Внутренние или внешние угрозы: что страшнее?
Изображение создано нейросетью на shutterstock.com
Для начала стоит определиться в понятиях. Далее под «внутренними» угрозами мы будем понимать действия злоумышленников, у которых есть легальный доступ к информационным ресурсам предприятия: инфраструктуре, приложениям и данным. «Внешними» же угрозами будем считать действия тех злоумышленников, которые такого доступа не имеют. Первые могут использовать свои знания об инфраструктуре и политике безопасности, чтобы обойти защитные меры. Вторые ищут уязвимости в средствах защиты. Принято считать, что внешняя атака часто опирается на ошибки или умышленные действия внутренних пользователей: неправильно настроенные системы защиты, уязвимости в разрабатываемом самостоятельно программном обеспечении, слабые пароли, реакция на фишинг и т. п., так что деление угроз на чисто внешние или чисто внутренние довольно условно.
Мотивация внутренних нарушителей разнообразна: они бывают движимы финансовыми интересами – как прямыми (продажа данных или доступов), так и косвенными (повышение своей ценности на рынке, карьера в следующей компании), на них могут влиять политические убеждения, они могут действовать, что называется, из спортивного интереса, мести или обиды. Разберем подробнее, на что же именно нацеливаются злоумышленники.
Данные. Персональные данные похищают для оформления кредитов, открытия банковских счетов на чужое имя, создания фейковых онлайн-профилей, для проведения фишинговых атак и мошенничества с использованием методов социальной инженерии. Украденные персональные данные продают на черном рынке бизнесу для использования в маркетинговых кампаниях и таргетированной рекламе. Они же становятся предметом спекуляции под угрозой публикации. Финансовые данные – номера банковских карт сотрудников, реквизиты счетов – используют также для продажи или с целью вымогательства, оплаты товаров и услуг без разрешения владельца, незаконного выведения средств.
Интеллектуальная собственность. Ноу-хау, разработки, технологии – всё, что может усилить рыночное преимущество. Это могут быть описание методик, исходный код или дистрибутивы приложений и библиотек, формулы, рецепты и т. п.
Коммерческая тайна. Стратегия, еще не выпущенные на рынок продукты и сервисы, сведения о партнерских соглашениях, внутренние цены, условия контрактов, состояние склада и транзита и другая информация, которую компания предпочитает не разглашать. Иными словами, всё, что может повлиять на конкурентоспособность компании.
Получение выгоды от манипуляции с данными. Списки вариантов мошенничества в цифровых системах занимают уже тома: от фейковых баллов/миль в системах лояльности, промокодов на скидки или подарки – до сложнейших схем с выводом денег со счетов уехавших надолго или умерших клиентов и манипуляций с электронными закупками. Новые способы мошенничества появляются ежедневно.
Работоспособность систем и сервисов. Политически мотивированные сотрудники, противоборствующие государственные акторы или террористические группы могут атаковать общественно значимые сервисы, КИИ энергосистем, транспорта, здравоохранения, чтобы вызвать общественный резонанс, нанести экономический ущерб или создать условия для техногенной катастрофы.
К реализации атаки злоумышленники – как внешние, так и внутренние – готовятся заблаговременно. Информация о компании и ее сотрудниках собирается всеми доступными методами: социальная инженерия, фишинг, фиктивные предложения о найме, запросы о закупке продуктов, предложение партнерства, соцсети, знакомства т. п. Заказчики атаки могут пойти на то, чтобы устроить на работу в интересующую компанию кандидатов или стажеров для добычи нужных сведений, уже не говоря о подкупе или шантаже действующих сотрудников.
Злоумышленник, получив доступ к сети компании (или уже находящийся в ней), может оставаться незамеченным для всех систем внутренней безопасности в течение долгого времени — нескольких десятков дней и даже больше. В этот период он собирает информацию для расширения атаки, пытается расширить свои права доступа, исследует и анализирует сеть, ищет уязвимости, изучает действующие учетные записи, ищет логины и пароли к различным системам, обходит средства защиты и т. п.
На этапе скрытого присутствия злоумышленника в сети эффективно работают системы класса DDP – Distributed Deception Platform. Они создают фиктивный слой объектов ИТ-инфраструктуры предприятия, неотличимых от защищаемых узлов сети и сервисов. Они способны подбрасывать злоумышленнику всевозможные приманки – артефакты в виде текстовых файлов, cookies, сохраненных подключений и т. п. Такие приманки содержат, как правило, ложные учетные данные и IP-адреса ловушек. Например, на уровне домена: при попытках авторизации на рабочем месте с использованием фиктивного логина и пароля система Deception уведомит ответственных лиц о подозрительной активности. Любая же попытка злоумышленника взаимодействовать с ловушкой приводит к мгновенной генерации инцидента ИБ.
В отличие от своего прародителя, концепции honeypot (системы приманок), DDP-системы масштабируются и управляются. С их помощью можно создавать и распространять приманки, делать их «живыми», неотличимо имитируя полнофункциональный элемент сети. В этом случае злоумышленника можно поймать еще до прямого взаимодействия с ловушкой – никто из легальных пользователей не будет обращаться к фейковому элементу сети, он не участвует ни в каких реальных процессах.
Внутренние же злоумышленники, как правило, имеют больше возможностей оставаться незамеченными и даже скрывать следы своих действий, используя привилегии. Согласно недавнему исследованию Gartner, более 90% работников признались в совершении потенциально опасных для своих работодателей действий. Эти сотрудники осознано нарушали регламенты информационной безопасности, несмотря на то что знали о возможных последствиях. Причем многие из них делали это из благородных побуждений – например, чтобы быстрее выполнить рабочую задачу.
Согласно матрице MITRE для совершения мошеннических действий инсайдеры обычно пользуются своими действующими правами доступов. Как правило, в ход идут три основных метода.
Создание фейковых учетных записей. Инсайдер создает учетные записи и управляет счетами несуществующих клиентов (на основе данных реальных клиентов компании). Например, у заемщика средств в банке указан поручитель, зафиксированы все необходимые для займа у банка данные. Злоумышленник может взять кредит на имя этого поручителя, при том что реальный персонаж об этом даже не догадается. Он может это делать как в собственных интересах, так и под воздействием третьих лиц.
Несанкционированный доступ к реальным учетным записям. Внутренний злоумышленник может вносить изменения в учетные записи реальных клиентов: для оплаты собственных покупок, искажения данных отчетности и др. Если продолжать пример с кредитами, инсайдер может вносить данные о погашении, тогда как реальных средств на счет не поступало.
Изменение данных учетных записей. Учетные записи действующих клиентов видоизменяются таким образом, чтобы обеспечить внутреннему злоумышленнику возможность оставаться внутри сети незамеченным как можно дольше.
Утечки (или эксфильтрация)
Информация, необходимая для выполнения рабочих задач, часто хранится во внутреннем репозитории: One Drive, SharePoint и др. К сливам данных злоумышленники готовятся загодя. Для начала они выгружают массивы информации из доступных в соответствии с правами ресурсов, какое-то время хранят локально в системе или в архивном файле, после чего закачивают на USB-накопитель/съемное устройство или в сеть. Мониторинг доступа к данным таких систем обеспечивают системы класса DCAP – они замечают нарушения прав доступа и злоупотребление легальными правами.
Для борьбы с утечками используют и профильные средства защиты – системы класса DLP (Data Loss Prevention). Они предназначены для мониторинга и контроля движения различной информации, идентификации чувствительных данных и обеспечения их защиты. Кроме того, функции DLP реализованы в упомянутом выше DCAP и database firewall (DBF) – решении, в режиме онлайн анализирующем запросы к СУБД и в зависимости от ролевой модели пользователя позволяющем выдать данные по запросу, заблокировать ответ на запрос или выполнить его частично, например заменив (замаскировав) данные в ответе.
Важным дополнением к DLP-системам являются технологии поведенческого анализа пользователей: UBA (User Behavior Analytics) и UEBA (User and Entity Behavior Analytics). Эти технологии позволяют организациям анализировать типичные паттерны поведения пользователей и выявлять аномалии, которые могут указывать на потенциальные угрозы. Например, если сотрудник начинает загружать или пересылать большое количество данных в нехарактерное время суток, это может означать, что его учетная запись была скомпрометирована или что он пытается вынести конфиденциальную информацию. Еще пример: конкретному бухгалтеру для выполнения рабочих обязанностей необходимы данные 3000 сотрудников, а в какой-то момент он выгружает информацию по 5000. В таком случае система DLP с технологией UEBA сообщит об аномальном поведении пользователя, а ответственные сотрудники смогут принять меры.
Поведенческий анализ позволяет выявлять аномалии не только в поведении, но и в сетевом трафике. Например, системы класса NDR (Network detection and response) фиксируют и блокируют в сети аномальные действия пользователей или ботнетов.
Сегодня данные – один из ключевых активов бизнеса, поэтому вопрос о том, где граница между доверием к сотрудникам и необходимостью строгого контроля, пожалуй, не так актуален, как вопрос многоуровневой защиты информации при ее доступности для выполнения реальных бизнес-задач. Каждая компания решает для себя сама, какая пропорция доверия, корпоративной культуры и средств контроля устраивает именно ее.
Но где та нулевая линия обороны, которая определяет, а можно ли вообще давать конкретному человеку доступ к данным даже для работы? Для профилактики нарушений политики информационной безопасности нужна всесторонняя проверка кандидатов и действующих сотрудников.
Необходимо учитывать факторы риска: финансовые обязательства (например, долги или кредитные соглашения), юридическую активность (включая участие в судебных процессах в роли истца или ответчика), аффилированность с контрагентами, проверяющими органами и конкурентами, а также другие обстоятельства, увеличивающие риски нарушений информационной безопасности.
Для подобных проверок есть масса открытых источников: базы данных МВД, ГИБДД, база экстремистов и террористов, сайт судебных приставов, выписки из ЕГРЮЛ/ЕГРИП, единый реестр сведений о банкротстве, реестр залогового имущества, информация об исполнительных делопроизводствах, картотека арбитражных дел и другие, по которым и работают службы безопасности. При массовом найме или большой текучке кадров имеет смысл эту работу автоматизировать. Автоматизированные системы экономической безопасности оптимизируют проверки соискателей, контрагентов, подрядчиков и действующих сотрудников и позволяют отслеживать активность последних, сокращают время сбора и анализа информации по объекту до минут, что при большом количестве персонала особенно актуально. Как показало исследование центра компетенций группы компаний «Гарда», несмотря на повсеместную цифровизацию, 70% компаний тратят на одну проверку до суток.
Отсутствие или недостаточный уровень проверок могут привести к тому, что сотрудники с высокими факторами риска, например с большими долгами по кредитам, могут сами пойти на крайние меры и атаковать работодателя либо попасть под влияние третьих лиц, которые за решение проблем попросят о простой услуге: открыть на рабочем компьютере вредоносный файл, сообщить данные учетных записей критических систем, совершить какие-либо действия на уровне физической безопасности и т. п.
Заключение
На нынешнем уровне зрелости цифровых систем в информационной безопасности усилия и бюджеты сфокусированы на защите инфраструктуры – межсетевом экранировании, шифровании, контроле доступа, анализе уязвимостей и т. п. Для того чтобы перейти от защиты объектов, где могут находиться, передаваться и обрабатываться данные, к защите собственно данных, необходимо понимание того, какие цифровые процессы реализованы на этой инфраструктуре и какие данные в них участвуют.
Защита данных – постоянный и постоянно усложняющийся процесс, непрерывно связанный с бизнес-процессами, реализованными в цифровой среде. В крупных компаниях появляется даже специальная роль CDO – chief data officer, менеджер, отвечающий за сбор, использование и защиту данных в компании. Для защиты данных недостаточно просто иметь инструменты контроля и защиты – нужно их постоянно совершенствовать, настраивать под изменяющиеся процессы использования данных и уметь грамотно применять во время инцидентов, когда счет идет буквально на минуты.
Опубликовано 30.08.2024
