«Сбербанк онлайн» защитится «песочницей» за полтора миллиарда
Сбербанк закупает «песочницу» для своих фронтальных систем «Сбербанк онлайн», «Сбербанк бизнес онлайн», «Единая фронтальная система», «Сбербанк корпорация», «Сайт сбербанка», «Единый розничный интернет-банк». Данная система безопасности оценена заказчиком в $20 млн.
«Песочница» для фронтальных АС Сбербанка
Как выяснил CNews, Сбербанк готов потратить до $20 млн (1,47 млрд по курсу ЦБ на 15 февраля 2021 г.) на программно-аппаратный комплекс класса Sandbox («песочница») — для динамической проверки входящих файлов на присутствие в них потенциально опасного кода.
Подобная проверка осуществляется путем эмуляции работы с файлами в защищенной виртуальной среде. В данном случае речь идет о файлах, с которыми имеют дело так называемые фронтальные автоматизированные системы банка: «Сбербанк онлайн», «Сбербанк бизнес онлайн», «Единая фронтальная система», «Сбербанк корпорация», «Сайт сбербанка», «Единый розничный интернет-банк».
Вышеупомянутая сумма выставлена в качестве начальной максимальной цены договора в тематическом тендере, который был объявлен банком 9 февраля 2021 г. Заявки от претендентов принимались до 12 февраля. Подведение итогов намечено на 26 февраля. Единственным критерием оценки заявок станет цена предложения.
Примечательной особенностью тендера является его формат — адресный запрос котировок (не аукцион). Побороться за договор могли только два заранее аккредитованных участника — компании «АТ груп» и «Траст технолоджиз». Их аккредитация состоялась в октябре 2020 г.
С победителем запущенной сейчас процедуры будет заключено генеральное соглашение как на поставку оборудования, так и на его монтаж, пуско-наладку, интеграцию комплекса в корпоративную сеть банка, расширенную техническую поддержку, а также, при необходимости, рамочный сублицензионный договор на пять лет. Срок непосредственной поставки продукции «железа» — восемь недель с даты подписания спецификации.
Представители Сбербанка на вопрос CNews о том, защищены ли сейчас фронтальные системы банка каким-либо решением класса «песочница», или оно появится в организации впервые, не ответили в течение двух рабочих дней.
Параметры фронтальных систем Сбербанка
В техзадании тендера сообщается, что фронтальные автоматизированные системы Сбербанка являются его собственной разработкой и позволяют загружать через собственный же пользовательский интерфейс файлы, поступающие от клиентов в периметр банка.
Число пользователей «Сбербанк онлайн» составляет 40 млн человек и продолжает увеличиваться — только за последний год рост составил 47%. Число компаний, использующих «Сбербанк бизнес онлайн» превышает 2 млн. Ежегодный прирост компаний, открывающих счета, заявлен на уровне порядка 20%.
По состоянию на 2020 г. во фронтальные системы Сбербанка поступает порядка 93 тыс. файлов в час размерностью от 1 до 100 МБ. Около 98% этих файлов имеют размер от 1-5 МБ. Оставшиеся 2% — от 5 до 100 МБ.
Ежегодный предполагаемый размер увеличения количества обрабатываемых файлов спрогнозирован на уровне от 5% до 10%.
Большая часть файлов, поступающих в периметр банка, являются файлами популярных офисных пакетов, электронных публикаций в формате PDF, графических форматов. «Тем не менее представленный список не является конечным, — говорится в техзадании. — В инфраструктуру банка поступают исполняемые файлы, архивные файлы, скриптовые файлы, статические веб-файлы».
Некоторые требования к «песочнице»
В требованиях к архитектуре закупаемой системы говорится, что она должна иметь средства централизованного управления всеми компонентами и предусматривать территориальную и сетевую распределенность компонентов системы на нескольких площадках заказчика. Кроме того, решение должно поддерживать горизонтальное масштабирование путем добавления дополнительных элементов без изменения архитектуры.
По требованиям заказчика, система должна обеспечивать дублирование и горячую замену дисков и блоков питания, поддерживать установку в стандартный монтажный шкаф 19", иметь не менее двух портов Ethernet 1 Гбит/с, не менее двух портов Ethernet 10Гбит/с, не менее двух портов стандарта USB 2.0, не менее одного порта управления со скоростью не ниже 1 Гбит/с.
Система должна обеспечивать проверку файлов локально в сети банка — без выгрузки в облачные системы вендора. Исключением являются метаданные файлов, такие как хеши, IP-адреса и домены.
Система должна функционировать в сетях IPv4 и IPv6, иметь функциональность по интеграции с системой мониторинга Zabbix и по отправке событий безопасности в SIEM-систему по протоколу Syslog, располагать API-интерфейсом по выгрузке данных об обнаруженных вредоносных файлах во внешние системы. Также система должна иметь функциональность по получению файлов для проверки через ICAP-протокол, файловое хранилище, API на базе веб-сервисов, либо rest, позволяющий реализовать сервисы автоматизированной проверки объектов с получением соответствующего вердикта.
Система не должна блокировать попытки скачивания внешнего содержимого для анализируемого объекта, отправлять в карантин потенциально вредоносное ПО, иметь функциональность по автоматическому обнаружению и противодействию техникам обхода «песочницы», иметь функциональность динамического анализа файлов одновременно в нескольких версиях ОС Windows (X, 7 и10) разной разрядности (x86 и x64) и разными языковыми пакетами (RU и ENG).