Выдвинуть диверсию: как растет число инсайдерских атак от рядовых пользователей
Внутренний враг
С января по октябрь 2023 года число инсайдерских атак от рядовых пользователей увеличилось в 1,5 раза по сравнению с аналогичным периодом прошлого года, а спрос на инсайдерскую информацию за первую половину 2023 года вырос на 25%. Такие выводы содержатся в исследовании «Атаки инсайдеров: угроза внутри периметра» компании «Инфосистемы Джет» (есть в распоряжении Forbes).
Кроме того, при мониторинге форумов даркнета и Telegram-каналов аналитики «Инфосистем Джет» отмечают постоянный спрос на покупку и продажу инсайдерской информации. Объявления такой направленности составляют около трети всех предложений на теневом рынке. К ним относятся покупка/продажа корпоративных доступов, а также поиск действующих работников компаний, готовых сотрудничать со злоумышленниками. «Растут цены, но это скорее связано с общей инфляцией и политической ситуацией в стране. Цены зависят от разных факторов — таких как актуальность и уникальность информации, объем данных и т. д. — и могут варьироваться от нескольких тысяч рублей до сотен тысяч долларов», — говорится в отчете.
По данным исследования, у 70% компаний обнаруживаются критичные недостатки в процессе управления доступом. По этой причине в подавляющем большинстве случаев (83%) в рамках работ по внутреннему тестированию на проникновение удается получить доступ к критичной информации с правами обычного пользователя, не прибегая к повышению привилегий, — под учетными записями рядовых работников, для которых такой доступ является избыточным.
Эксперты делят инсайдеров на три типа: нарушители «по незнанию» (приносят вред из-за невнимательности/незнания корпоративных политик кибербезопасности), нелояльные инсайдеры (действуют намеренно и с полным пониманием последствий, основной мотив — желание навредить компании) и инсайдеры, нацеленные на собственную выгоду (скачивают конфиденциальную информацию для развития собственного бизнеса, получения материальных выплат от третьих лиц, заинтересованных в конкурентном преимуществе, или хищения денежных средств).
К наиболее опасным для компании инсайдерам относятся текущие работники, сотрудники, имеющие привилегированные права доступа, и подрядчики, имеющие доступ к корпоративным ресурсам. Основные причины успешной реализации несанкционированных действий инсайдеров, по результатам опроса, в котором приняли участие более 80 компаний (представители крупного бизнеса, малые и средние предприятия и организации госсектора), — отсутствие или недостаточность контроля за несанкционированными действиями (78%), несвоевременное реагирование на инциденты (62%) и наличие избыточных прав доступа (59%). При этом почти половина опрошенных (43%) не применяет мер усиленного контроля в отношении сотрудников из групп риска (работники, которые скоро уволятся, и работники подрядчика, договор с которым вскоре закончится).
Пройтись по цепочке
Основные атаки, как правило, происходят через ряд последовательных этапов «инсайдерской цепочки» (Insider Kill Chain), говорится в исследовании:
- Рекрутинг / переломный момент
- Разведка и сбор данных
- Эксфильтрация / реализация атаки
- Сокрытие следов
Для каждого этапа аналитики «Инфосистем Джет» приводят характерные примеры из известной им практики, чем характеризуется эта фаза и как защититься. Так, в рекрутинге эксперты рассказали о том, как в ходе легендированной переписки был найден сотрудник одного из популярных банков, который на постоянной основе был готов выгружать базы клиентов банка по запросу с необходимыми данными для злоумышленника. В примере базы была информация о владельце счета, его родственниках, даты и места оформления договоров и карт, остаток на балансе, включая выписки за три месяца, последние трансакции, информация о тратах за последний месяц, о блокировках и ограничениях по кредитной истории и кредитных картах. «Это один из многих возможных примеров успешного рекрутинга, который показывает, насколько быстро и просто злоумышленник может договориться с нелояльным сотрудником», — пишут эксперты «Инфосистем Джет».
Пример для этапа разведка рассказывает о том, как крупный ретейлер выявил аномальную активность руководителя подразделения, который вскоре должен был покинуть компанию: «Дополнительные проверки средствами DLP показали, что он за несколько вечеров сохранил более 18 ГБ информации на свой рабочий стол в папку с названием secret. Все скопленные там файлы и данные были скопированы из большого количества папок на корпоративном сетевом хранилище, к которым для него был открыт доступ. В ходе детального анализа выяснилось, что доступ сотруднику был предоставлен для выполнения краткосрочной задачи, но не был отозван после ее завершения». В итоге служба ИБ удалила информацию из папки пользователя, заблокировала избыточные права доступа в сетевом хранилище и бизнес-системах и установила повышенный контроль за деятельностью руководителя в течение оставшегося до увольнения времени.
Основным инструментом для предотвращения кражи данных на этапе реализации атаки являются DLP-системы, для которых наиболее распространен контроль именно почтового трафика, указывают аналитики. При этом наиболее часто «в тени» остаются такие каналы утечки, как веб-трафик, мессенджеры и сервисы внешнего обмена (OneDrive, Google Drive, «Яндекс.Диск», DropBox и т. д). «Режим блокировки отправки информации за периметр посредством DLP-систем реализован не более чем в 33% компаний. <…> Во избежание риска остановки бизнес-процессов необходима дополнительная подготовка и выделение квалифицированных работников для регулярного мониторинга заблокированных сообщений. Однако не все компании готовы к этому из-за ограниченного штата работников ИБ», — замечают аналитики. По их словам, режим коммерческой тайны (КТ) — единственный правовой механизм для защиты конфиденциальной информации, но в последние годы наблюдается низкий интерес к выстраиванию этого режима: «Чаще всего меры по защите КТ были предприняты давно и внедрялись в парадигме работы с бумажными носителями. Не все компании перестроили свой подход с учетом работы с электронными документами, требования законодательства выполняются не полностью или создается видимость их выполнения «для галочки».
В качестве примера в «Инфосистемах Джет» приводят случай с системным администратором, который после своего увольнения воспользовался привилегированной учетной записью, не заблокированной в момент увольнения: «Используя расширенные права доступа, бывший администратор нарушил работу серверов, отвечающих за производственную линию и обработку заказов, и удалил файлы, необходимые для их восстановления. В результате было остановлено производство, а в центре дистрибуции была прекращена отгрузка товара. Из-за этого компания теряла ежедневно около $100 000 до тех пор, пока работа серверов не была восстановлена».
Последний этап в цепочке, сокрытие следов, — наиболее легкий в отслеживании, констатируют эксперты. Пытаясь избавиться от доказательств совершения несанкционированных действий (очистка журналов событий, остановка служб, удаление файлов, пользователей и прочих сущностей), инсайдер может наследить еще больше. «По нашему опыту, инсайдеры задумываются о необходимости сокрытия следов лишь в 13% случаев, чаще всего расследования происходят как раз по логам, журналам и оставленным горячим следам», — рассказывают в «Инфосистемах Джет».
«Один из важнейших каналов»
Инсайдерские атаки всегда были одним из важнейших каналов утечек, рассуждает генеральный директор SafeTech Lab Александр Санин. «Экономически, да и по временным затратам всегда проще пройти в незапертую заднюю дверь, чем проломиться через главный вход с установленными на нем мощными системами защиты», — продолжает он. Санин связывает рост числа таких атак с тем, что в России до сих пор не очень широко распространены централизованные системы управления доступом (IDM/IAM). «Да, такие системы постепенно внедряются во все большее число организаций, но зачастую используются как механизмы автоматизации, а не повышения уровня безопасности доступа к данным. Наличие легитимного доступа, гораздо более широкого, чем это необходимо по должности, — сейчас вполне распространенная практика. К тому же все еще не очень широко применяется подход zero-trust, т. е. нулевое доверие», — констатирует он.
Опрошенные Forbes эксперты в целом согласны с данными «Инфосистем Джет». Рост количества инсайдерских атак вызван «растущей социальной напряженностью и отсутствием стабильности», полагает директор департамента inRights ГК «Солар» Дмитрий Бондарь. Люди, по его мнению, начинают сомневаться в своем будущем, в конкретном работодателе, поэтому могут идти на неправильные шаги. Бондарь приводит также цифры из исследований Solar JSOC: так, ущерб от утечки данных и компрометации чувствительной информации составляет для бизнеса в среднем 1,8 млн рублей, компрометация личных данных сотрудников, которая повлияла на деятельность компании, может обойтись в 1,7 млн рублей без учета репутационных рисков. «Последние можно оценить только спустя некоторое время. В среднем в результате утечки компания теряет 5,5 млн рублей. Это только прямые финансовые издержки, без учета репутационных потерь и штрафных санкций», — говорит эксперт.
«Опыт нашего центра мониторинга и реагирования на инциденты подтверждает статистику. В особенности заметен рост числа атак, в которых фигурируют привилегированные учетные записи уже уволившихся сотрудников. Подобные инциденты составляют треть от всех инцидентов в инфраструктуре», — указывает технический директор МТС RED Денис Макрушин. По его наблюдению, не все организации, перешедшие на гибридный формат работы, адаптировали к нему средства защиты и политики управления доступом: «Старый принцип «минимальных привилегий» по-прежнему не соблюдается даже в зрелых компаниях».
Исследование не удивило и гендиректора Security Vision Руслана Рахметова. По его словам, практика показывает, что любое ухудшение экономической ситуации, стресс-факторы и неопределенность толкают работников на злоупотребление полномочиями для нелегальной монетизации информации, предоставленной им по роду служебной деятельности. «Так, сотрудники салонов сотовой связи занимаются «мобильным пробивом», работники банков сообщают злоумышленникам данные о счетах граждан, работники крупных компаний не могут устоять перед попытками их вербовки и предоставляют внутреннюю информацию, свои учетные данные, иногда даже сознательно запускают вирусы-шифровальщики за вознаграждение от злоумышленников», — рассуждает он.
Ведение процесса управления доступом, поддержание правил разграничения доступа к данным и приложениям, аудит текущих привилегий доступа и действий пользователей, а также внедрение, непрерывный анализ событий и тюнинг DLP-систем, решений для контроля действий привилегированных пользователей (Privileged Access Management, PAM), систем для записи действий и контроля сотрудников — дополнительные ресурсоемкие задачи, перечисляет Рахметов: «Они требуют выделения дефицитных ресурсов ИБ- и IT-специалистов, к сожалению, компании на этом часто экономят».