в посредниках.
- Защита данных клиентов: Технология предотвращает несанкционированный доступ и снижает вероятность утечек данных.
- Торговые операции: Внедрение смарт-контрактов автоматизирует выполнение сделок, упрощает кредитование и страхование.
Искусственный интеллект (ИИ) и машинное обучение в кибербезопасности
ИИ и машинное обучение (ML) активно используются для повышения эффективности информационной безопасности, особенно в условиях растущих кибератак и сложности управления сетями. Эти технологии позволяют обнаруживать угрозы в режиме реального времени, анализировать большие объёмы данных и автоматизировать процессы реагирования
Применение ИИ и ML в кибербезопасности
· Обнаружение аномалий и мошенничества ИИ отслеживает поведение пользователей и сетевой трафик. При обнаружении отклонений от нормы система помечает их как подозрительные. Например, алгоритмы могут заметить попытки несанкционированного доступа или странные транзакции, блокируя их до завершения. Это используется в банковских системах для предотвращения мошенничества и защиты клиентских данных.
· Автоматизация мониторинга и устранения угроз ML-алгоритмы позволяют анализировать миллионы логов и событий, сокращая ложные срабатывания и повышая точность обнаружения угроз. Системы, такие как SIEM (Security Information and Event Management), интегрируют ИИ для быстрой обработки инцидентов, а также автоматизации мер реагирования.
· Прогнозирование и превентивная безопасность Используя данные о прошлых атаках, алгоритмы ML способны предсказывать будущие угрозы и уязвимости, что помогает компаниям подготовиться заранее. Например, такие модели могут анализировать текущие уязвимости в ПО и рекомендовать обновления или улучшения конфигураций безопасности.
· Облачная безопасность С переходом многих компаний в облачные среды ИИ помогает обеспечить защиту данных и приложений, анализируя трафик между локальными и удалёнными серверами, предотвращая несанкционированный доступ и утечки данных.
Преимущества и вызовы использования ИИ
- Преимущества: повышение эффективности мониторинга, сокращение нагрузки на ИТ-персонал, возможность реагировать на угрозы в реальном времени.
- Проблемы: сложность настройки и обучения алгоритмов, риск ошибок при внедрении и возможность использования ИИ самими злоумышленниками для атак.
Заключение
Банки должны следить за технологическими новшествами и быстро реагировать на угрозы. В банковском секторе требуется комплексный подход, который включает в себя использование современных технологий и обучение сотрудников. Это единственный способ сохранить доверие клиентов и защитить активы.
Литература