Инсайдинг

​​Число инсайдерских атак выросло в полтора раза за год

В России выросло число атак инсайдеров — настоящих и бывших сотрудников компаний, использующих служебное положение для кражи и продажи данных. С начала года их стало в 1,5 раза больше, а спрос на добытую ими информацию вырос на 25%, говорится в отчете компании «Инфосистемы Джет». «Известия» выяснили, как и для чего сотрудники вредят российским компаниям и как последним защититься от внутренних «врагов».

Инсайдерские атаки

Как говорится в исследовании, попавшем в редакцию «Известий», объявления о поиске и найме сотрудников компаний популярны в даркнете уже несколько лет. Киберпреступники ищут людей, которые согласятся за деньги сообщать им внутреннюю информацию компании, передавать свои учетные данные или запускать ПО для удаленного доступа в Сеть.

Изучив несколько форумов и Telegram-каналов, аналитики «Инфосистем Джет» отметили растущий спрос на покупку и продажу инсайдерской информации. Подобные объявления составляют около трети всех предложений на теневом рынке.

«Растут и цены на «услуги», но это скорее связано с общей инфляцией. Цены зависят от разных факторов (актуальность и уникальность информации, объем данных) и варьируются от нескольких тысяч рублей до сотен тысяч долларов», — отмечается в документе.

По данным компании, сегодня у двух третьих (70%) российских компаний есть критичные недостатки в процессе управления доступом. Поэтому в большинстве случаев (83%) получить доступ к ценной информации можно даже с правами обычного пользователя, не прибегая к повышению привилегий, то есть это можно сделать даже под «учеткой» рядового сотрудника, чем и пользуются киберпреступники.

— Потенциально инсайдер может причинить репутационный или материальный ущерб, передав засекреченную информацию в третьи руки, — комментирует «Известиям» руководитель пресейл-группы компании R-Vision Степан Корецкий. — Например, такие работники могут раскрыть детали проектов, элементы инфраструктуры или ноу-хау организации. Степень раскрываемой информации зависит от уровня доступа, которым обладает злоумышленник, однако нельзя исключать, что инсайдер может получить данные обманным путем.

Типы инсайдеров

По статистике «Инфосистем Джет», сегодня каждая пятая (19%) утечка данных в компаниях связана именно с внутренними нарушителями. При этом в большинстве (74%) случаев причиной становится человеческий фактор: работники случайно или умышленно вредят своей компании.

В целом эксперты делят инсайдеров на три основных типа. К первому относят тех, кто действует «по незнанию». Например, переходит по вредоносным ссылкам и скачивает зараженные файлы на рабочий компьютер.

«Был случай, когда работница компании отправила на внешний адрес отчеты с закрытой финансовой информацией. При расследовании оказалось, что у нее не было злого умысла, и причиной стала простая невнимательность. Сотрудница не проверила адрес получателя, считая, что отправляет информацию своим коллегам», — объясняется в отчете.

Ко второму типу причисляют «нелояльных» сотрудников, которые хотят причинить компании ущерб (чаще всего из мести руководству, когда они недовольны своей зарплатой или должностью).

«Так, в одной из компаний системный администратор при увольнении изменил пароли на всем оборудовании и серверах, где у него были права. Восстановление доступа заняло огромное количество времени, это привело к простою бизнес-процессов», — рассказывают в «Инфосистемах Джет».

Наконец, к третьему типу отнесли тех инсайдеров, кто нацелен на личную выгоду и хочет заработать. Эти сотрудники могут украсть ценные данные компании для своего бизнеса или третьих лиц, нанявших их за вознаграждение. Самые опасные — те, кто имеет привилегированные права доступа.

По словам специалиста ИБ-компании «Код безопасности» Марии Фесенко, инсайдеры могут предоставлять злоумышленникам доступ к ценной информации, красть ее самостоятельно или даже уничтожать. Такую атаку можно отследить — но только в том случае, если в компании правильно настроены средства защиты. Например, для важных баз данных должно быть установлено расширенное логирование, даже если у пользователя есть легитимный доступ.

Как отмечает эксперт, перечисленные типы атак — наиболее распространенные, но встречается и «технический» вектор, когда инсайдеры загружают в ИТ-инфраструктуру вредоносные файлы, скажем, те же вирусы-шифровальщики.

— В этом способе «пропускается» стандартный этап фишинговой кампании, когда злоумышленникам сначала нужно найти сотрудника, который откроет ссылку с вредоносным файлом, — говорит ИБ-эксперт.

Как работает схема

Как объясняют в «Инфосистемах Джет», в основном все атаки происходят через ряд последовательных этапов «инсайдерской цепочки» (Insider Kill Chain):

– рекрутинг / «переломный» момент,
– разведка и сбор данных,
– реализация атаки,
– сокрытие следов.

На первом этапе сотрудник только собирается совершить незаконные действия внутри компании, например ищет способы продажи данных в даркнете. Обнаружить такие действия сложно, но порой удается. В качестве примера приводится история с работником банка, который согласился выгружать базы клиентов с нужными мошенникам данными. В них содержалась информация о владельце счета, его родственниках, остатке на балансе и последних транзакциях. Уговорить сотрудника на «слив» удалось всего за несколько сообщений.

На втором этапе инсайдер проводит «разведку» — изучает доступные системы в компании, общие файловые ресурсы и папки обмена. Здесь приведенный пример рассказывает о том, как крупный ритейлер заметил странную активность руководителя подразделения, который должен был вскоре уволиться.

«Проверки показали, что он за несколько вечеров сохранил более 18 ГБ информации на свой рабочий стол в папку с названием secret. Все файлы были скопированы из папок на корпоративном сетевом хранилище, к которым для него был открыт доступ. Оказалось, что его предоставили для выполнения краткосрочной задачи, но забыли отозвать после завершения. (…) В итоге служба ИБ удалила информацию, а за работой сотрудника усилили контроль», — говорится в исследовании.

Во время самой атаки (самого важного, третьего, этапа) инсайдер может украсть или повредить важные данные. Затем они «выводятся» через печать документов, внешние накопители, передаются на внешние файловые сервисы или отправляются на почту.

«Системный администратор компании после увольнения воспользовался своей незаблокированной учетной записью. (…). Он нарушил работу серверов, отвечающих за производственную линию и обработку заказов, и удалил файлы, необходимые для их восстановления. В результате было остановлено производство, и компания теряла ежедневно около $100 тыс. до тех пор, пока работу серверов не восстановили», — рассказывают авторы исследования.

Последний этап, сокрытие следов, — это попытка избавиться от доказательств совершенного проступка. Эксперты называют его наиболее легким в отслеживании: пытаясь замести следы, инсайдер может «наследить» еще больше.

«По нашему опыту, работники задумываются о необходимости сокрытия следов лишь в 13% случаев, чаще всего расследования происходят как раз по логам, журналам и оставленным горячим следам», — заключают в «Инфосистемах Джет».

Ущерб от инсайдеров

Несмотря на то что инсайдерские атаки не относятся к массовым, именно они приносят компаниям самый ощутимый и дорогостоящий ущерб, отмечают в ИБ-компании. Из-за них организация может утратить конфиденциальную информацию, понести огромные финансовые потери или испортить свою репутацию после утечки данных, получить судебные иски от партнеров и клиентов.

Самыми известными примерами инсайдерских атак авторы исследования назвали истории с сервисом «Яндекс. Еда» (март 2022 года), Tesla (август 2023 года) и Microsoft (сентябрь 2023 года). В случае с «Яндекс. Едой» произошла утечка информации, в результате которой в Сеть попали данные более 100 тыс. пользователей. В самой компании в случившемся обвинили недобросовестного сотрудника.

Причиной утечки в Tesla назвали двух бывших работников, которые направили 100 Гб информации из внутренних систем компании в СМИ. В базах были имена, адреса, телефоны и номера социального страхования более 75 тыс. человек.

В случае с Microsoft сотрудник выложил в общий доступ 38 ТБ информации, включающей в себя приватные ключи, пароли, резервные копии персональных компьютеров работников Microsoft и более 30 тыс. сообщений из корпоративного мессенджера. Впрочем, это произошло не умышленно, а из-за некорректной конфигурации токена SAS (Shared Access Signature)

Как отмечается в исследовании, чаще всего инсайдерские атаки проходят по вине самих компаний. Большинство руководителей (78%) во время опроса признались, что недостаточно контролировали виновных сотрудников. Еще 62% заявили, что несвоевременно отреагировали на инциденты, а 59% — что выдавали сотрудникам избыточные права.

Почти половина опрошенных (43%) отметила, что не применяла меры усиленного контроля в отношении сотрудников из групп риска (работники, которые скоро уволятся, и работники подрядчика, договор с которым вскоре закончится).

По мнению экспертов, главная проблема остается в том, что системы безопасности часто проектируются в парадигме доверия к людям — сотрудникам, третьим лицам и контрагентам.

«Часто компании не рассматривают внутренних нарушителей всерьез, безоговорочно доверяя своим работникам. А такое доверие предоставляет возможности для злоупотребления», — заключают авторы исследования.

Способы защиты

Говоря об инсайдерах, эксперты обычно имеют в виду людей, которые уже работают в компании и по каким-либо причинам решили ей навредить. Однако бывают случаи, когда человек только устраивается в организацию с подобным умыслом, рассказывает «Известиям» ведущий консультант по информационной безопасности «Инфосистемы Джет» Елена Агеева.

— Выявление рисков такого сотрудничества начинается с приема на работу. Подобная практика внедрена во многих компаниях: проверка документов, поиск данных о соискателе через базы, опрос предыдущих работодателей, — говорит она.

Если человек уже работает, у компании есть много способов защиты — от технических до «гигиенических». К первым ИБ-эксперт Мария Фесенко относит средства защиты, которые фильтруют трафик, контролируют действия с рабочих станций, например, распечатку файлов на принтере, сегментируют доступ к различным частям ИТ-инфраструктуры.

— Сюда же входит запрет на скачивание файлов, отслеживание аномального трафика и всех событий во внутренней сети. Но надо понимать, что все эти средства будут бесполезными, если они не настроены, поэтому первоначально организация должна оценить степень риска кражи тех или иных данных, ценность активов, выстроить предполагаемую модель угроз и исходя из нее установить определенные модули защиты, — объясняет собеседница «Известий».

К «гигиеническим» способам ИБ-эксперт относит обучение сотрудников. Ведь утечки информации нередко случаются по неосторожности, например, при использовании почты или облачных хранилищ. Поэтому работники должны знать, какие данные можно пересылать и какими сервисами разрешено пользоваться.

— Правда, сотрудники могут забыть те или иные правила, поэтому их всегда необходимо дублировать техническими средствами, скажем, запретить пользователю выгружать файлы с рабочего компьютера в публичное «облако», — отмечает Фесенко.

Говоря об администраторах и ИБ-специалистах компании, эксперт напоминает о важности постоянного аудита надежности ИТ-систем, активных и неактивных аккаунтов, уровней доступа различных сотрудников. При этом должен быть контроль и самих администраторов ИБ и ИТ, поскольку они обладают наиболее широкими привилегиями.

В свою очередь главный эксперт «Лаборатории Касперского» Сергей Голованов напоминает, что безопасность в компании — это всегда комплексный процесс. Важно подойти к нему со всех сторон: обеспечить безопасность конечных устройств, предусмотреть решения для защиты от сложных угроз, внедрить политики предоставления доступов и постоянно мониторить процессы внутри организации.

Мария Фролова, Известия