Выйти за периметр
Как меняются подходы к защите от киберугроз в финансовом сектореЗа первое полугодие 2025 г. хакеры совершили более 25 000 попыток атак на облачные и гибридные инфраструктуры. Аналитики отмечают качественный сдвиг в тактиках киберпреступников: вместо сложных методов обхода систем защиты злоумышленники все чаще используют легитимные учетные данные. В компаниях подтверждают: за последние три года атаки стали «умнее» и изощреннее, поэтому традиционная периметральная система цифровой защиты больше не подходит. Чтобы успешно противостоять киберпреступникам, финтех переходит от классической «обороны периметра» к новой архитектуре безопасности.
Банки как цель
Согласно данным Агентства Европейского союза по кибербезопасности (ENISA), финансовые организации в прошлом году были третьей излюбленной мишенью атак киберпреступников – после общественных организаций и транспорта.
Растет также риск экстремальных убытков – таких, которые могут потенциально вызвать проблемы с финансированием компаний и даже поставить под угрозу их платежеспособность. Размер экстремальных убытков с 2017 г. увеличился более чем в 4 раза и достиг $2,5 млрд, отмечает МВФ, а косвенные потери, такие как ущерб репутации или расходы на усиление безопасности, значительно выше.
Интерес хакеров к российскому финтеху также растет. Всего за первое полугодие 2025 г. было зафиксировано 25 000 попыток атак на облачные и гибридные инфраструктуры, подсчитали в Yandex B2B Tech. Чаще всего злоумышленники пытались атаковать компании сектора разработки ПО и различных SaaS-сервисов, но не они главная цель: эти организации интересуют хакеров как плацдарм для дальнейшей атаки на их клиентов через цепочку поставок, пишут эксперты компании. На 2-м месте – электронная коммерция и ритейл (22%). Этот сектор атакуют из-за обилия персональных данных пользователей, в том числе в программах лояльности и платежной информации. 3-е место (по 15%) разделили консалтинговые компании, научно-исследовательские институты и финансовые организации.
Атака на цепочки поставок – в фокусе
Эксперты фиксируют не только рост числа атак, но и изменение их уровня. Например, недавно Т-банк зафиксировал вредоносное вложение со встроенным искусственным интеллектом – большой языковой моделью. «Попав в инфраструктуру, он уже начинал помогать атакующему: адаптировался, расширял возможности, действовал почти как соавтор атаки», – поясняет вице-президент, руководитель департамента информационной безопасности Т-банка Дмитрий Гадарь.
«С 2022 г. мы наблюдаем, что атаки становятся «умнее». Если раньше это были массовые, довольно примитивные истории, за которыми стояли люди с базовыми знаниями, то теперь инструментарию злоумышленников можно только удивляться»
Киберпреступникам все сложнее реализовывать атаки на крупные организации с выстроенной надежной защитой и поэтому они «переносят фокус внимания на менее защищенных подрядчиков», говорит аналитик исследовательской группы Positive Technologies Роман Резников. «Такая тенденция наблюдается во многих отраслях, но именно для финансового сектора она становится особенно серьезной из-за значительного объема подрядчиков и взаимного обмена информацией между различными организациями финансового сектора», – считает он.
Сейчас атаки часто реализуются через доверенные каналы, включая корпоративную почту, мессенджеры и облачные сервисы, добавляет начальник центра управления доступом и рисками информационной безопасности «ОТП банка» Алексей Колпаков.
«Сегодня у злоумышленников куда больше шансов получить первоначальный доступ или продвинуться по «цепочке атаки» через использование механизмов социальной инженерии, чем пытаться обойти множество технических средств защиты», – указывает он.
Как отмечает директор по информационной безопасности «Яндекс 360» Игорь Вербицкий, в 2025 г. на первый план вышел так называемый картиночный спам – письма с вложенными изображениями вместо обычного текста, чаще всего рекламного характера или с предложениями легкого заработка.
«Такие письма сложнее распознать обычными фильтрами. Мы решили эту проблему интеграцией в механизмы Спамообороны функции распознавания логотипов (CV-антифишинг) и текста в изображениях (OCR) на основе машинного обучения»
Вербицкий подчеркивает, что в компании фиксируют снижение общего объема спама, при этом видят качественное изменение атак: они становятся более точечными и ориентированными на конкретные организации или пользователей. Всего за первое полугодие 2025 г. специалисты «Яндекс 360» зафиксировали около 8,4 млрд спам-писем, 2,9 млрд из которых были фишинговыми, добавляет он.
Компании часто недооценивают риски в сервисах, которые не связаны напрямую с обработкой конфиденциальной информации, считает Вербицкий.
«Такие системы кажутся второстепенными, и из-за ограниченного бюджета или нехватки времени на развитие собственного контура безопасности им уделяют меньше внимания. В итоге они становятся удобной точкой входа для злоумышленников», – говорит он.
Кроме того, по мере более широкого внедрения открытых банковских программных интерфейсов (API), позволяющих автоматически обмениваться данными между различными организациями, растут и сопутствующие им риски. «Каждый программный интерфейс без должной защиты может стать точкой входа для киберпреступников. И хотя пока количество взломов открытых API незначительно, киберпреступники уже изучают возможности и перспективы атак на программные интерфейсы», – отмечает Резников.
Не доверять никому
Zero Trust – концепция, смещающая акцент защиты статичных, сетевых периметров на защиту пользователей, IT-активов и ресурсов. Она исходит из того, что ни активам, ни учетным записям пользователей нельзя предоставлять доступ «по умолчанию» на основании их физического или сетевого местоположения.
Модель SASE (Secure Access Service Edge, «пограничный сервис безопасного доступа») объединяет в единую облачную платформу сетевые технологии и средства защиты на основе концепции Zero Trust. SASE обеспечивает доступ к данным только идентифицированным и верифицированным пользователям, использует технологии программно-определяемых глобальных сетей (SD-WAN) для централизованного управления корпоративными сетями, средства защиты на уровне шлюзов (SWG), брокеры безопасного доступа в облако, облачный брандмауэр и т. д.
Источник: Gartner, NIST
Стены и рвы больше не защищают
В новой реальности старые подходы к защите уже не работают. Современная компания чаще всего состоит из распределенной модели взаимодействия, имеет множество партнеров, сервисов, дистанционную работу, рассказывает директор департамента кибербезопасности «Абсолют банка» Руслан Ложкин.
«В такой концепции периметр организации начинается уже непосредственно с рабочей машины удаленного сотрудника, и его сложнее контролировать», – объясняет он. Именно поэтому традиционная защита периметра является «устаревшей концепцией», способной справиться только с простыми атаками, считает Ложкин.
Традиционная защита периметра обычно описывается как модель «замка и рва», т. е. предполагается, что никто извне сети не может получить доступ к данным внутри, но все, кто находится внутри сети, имеют такой доступ.
«Как только подъемный мост опускается и кто-то проходит через него в замок, он получает там полную свободу действий», – образно описывает ее международная ИБ-компания Cloudflare. Аналогично, как только пользователь подключается к сети в этой модели, он получает доступ ко всем приложениям и данным внутри нее.
«Концепция Zero Trust появилась около 15 лет назад, и с тех пор практически все современные инструменты ИБ так или иначе используют ее принципы. Особенно востребована она в финансовом секторе и банкинге, где сохранность данных – вопрос безопасности не только самой организации, но и всех ее клиентов. Сегодня, внедряя любой современный ИБ-инструмент, организация, по сути, реализует элементы Zero Trust», – объясняет Дмитрий Мажарцев, директор по информационной безопасности «Яндекс Браузера для организаций» (входит в Yandex B2B Tech).
Безопасность в облаках
Современный подход к безопасности требует учитывать не только физическую, но и облачную инфраструктуру.
Большинство крупных компаний пользуются SaaS-решениями, обрабатывают данные на облачных платформах и имеют подрядчиков. Чтобы эффективно управлять рисками в таком ландшафте, нужно иметь видимость и инвентаризацию как собственной инфраструктуры, так и облачной, а также уметь ее эффективно защищать. Для защиты важно вкладываться в надежную инфраструктуру и активнее использовать облачные технологии и защиту, которая «из коробки» живет в нескольких дата-центрах и обязательно бэкапируется, рассказывает Сидоров.
«В последнее время участились атаки на цепочки поставок, подрядчиков и решения, основанные на облачной модели предоставления ПО. Такие атаки позволяют обойти защиту периметра, в которую большинство финансовых организаций инвестируют значительные средства. Важен комплексный подход и мониторинг периметра с учетом доступов подрядчиков, а также использование тех возможностей безопасности, которые предоставляет облачная среда: многие атаки можно предотвратить просто корректной настройкой защиты. Это обеспечит наблюдаемость всей инфраструктуры, которую используют финансовые организации и их дочерние предприятия».
«Конечно, в условиях использования облаков мы принимаем меры по обеспечению защиты данных. Классически при работе с облачной инфраструктурой или облачными сервисами ответственность за безопасность данных и сервисов делится между поставщиком (облаком) и потребителем (компанией)», – рассказывает Гадарь. Для защиты банк применяет множество различных подходов – от сбора низкоуровневой телеметрии и микросегментации до полного бэкапирования (резервного копирования данных), непрерывных сканирований, определения и улучшения стандартов конфигурирования для повышения защищенности облачной инфраструктуры, подчеркивает Гадарь.
«Чаще всего под SASE понимают один из вариантов реализации принципов Zero Trust (с некоторым дополнениями), но ключевым отличием считается облачная реализация. Это возможность уйти от VPN и сетевой связности, внедрить механизмы оценки риска относительно пользователя и устройства, контролировать доступ к данным и приложениям через облачные сервисы, готовые и поставляемые по модели As a Service (как услуга)», – рассказывает он.
Активный переход приложений в онлайн-среду также изменил подходы к обеспечению безопасности работы сотрудника в браузере, ведь около 70% рабочего времени работник проводит именно там, показывают данные «Яндекс Браузера для организаций».
Это делает браузер ключевым приложением для обмена конфиденциальной информацией и доступа к корпоративным ресурсам.
Другими словами, браузер становится важным компонентом SASE-инфраструктуры, рассказывают в компании. «Корпоративные браузеры дают встроенную защиту от загрузки вредоносных файлов и расширений, фишинга и много друих инструментов ИБ», – перечисляет Дмитрий Мажарцев.
Например, такая технология, как удаленная изоляция браузера, позволяет организовать защищенный доступ как во внешний интернет, так и ко внутренним ресурсам. В этом режиме человек работает с браузером как обычно, однако вся информация из интернета загружается и отрисовывается в специальной версии браузера, который запускается в изолированном контейнере, а на устройство сотрудника передается лишь безопасный видеопоток, который не содержит никакого кода. Это защищает от атак даже через так называемые уязвимости нулевого дня, о которых никому, кроме хакеров, не известно. После завершения работы контейнер уничтожается.
«Браузер становится прикладным «микропериметром» на уровне веб-сессии. В связке с SASE он дает точечный Zero Trust контроль доступа к данным там, где они реально используются, обеспечивая защиту SaaS- и веб-приложений, удобный доступ для внешних пользователей, защиту от утечки данных и сильную видимость угроз информационной безопасности», – резюмирует Мажарцев. &