«Сбербанк онлайн» защитится «песочницей» за полтора миллиарда

Сбербанк закупает «песочницу» для своих
фронтальных систем «Сбербанк онлайн», «Сбербанк бизнес онлайн»,
«Единая фронтальная система», «Сбербанк корпорация», «Сайт сбербанка», «Единый
розничный интернет-банк». Данная система безопасности оценена заказчиком в $20 млн.

«Песочница» для фронтальных АС Сбербанка

Как выяснил CNews, Сбербанк
готов потратить до $20 млн (1,47 млрд по курсу ЦБ на 15 февраля 2021 г.) на
программно-аппаратный комплекс класса Sandbox («песочница») — для динамической
проверки входящих файлов на присутствие в них потенциально опасного кода.

Подобная проверка
осуществляется путем эмуляции работы с файлами в защищенной виртуальной
среде. В данном случае речь идет о файлах, с которыми имеют дело
так называемые фронтальные автоматизированные системы банка: «Сбербанк онлайн»,
«Сбербанк бизнес онлайн», «Единая фронтальная система», «Сбербанк корпорация», «Сайт
сбербанка», «Единый розничный интернет-банк».

Вышеупомянутая сумма
выставлена в качестве начальной максимальной цены договора в тематическом
тендере, который был объявлен банком 9 февраля 2021 г. Заявки от претендентов
принимались до 12 февраля. Подведение итогов намечено на 26 февраля. Единственным
критерием оценки заявок станет цена предложения.

Примечательной
особенностью тендера является его формат — адресный запрос котировок (не аукцион).
Побороться за договор могли только два заранее аккредитованных участника —
компании «АТ груп» и «Траст технолоджиз». Их аккредитация состоялась в
октябре 2020 г.

Логическая схема системы и виды ее взаимодействия (источник: Сбербанк)

С победителем запущенной сейчас процедуры будет заключено
генеральное соглашение как на поставку оборудования, так и на его монтаж,
пуско-наладку, интеграцию комплекса в корпоративную сеть банка, расширенную техническую
поддержку, а также, при необходимости, рамочный сублицензионный договор на пять
лет. Срок непосредственной поставки продукции «железа» — восемь недель
с даты подписания спецификации.

Представители Сбербанка
на вопрос CNews о том, защищены ли сейчас фронтальные системы банка каким-либо
решением класса «песочница», или оно появится в организации впервые, не
ответили в течение двух рабочих дней.

Параметры фронтальных систем Сбербанка

В техзадании тендера сообщается, что фронтальные автоматизированные
системы Сбербанка являются его собственной разработкой и позволяют загружать
через собственный же пользовательский интерфейс файлы, поступающие от клиентов
в периметр банка.

Число пользователей «Сбербанк онлайн» составляет 40 млн человек и продолжает увеличиваться — только за последний год рост составил 47%.
Число компаний, использующих «Сбербанк бизнес онлайн» превышает 2 млн.
Ежегодный прирост компаний, открывающих счета, заявлен на уровне порядка 20%.

По состоянию на 2020 г. во фронтальные системы Сбербанка
поступает порядка 93 тыс. файлов в час размерностью от 1 до 100 МБ. Около 98%
этих файлов имеют размер от 1-5 МБ. Оставшиеся 2% — от 5 до 100 МБ.

Как освободить 2,5 часа в день для каждого сотрудника
Бизнес

Ежегодный предполагаемый размер увеличения количества
обрабатываемых файлов спрогнозирован на уровне от 5% до 10%.

Большая часть файлов, поступающих в периметр банка, являются
файлами популярных офисных пакетов, электронных публикаций в формате PDF,
графических форматов. «Тем не менее представленный список не является конечным,
— говорится в техзадании. — В инфраструктуру банка поступают исполняемые файлы,
архивные файлы, скриптовые файлы, статические веб-файлы».

Некоторые требования к «песочнице»

В требованиях к
архитектуре закупаемой системы говорится, что она должна иметь средства
централизованного управления всеми компонентами и предусматривать
территориальную и сетевую распределенность компонентов системы на нескольких
площадках заказчика. Кроме того, решение должно поддерживать горизонтальное
масштабирование путем добавления дополнительных элементов без изменения
архитектуры.

По требованиям заказчика, система
должна обеспечивать дублирование и горячую замену дисков и блоков питания, поддерживать
установку в стандартный монтажный шкаф 19″, иметь не менее двух портов Ethernet
1 Гбит/с, не менее двух портов Ethernet 10Гбит/с, не менее двух портов
стандарта USB 2.0, не менее одного порта управления со скоростью не ниже 1 Гбит/с.

Система должна обеспечивать проверку
файлов локально в сети банка — без выгрузки в облачные системы вендора. Исключением
являются метаданные файлов, такие как хеши, IP-адреса и домены.

Система должна функционировать в
сетях IPv4 и IPv6, иметь функциональность по интеграции с системой мониторинга Zabbix
и по отправке событий безопасности в SIEM-систему по протоколу Syslog, располагать
API-интерфейсом по выгрузке данных об обнаруженных вредоносных файлах во
внешние системы. Также система должна иметь функциональность по получению
файлов для проверки через ICAP-протокол, файловое хранилище, API на базе
веб-сервисов, либо rest, позволяющий реализовать сервисы автоматизированной
проверки объектов с получением соответствующего вердикта.

Система не должна блокировать
попытки скачивания внешнего содержимого для анализируемого объекта, отправлять
в карантин потенциально вредоносное ПО, иметь функциональность по автоматическому
обнаружению и противодействию техникам обхода «песочницы», иметь
функциональность динамического анализа файлов одновременно в нескольких версиях
ОС Windows (X,
7 и10) разной разрядности (x86
и x64) и разными
языковыми пакетами (RU
и ENG).

Источник

admin
Оцените автора
Добавить комментарий