– В DMZ5 установлена система обнаружения атак?
– Да, но никаких следов проникновения или даже разведки не обнаружено.
– Может быть, все аккуратно подчищено?
– Вряд ли, все логи хранятся на специальном сервере, который отделен от DMZ своим файерволом и принимает только on-line запросы на сохранение записей. Демон чрезвычайно простой и тщательно проверен на предмет взлома, можете сами посмотреть исходники и убедиться. Этот файервол, так же как и сам сервер аудита, администрируются только сотрудниками службы безопасности банка, системным администраторам эти хосты недоступны. В свою очередь, службе безопасности недоступны все остальные хосты DMZ.
– Какие протоколы поддерживает шлюз между корпоративной сетью и DMZ?
– Только почтовый, причем все проходящие сообщения проверяются на вирусы и архивируются.
– Антивирус ничего не даст, во взломах такого уровня обычно используются одноразовые компоненты, которые к тому же тщательно проверяются на всех эвристических анализаторах.
– У нас стоит система, которая не пропускает внутрь любой активный контент. Все исполняемые модули, скрипты и даже неопознанные компоненты блокируются, внутрь проходят только строго определенные типы вложений. Никаких шифрованных архивов, никаких документов с макросами.
– Так все гладко излагаешь, что даже скулы сводит. Проверьте как следует еще раз на предмет исключений. Может, какому-нибудь администратору разрешено принимать все, что угодно? Или было разрешено когда-то? Аудит действий администраторов проводится?
– Хорошо, проверим. Аудит администрирования есть, эти логи хранятся там же, где и остальные, доступ к логам у администраторов только на чтение.
– Значит, либо заранее знали, куда идти, либо прошли другим путем. В обоих случаях необходима поддержка изнутри.
– Тотальная проверка всех сотрудников банка нереальна в такие сроки, – возразил Chuck. – Нам нужны хоть какие-то зацепки, чтобы сузить круг.
– Будем искать зацепки. Нам нужно, чтобы все компьютеры в DMZ и корпоративной сети, в том числе рабочие места всех пользователей, оставались включенными. Можно будет отсоединиться от всех внешних сетей?
– Насчет компьютеров я сейчас распоряжусь, SWIFT и резервных провайдеров уже отрубили, от основного провайдера можно будет отключиться через четверть часа, – сказал Mick.
– Еще нужна детальная топология сегментов и технологические схемы участков, через которые проходили поддельные платежки.
– Да, конечно, вся документация имеется и будет вам предоставлена.
Вижу, что банк хорошо подготовился к работе. Эти хакеры какие-то мазохисты, честное слово, не могли выбрать мишень попроще, что ли? Далеко не во всех банках, даже крупных, система безопасности выстроена так грамотно. Правда, хакеры зачастую не ищут легких путей и специально выбирают сложные объекты, просто для самоутверждения. Но не похоже, чтобы это был тот