November 16, 2018

Самые популярные способы кражи корпоративных данных: как защитить свою компанию

Андрей Кузнецов, исполнительный директор и сооснователь платформы корпоративных коммуникаций dialog, назвал популярные способы взлома и кражи корпоративных данных и объяснил, как компании могут защититься от действий хакеров.

Киберугрозы стали частью повседневных рисков для любого бизнеса – так же, как и падение спроса или происки конкурентов, их нужно принимать во внимание всем компаниям без исключения.

Действия хакеров в 2017 году в мире в среднем обошлись каждой крупной корпорации в $1,3 миллиона, а субъектам малого и среднего бизнеса – в $117 тысяч. Этот год должен стать рекордным: общемировые потери, согласно прогнозам, достигнут $1 триллиона.

Рассмотрим наиболее популярные векторы атак и способы минимизации рисков.

Трояны-шифровальщики

Прошлый год был богат на кибератаки с использованием троянов-шифровальщиков – вредоносных программ, которые, попадая на корпоративные компьютеры, зашифровывали их содержимое и требовали выкуп за восстановление данных. Больше всего нашумели WannaCry и вариации вируса Petya, которые поразили множество корпораций по всему миру, включая российские «Мегафон» и «Роснефть», а также Mars, NIVEA, правительственные компьютеры и торговые сети Украины. Глобальный ущерб от первого составил 8 миллиардов долларов, второго – 850 миллионов долларов.

Шифровальщики попадают в систему различными способами. Вирус Petya использовал разные векторы атак, в том числе ту же уязвимость в Windows, что и WannaCry (закрыта в обновлении безопасности от 14 марта 2017), которая позволяла подключаться к системе удаленно.

Другие пользуются стандартными методами – попадают в компьютер через электронную почту или маскируются под уведомление системы об обновлениях. Именно так поступил BadRabbit, когда в прошлом году атаковал российские СМИ, включая «Интерфакс» и «Фонтанку», а также киевское метро и одесский аэропорт. Вирус проник в систему под видом обновления одного из продуктов Adobe, который устанавливали сами сотрудники.

Несмотря на то, что создатели всех шифровальщиков требовали выкуп в биткоинах, в большинстве случаев выплата оного не приводила к желаемому результату. Так, разбор вирусов Petya/ExPetr/NotPetya показал, что дешифровка данных была изначально невозможна, то есть вирус запускался чисто с деструктивными намерениями (или, по одной из версий – влияния на курс биткоина с целью его повышения).

Как бороться?

Бороться с шифровальщиком после того, как он попал в систему, практически невозможно, можно только постараться предотвратить заражение корпоративной сети. Самая очевидная мера – это использование надежных антивирусов на корпоративных компьютерах, своевременная установка всех выпускаемых обновлений ПО и настройки корпоративных устройств, уменьшающие влияние человеческого фактора. К неочевидным, но очень важным, относится обучение сотрудников, в частности, на предмет того, как распознавать признаки кибератак. Тактика действий персонала при этом должна быть отработана соответствующими тренингами или даже сознательными провокациями.

И, конечно же, нужно обеспечивать своевременное резервное копирование данных, а в некоторых случаях уместно использование надежных облачных сервисов. Также в некоторых случаях не будет лишним ограничить доступ в интернет компьютеров с бухгалтерией и другими критичными корпоративными системами.

Кейлоггеры и другие трояны

Кейлоггеры – особый вид троянов, которые считывают информацию, вводимую с клавиатуры. Кейлоггер способен украсть пароли, данные банковских карт, конфиденциальные сведения, относящиеся к коммерческой тайне и другую важную информацию.

Заражение этим видом вируса, как впрочем и любым трояном, происходит через почту, торренты, мессенджеры, уязвимости операционной системы или программ – любые каналы, посредством которых сотрудник компании может запустить спрятанный вредоносный код, а также через внешний накопитель.

Кстати, именно таким образом одиозный вирус Stuxnet, созданный, вероятнее всего, спецслужбами США и Израиля, добрался до адресата – Иранской ядерной станции, заразив по пути сотни тысяч компьютеров и став оружием для шпионажа во многих странах мира. Этот троян вошел в историю благодаря новому принципу действия – физическому разрушению инфраструктуры. В Иране вирус повредил тысячу центрифуг для обогащения урана, нанеся колоссальный ущерб Иранской ядерной программе.

Как бороться?

Поскольку трояны проникают в систему различными путями, меры безопасности должны быть комплексными: антивирусные программы, сетевые фильтры, обучение сотрудников и в целом проработанная и последовательная политика безопасности, которая включает в себя использование адаптированных для работы в корпоративной среде программных и аппаратных продуктов (специальных мессенджеров, лицензированных операционных систем, сетевого оборудования).

В каждой организации конфигурация систем безопасности должна создаваться, исходя из ее профиля и сферы деятельности. Приведу пример из личного опыта. Мне довелось работать в одной из структур Роскосмоса – ФГУП НПЦАП им. Пилюгина, которая занимается разработкой автономных систем управления для ракетно-космической техники.

С учетом особых требований безопасности в нашем отделе были установлены только сертифицированные компьютеры российской сборки без единого USB-порта. Таким образом, сотрудники были лишены возможности принести на работу и присоединить к ПК зараженную флешку.

И, хотя в эти компьютеры было возможно поставить дисковый накопитель, автозапуск программ, через который обычно и происходит заражение, был отключен.

Подобным же образом каждая организация, будь то корпорация или государственная структура, должна проанализировать свои потоки данных, найти в них «слабые звенья» и исключить атаки на них.

Кража корпоративных данных с облака

С принятием нового закона в США, который получил известность как CLOUD Act, американские спецслужбы имеют прямой доступ (без ордера) к пользовательским данным популярных сервисов таких компаний, как Microsoft, Apple, Google вне зависимости от того, где физически расположены данные (ранее, например, в Microsoft хранили данные пользователей в Ирландии, что позволяло не раскрывать их американским спецслужбам).

Принятие акта означает, что о сохранности коммерческих данных на Google Drive, iCloud и OneDrive, Dropbox речи не идет.

Более того, лидеры рынка не просто поддержали новый закон, но и оставили за собой право делиться пользовательскими данными со спецслужбами других стран, что фактически означает неопределенный круг лиц и ведомств, речь уже идет не просто о доверии монополистам и спецслужбам одной конкретной страны.

Существует еще одна уязвимость, о которой долгое время не было известно широкой общественности. Буквально на днях Bloombergопубликовал статью, где говорится о серьезном упущении в системах безопасности ведущих ИТ-гигантов. Выяснилось, что в микросхемах для облачной инфраструктуры, выпускаемых компанией-монополистом Supermicro, интегрирован шпионский микрочип. Устройство размером с рисовое зернышко позволяет получать доступ к данным любой системы, где использована микросхема, включая, по некоторым данным, сервера Apple и Amazon. К слову, Amazon обнаружил «шпиона» еще три года назад. Все это время устройство изучалось и тестировалось спецслужбами, и только на днях результаты были обнародованы. Выяснилось, что микрочип был произведен в Китае.

Как бороться?

Иными словами, бизнес сегодня должен осторожнее относиться к хранению данных на облачных сервисах и тщательно выбирать IT-продукты. Какие есть варианты? Использовать облачные сервисы вроде Box, которые позволяют хранить в облаке данные, защищенные сквозным шифрованием, но систему генерации ключей размещают на инфраструктуре, контролируемой клиентом. Кому-то нужно автономное решение: например, специально разработанный под корпоративные нужды мессенджер dialog, размещаемый на инфраструктуру компании, а не в облако, исключая таким образом вопрос доверия облачному провайдеру в принципе – данные находятся под контролем компании и никого больше.

Утечка данных через сотрудников

Кража корпоративных данных может произойти и с физического носителя – например, устройства на базе Android одного из сотрудников. Все, что нужно – это вытащить внутренний накопитель памяти и скопировать из него все файлы которые были посланы, к примеру, через вроде бы защищенный сквозным шифрованием мессенджер. Во многих случаях для копирования памяти достаточно и просто подключить телефон к компьютеру по USB и запустить специальное средство разработки под Android.

Один из самых опасных векторов атаки на личные устройства сотрудников корпораций – перехват авторизации с помощью пресловутой уязвимости SS7. Она позволяет злоумышленнику перехватить SMS с кодом авторизации и захватить контроль над аккаунтом, например, в мессенджере или банк-клиенте. В последнее время участились кибератаки на банковские аккаунты, когда логин и пароль к личному кабинету хакеры выясняли с помощью фишинга, а затем перехватывали SMS c одноразовым кодом для входа в систему. Специалисты компании Positive Technologies доказали всему миру, что любая авторизация, использующая передачу кодов или паролей по SMS, является крайне ненадежной, демонстративно хакнув биткоин-кошелек произвольного пользователя.

К слову, о фишинге. Этот тип кибератаки заключается в маскировке под реальные сайты и приложения, где предлагается ввести конфиденциальные данные. Очень часто ссылки на фальшивые страницы (якобы от банков или соцсетей) с просьбой авторизоваться приходят на email или в мессенджеры.

Еще один возможный канал утечки данных через личные девайсы сотрудников – популярные мессенджеры Они совсем не безопасны, несмотря на декларируемое сквозное шифрование. Архив сообщений того же WhatsApp, например, хранится в iCloud или Google Drive в открытом виде, что, согласно Cloud act, делает их доступным для широкого круга лиц. Да и само шифрование имеет смысл только тогда, когда пользователя в режиме реального времени уведомляют о смене ключа собеседника (что является симптомом атаки “man in the middle”), а эта функция выключена в WhatsApp по умолчанию (проверьте: настройки-профиль-безопасность). И это далеко не последняя уязвимость: к примеру, протокол групповых чатов в мессенджере устроен так, что сервер WhatsApp может добавить нового участника по своей инициативе. А совсем недавно было объявлено об уязвимости, которая позволяет получить полный контроль над приложением простым видеозвонком со специально сформированным пакетом в видеопотоке.

WhatsApp – не единственный мессенджер, который не может гарантировать приватность. Например, Telegram только на днях закрыл уязвимость, которая давала возможность Apple (при том, что обновления от Apple позволяли сделать это гораздо раньше) и связанным с ней спецслужбам получать доступ к сообщениям пользователей в процессе доставки push-уведомлений на iPhone.

Помимо всего прочего, не стоит забывать, что абсолютно любой массовый мессенджер может быть легко использован для элементарного обмана: подставному лицу, чтобы выдать себя за коллегу сотрудника какой-либо компании, достаточно зарегистрировать аккаунт с соответствующими ФИО и фотографией.

Как бороться?

Что можно сделать? Некоторые поступают радикально – запрещают мессенджеры и смс на корпоративных устройствах, как это сделалDeutsche Bank. Исследование ProcessOne говорит о том, что три четверти компаний UK готовы пойти по этому пути. Но далеко не каждая компания может позволить закупать и обслуживать корпоративные мобильные устройства для каждого сотрудника.

В качестве альтернативы можно использовать решение, подобное AirWatch Container – оно запускает приложения в защищенном «контейнере», который изолирует приложения от недоверенного окружения и шифрует хранилище вне зависимости от настроек операционной системы. Поддержка этого решения имеется у зрелых корпоративных решений, и dialog – не исключение.

Существует также универсальный совет для всех и каждого, который применим и в корпоративных коммуникациях – использовать в мессенджерах двухфакторную авторизацию. Это несколько снизит риски, но не исключит их полностью.

Именно поэтому мы пошли дальше, разрабатывая дополнительные факторы авторизации, – биометрические, по голосу и лицу.

Что касается утечки учетных данных через фишинг, то в борьбе с ним по-прежнему актуальны антивирусы и корпоративные фильтры, но прежде всего – обучение сотрудников кибергигиене. Конечно, современные почтовые клиенты умеют распознавать подозрительную активность, но надеяться на этот механизм не стоит, профессиональные хакеры всегда находят способы их обойти.

В качестве заключения хотелось бы донести один малоприятный, но зато объективный факт: абсолютной кибербезопасности не существует. Рисков много, и все, что мы можем и должны сделать, – это минимизировать их. Основа борьбы с любыми атаками – это не только надежное регулярно обновляемое ПО, защищенные корпоративные сети политики безопасности, но и последовательная работа по повышению компьютерной грамотности сотрудников.

Источник