Как защититься от утечки данных

Иногда информационная безопасность ассоциируется с железом, системами безопасности и внешним периметром защиты. Есть и внутренняя защита, о которой часто забывают. Отчет компании «Рапид7» наглядно это демонстрирует.

Хакеры уже давно не ограничиваются только кодом и используют сотрудников, чтобы выяснить важную информацию. Обиженный сотрудник сольет данные за поворотом, а неграмотный — заразит сеть. Разберемся, как использовать «белых хакеров» для своего же блага, и какие приемчики особо полюбились хакерам.

Когда «белые хакеры» могут помочь

С октября 2016 года до первой недели января 2017 года 128 компаний проверили свою защищенность. У многих из них «белые хакеры» обнаружили схожие уязвимости, против которых срабатывали одни и те же эксплойты.

Это легко объяснить одинаковым оборудованием и типовыми решениями — администраторам приходится идти на компромиссы, чтобы сеть было легко конфигурировать и разворачивать.

По данным отчета компании «Рапид7»

Компании больше озабочены внешними атаками и только в одном случае из пяти проводят внутренний пентест. Но если почти половину внешних атак удается отбить, то внутри корпоративной сети данные не защищены в 90% случаев. К тому же, граница между внешней атакой и внутренней становится все более условной из-за мобильных устройств и облачных сервисов.

По данным отчета компании «Рапид7»  

Вторая проблема — в длительности и регулярности пентестов. Компании устраивают проверки, в среднем, раз в год. Это лучше, чем ничего, но недостаточно с учетом скорости роста корпоративных сетей. Только 10% компаний готовы нанять хакеров на три недели и более, а остальные рассчитывают уложиться быстрее.

«Белых хакеров» нанимают, в среднем, на две-три недели. Но реальные атаки под прикрытием ДДоСа или таргетированные атаки могут продолжаться от двух недель до нескольких месяцев — дольше, чем среднестатистический пентест. С появлением интернета вещей появились целые сети с ботами и услуга по их аренде — Botnet as a service. Поэтому длительность и мощность атак будут увеличиваться. Время играет против «белых хакеров» и на руку — реальным взломщикам.

Хотя встречаются настолько грубые ошибки, что хватит и дня на проверку. За такие нарушения Комиссия по защите персональных данных в Сингапуре оштрафовала две компании на 10 тыс. долларов каждую.

На сайте JP Pepperdine Group любой мог получить доступ к данным зарегистрированных пользователей, нажав кнопку «Поиск» с пустой строкой поиска. У второй компании, Propnex Realty, закрытые данные 1765 человек можно было скачать в пдф-файле: имена, телефоны, адреса проживания и адреса электронной почты. Файл предназначался для внутреннего использования, но не был закрытым; защита действовала для веб-страниц, а не документов.

В чем проблема:

Неправильный фокус. Компании больше боятся внешних угроз и мало думают о внутренних утечках. Особенно это актуально для больших компаний с большим количеством сотрудников. Один сотрудник с флешкой может нанести не меньше ущерба, чем команда хакеров.

Рано расслабляться. Помните, что у обычных хакеров может быть больше времени, чем у «белых». Если даже результаты пентеста удовлетворительные, вас все равно могут скомпрометировать.

Как обманывают сотрудников

С помощью фишинга в декабре 2016 года хакеры попытались атаковать МИД Польши. Несколько сотрудников ведомства получили электронные письма об итогах заседания Совета НАТО якобы от генсека НАТО. Внутри был файл с трояном для хищения данных. Удалось ли похитить какую-то информацию — неизвестно.

Пока информация не всплыла в Даркнете, в сети или у конкурентов — непонятно, была ли утечка. Можно обнаружить факт атаки, но не дальнейшие действия, потому что за файлами никто не следит и не ограничивает к ним доступ.

А вот пример, когда информация всплыла. В результате утечки данных в Таиланде в сеть попала конфиденциальная информация о нескольких тысячах госслужащих и соискателях работы, включая номера телефонов и банковских счетов, электронных почт и зашифрованных паролей. Тайская армия планирует привлечь на службу «белых хакеров» для улучшения безопасности государственных серверов.

Для защиты информации есть пять способов:

Затягивать гайки. Политики безопасности частично решают проблему, главное, чтобы соблюдался баланс. Параноидальные политики мешают эффективной работе и не выполняют своей функции. Сотрудники найдут варианты, как обойти препоны: придумают легкие для запоминания и взлома пароли — «Password2017», которые можно менять каждые три месяца, — или вообще сделают по-своему, еще хуже.

Защищать важные данные DLP-системами. Чем больший объем информации будет защищен DLP-системой, тем большее количество событий придется обрабатывать службе безопасности. Достаточно отслеживать определенные документы и настроить права на доступ: запретить перезаписывать или отправлять по почте. В зависимости от настроек, письмо может не уйти или уйти с разрешения СБ, но сотрудник СБ в любом случае получит оповещение.

Обучать сотрудников. Сложно понять, какое письмо — фишинговое, а какое — по работе. Даже после демонстрации запомнят не все. Продолжайте объяснять. С паролями и двухфакторной аутентификацией еще сложнее, но повторение должно сработать.

Проверять знания. СБ Orange иногда отправляет фишинговое проверочное письмо своим сотрудникам; если кто-то попался — идет на тренинг. Также для проверки можно составить тесты, как в Тинькофф-журнале. Кроме тестов и периодических проверок больше ничего не нужно. Для сотрудников — это лишний стресс и демонстрация недоверия.

Хорошо относиться. Если сотрудник сливает информацию не по собственному незнанию, а специально — дело плохо. Скорее всего, он чем-то обижен или недоволен. Разговаривайте со своими сотрудниками и выясните, чем они недовольны.

Что делать, если атака — целенаправленная

Во время спирфишинга хакер постепенно собирает информацию, кто за что отвечает, и потом таргетированно атакует сотрудника с наибольшими полномочиями.

Атакующему нужны зацепки: фамилия начальника или информация об оборудовании. Фамилию начальника можно узнать, расспросив девушку на ресепшене, а производителя оборудования — по мак-адресу. Дальше дело техники: найти упоминания фамилии в корпоративной сети или попробовать использовать известные уязвимости для определенного типа железа и программного обеспечения.

Производители с разной скоростью закрывают лазейки в оборудовании и программах. Высока вероятность, что недавние уязвимости еще не закрыты патчем. Кроме того, между выходом патча и обновлением ПО в компании проходит много времени. 

Что делать:

В случае прямой атаки могут помочь IDS/IPS — системы обнаружения и предотвращения вторжений, но у них есть проблема — ложные срабатывания. Чем выше чувствительность системы, тем чаще срабатывания, и тем реже это будет реальная угроза.

Для социальной инженерии нет универсальных решений. Можем посоветовать книгу Кевина Митника «Искусство обмана» и, опять же, обучение. Рассказывайте сотрудникам об уловках социоинженеров и учите их избегать.

***

Неграмотность пользователей признана главной проблемой на недавней конференции «Код информационной безопасности», собравшей сотню ИБ-специалистов. Возможно, скоро все изменится, но пока в основе компании стоят люди, а ПО и техника — только надстройки. Их нужно совершенствовать, чтобы сотрудникам не приходилось проверять каждое письмо.

Сейчас, к сожалению, надстройки больше похожи на заплатки, а не цельный доспех. Хакерам проще ударить в незащищенное место — по сотрудникам, чем пытаться пробиться через защиту. Берегите своих сотрудников.

Рекомендации

• Обучайте сотрудников информационной безопасности и проверяйте их регулярными тестами. Если не усвоили тему — на пересдачу.
• Ограничьте доступ к важной информации. Допуск на сервер — только определенным сотрудникам.
• Следите за важными файлами через DLP-системы. Движение важных документов наружу — только с разрешения СБ.
• Упростите процесс обновление ПО и железа. Бюрократии — бой.
• Проводите внутренние и внешние пентесты регулярно — раз в полгода или год.