Четверг, 23 мая, 2024 | USD: 90,19 EUR: 97,90

Напасть на своих

Как сотрудники сливают данные российских компаний.

В России выросло число атак инсайдеров — настоящих и бывших сотрудников компаний, использующих служебное положение для кражи и продажи данных. С начала года их стало в 1,5 раза больше, а спрос на добытую ими информацию вырос на 25%, говорится в отчете компании «Инфосистемы Джет». «Известия» выяснили, как и для чего сотрудники вредят российским компаниям и как последним защититься от внутренних «врагов».

Инсайдерские атаки

Как говорится в исследовании, попавшем в редакцию «Известий», объявления о поиске и найме сотрудников компаний популярны в даркнете уже несколько лет. Киберпреступники ищут людей, которые согласятся за деньги сообщать им внутреннюю информацию компании, передавать свои учетные данные или запускать ПО для удаленного доступа в Сеть.

Изучив несколько форумов и Telegram-каналов, аналитики «Инфосистем Джет» отметили растущий спрос на покупку и продажу инсайдерской информации. Подобные объявления составляют около трети всех предложений на теневом рынке.

«Растут и цены на «услуги», но это скорее связано с общей инфляцией. Цены зависят от разных факторов (актуальность и уникальность информации, объем данных) и варьируются от нескольких тысяч рублей до сотен тысяч долларов», — отмечается в документе.

По данным компании, сегодня у двух третьих (70%) российских компаний есть критичные недостатки в процессе управления доступом. Поэтому в большинстве случаев (83%) получить доступ к ценной информации можно даже с правами обычного пользователя, не прибегая к повышению привилегий, то есть это можно сделать даже под «учеткой» рядового сотрудника, чем и пользуются киберпреступники.

Типы инсайдеров

По статистике «Инфосистем Джет», сегодня каждая пятая (19%) утечка данных в компаниях связана именно с внутренними нарушителями. При этом в большинстве (74%) случаев причиной становится человеческий фактор: работники случайно или умышленно вредят своей компании.

В целом эксперты делят инсайдеров на три основных типа. К первому относят тех, кто действует «по незнанию». Например, переходит по вредоносным ссылкам и скачивает зараженные файлы на рабочий компьютер.

«Был случай, когда работница компании отправила на внешний адрес отчеты с закрытой финансовой информацией. При расследовании оказалось, что у нее не было злого умысла, и причиной стала простая невнимательность. Сотрудница не проверила адрес получателя, считая, что отправляет информацию своим коллегам», — объясняется в отчете.

Ко второму типу причисляют «нелояльных» сотрудников, которые хотят причинить компании ущерб (чаще всего из мести руководству, когда они недовольны своей зарплатой или должностью).

«Так, в одной из компаний системный администратор при увольнении изменил пароли на всем оборудовании и серверах, где у него были права. Восстановление доступа заняло огромное количество времени, это привело к простою бизнес-процессов», — рассказывают в «Инфосистемах Джет».

Наконец, к третьему типу отнесли тех инсайдеров, кто нацелен на личную выгоду и хочет заработать. Такие сотрудники могут украсть ценные данные компании для своего бизнеса или третьих лиц, нанявших их за вознаграждение. Самые опасные из них — те, кто имеет привилегированные права доступа.

Как работает схема

Как объясняют в «Инфосистемах Джет», в основном все атаки происходят через ряд последовательных этапов «инсайдерской цепочки» (Insider Kill Chain):

  • рекрутинг / «переломный» момент,
  • разведка и сбор данных,
  • реализация атаки,
  • сокрытие следов.

На первом этапе сотрудник только собирается совершить незаконные действия внутри компании, например ищет способы продажи данных в даркнете. Обнаружить такие действия сложно, но порой удается. В качестве примера приводится история с работником банка, который согласился выгружать базы клиентов с нужными мошенникам данными. В них содержалась информация о владельце счета, его родственниках, остатке на балансе и последних транзакциях. Уговорить сотрудника на «слив» удалось всего за несколько сообщений.

На втором этапе инсайдер проводит «разведку» — изучает доступные системы в компании, общие файловые ресурсы и папки обмена. Здесь приведенный пример рассказывает о том, как крупный ритейлер заметил странную активность руководителя подразделения, который должен был вскоре уволиться.

«Проверки показали, что он за несколько вечеров сохранил более 18 ГБ информации на свой рабочий стол в папку с названием secret. Все файлы были скопированы из папок на корпоративном сетевом хранилище, к которым для него был открыт доступ. Оказалось, что его предоставили для выполнения краткосрочной задачи, но забыли отозвать после завершения. (…) В итоге служба ИБ удалила информацию, а за работой сотрудника усилили контроль», — говорится в исследовании.

Во время самой атаки (самого важного, третьего, этапа) инсайдер может украсть или повредить важные данные. Затем они «выводятся» через печать документов, внешние накопители, передаются на внешние файловые сервисы или отправляются на почту.

«Системный администратор компании после увольнения воспользовался своей незаблокированной учетной записью. (…). Он нарушил работу серверов, отвечающих за производственную линию и обработку заказов, и удалил файлы, необходимые для их восстановления. В результате было остановлено производство, и компания теряла ежедневно около $100 тыс. до тех пор, пока работу серверов не восстановили», — рассказывают авторы исследования.

Последний этап, сокрытие следов, — это попытка избавиться от доказательств совершенного проступка. Эксперты называют его наиболее легким в отслеживании: пытаясь замести следы, инсайдер может «наследить» еще больше.

«По нашему опыту, работники задумываются о необходимости сокрытия следов лишь в 13% случаев, чаще всего расследования происходят как раз по логам, журналам и оставленным горячим следам», — заключают в «Инфосистемах Джет».

Ущерб от инсайдеров

Несмотря на то что инсайдерские атаки не относятся к массовым, именно они приносят компаниям самый ощутимый и дорогостоящий ущерб, отмечают в ИБ-компании. Из-за них организация может утратить конфиденциальную информацию, понести огромные финансовые потери или испортить свою репутацию после утечки данных, получить судебные иски от партнеров и клиентов.

Самыми известными примерами инсайдерских атак авторы исследования назвали истории с сервисом «Яндекс. Еда» (март 2022 года), Tesla (август 2023 года) и Microsoft (сентябрь 2023 года). В случае с «Яндекс. Едой» произошла утечка информации, в результате которой в Сеть попали данные более 100 тыс. пользователей. В самой компании в случившемся обвинили недобросовестного сотрудника.

Причиной утечки в Tesla назвали двух бывших работников, которые направили 100 Гб информации из внутренних систем компании в СМИ. В базах были имена, адреса, телефоны и номера социального страхования более 75 тыс. человек.

В случае с Microsoft сотрудник выложил в общий доступ 38 ТБ информации, включающей в себя приватные ключи, пароли, резервные копии персональных компьютеров работников Microsoft и более 30 тыс. сообщений из корпоративного мессенджера. Впрочем, это произошло не умышленно, а из-за некорректной конфигурации токена SAS (Shared Access Signature)

Как отмечается в исследовании, чаще всего инсайдерские атаки проходят по вине самих компаний. Большинство руководителей (78%) во время опроса признались, что недостаточно контролировали виновных сотрудников. Еще 62% заявили, что несвоевременно отреагировали на инциденты, а 59% — что выдавали сотрудникам избыточные права.

Почти половина опрошенных (43%) отметила, что не применяла меры усиленного контроля в отношении сотрудников из групп риска (работники, которые скоро уволятся, и работники подрядчика, договор с которым вскоре закончится).

По мнению экспертов, главная проблема остается в том, что системы безопасности часто проектируются в парадигме доверия к людям — сотрудникам, третьим лицам и контрагентам.

«Часто компании не рассматривают внутренних нарушителей всерьез, безоговорочно доверяя своим работникам. А такое доверие предоставляет возможности для злоупотребления», — заключают авторы исследования.

Способы защиты

Говоря об инсайдерах, эксперты обычно имеют в виду людей, которые уже работают в компании и по каким-либо причинам решили ей навредить. Однако бывают случаи, когда человек только устраивается в организацию с подобным умыслом, рассказывает «Известиям» ведущий консультант по информационной безопасности «Инфосистемы Джет» Елена Агеева.

— Выявление рисков такого сотрудничества начинается с приема на работу. Подобная практика внедрена во многих компаниях: проверка документов, поиск данных о соискателе через базы, опрос предыдущих работодателей, — говорит она.

Если человек уже работает, распознать подозрительную активность можно на любом из этапов атаки. Лучше всего, разумеется, сделать это до ее совершения: в этом поможет использование системы поведенческого анализа (UEBA) или системы DCAP/DAG, направленные на защиту данных и анализ утечек.

— Также можно применять различные средства защиты в реальном времени, такие как DLP (система предотвращения утечек данных), SIEM (система управления информационной безопасностью и событий), DAM (система управления доступом к данным), PIM/PAM (системы управления привилегиями). И, конечно, работать с людьми — повышать лояльность сотрудников и выстраивать благоприятный микроклимат в компании, — отмечает собеседница «Известий».

В свою очередь главный эксперт «Лаборатории Касперского» Сергей Голованов напоминает, что безопасность в компании — это всегда комплексный процесс. Важно обеспечить безопасность конечных устройств, предусмотреть решения для защиты от сложных угроз, внедрить политики предоставления доступов, постоянно мониторить процессы внутри организации и обучать персонал правилам кибербезопасности.

Фото: pixabay.com

Мария Фролова

“Известия”

<
Померились исками

Померились исками

Дилеры подают в суд на ушедших автопроизводителей

>
“Выезжаете в лес, идете к границе”

“Выезжаете в лес, идете к границе”

Беженцев подогрели описанием пути в Финляндию

Вас может заинтересовать:
Total
0
Share
Mail.ru