Каналы утечки информации. Часть 2

Руслан Рахметов, Security Vision

В прошлой статье мы рассказывали про различные каналы утечек информации, разделив их на 2 категории: сетевые и физические. Несмотря на то, что в последние два года утечки с использованием сетей составляют абсолютное большинство (рост с 2021 по 2022 год с 58% до 93% по открытым данным в РФ), мы хотели бы рассказать о других каналах, не вошедших в прошлую часть обзора. Дело в том, что открытые сведения об утечках описывают далеко не все реально произошедшие случаи. Поэтому мы бы хотели рассказать про остальные, даже экзотические каналы утечек чувствительной информации и способы их защиты.

Физические подключения не ограничены использованием заражённых флэш-накопителей: источником утечки может стать открытый порт или интерфейс. Если злоумышленник подключит своё устройство к сети компании через физический порт или сотрудник по ошибке использует неподходящий кабель – появится новый канал утечки.

Защищаясь от подобных атак, компании могут внедрять политики безопасности физического доступа с периодическим мониторингом портов и подключений (например, используя ITAM), системы видеонаблюдения, пентесты и обучение сотрудников.

Хакер может получить доступ к информации и удалённо через слабые пароли. Перебирая их в ручном или автоматическом режиме, злоумышленник может авторизоваться под учётной записью сотрудника с нужными правами. По актуальной статистике, пользователи продолжают использовать простые пароли «123456», «1000000» и «12345zz» и другие, что попросту небезопасно.

Мы уже неоднократно рассказывали про основы кибергигиены, часть из правил которой – создание сложных паролей, хранение их в зашифрованном виде и их регулярные обновления. Рекомендуется также использовать различные пароли к каждому аккаунту. Дополнить эту технику можно внедрением MFA решений и мониторингом неуспешных попыток авторизации при помощи решений классов SIEM или UEBA, в то время как SOAR решения позволят проводить активную блокировку УЗ при возникновении инцидента.

Ошибкой могут стать и действия системных администраторов, которые оставили стандартный пароль на устройстве, например, Wi-Fi роутере, что позволяет нарушителю, находясь в зоне действия сигнала, получить доступ к панели администратора слабозащищённого устройства.

В статьях про выстраивание сетей в компаниях мы уже рассказывали про технологии защиты и центрального администрирования, которые можно использовать для защиты данных.

Сотрудник компании может сохранить доступ к внутренним ресурсам даже после увольнения. Обычно это происходит из-за ошибок в бизнес-процессах, связанных с увольнением: учётную запись могут оставить в активном состоянии, сохранив пароль и права по ролевой модели. В таком случае бывший сотрудник может не только прочитать данные, ставшие для него конфиденциальными, но и удалить целые каталоги с файлами.

Для профилактики подобных утечек необходимо мониторить подозрительные события при помощи систем класса UEBA, выстраивать правильные процессы с завершением жизненного цикла учётной записи при увольнении при помощи AM и управлять списками доступов, например, с применением IDM.

Несанкционированный перехват радиосигналов или электромагнитных импульсов может стать каналом утечки, если злоумышленник будет использовать радиочастотное устройство. Это похоже на перехват телефонного звонка, когда сигнал, который должен был передаваться только между участниками звонка, параллельно отправляется на «прослушку» или полностью перенаправляется (как при переадресации или использовании автоответчика на мобильном телефоне). Для защиты достаточно внедрения шифрования беспроводных сетей, скрытия из общедоступного списка внутренней сети и проведение мониторинга сетевого трафика на предмет наличия аномалий.

Злоумышленник может использовать не только радио, но и звуковые волны. Например, применяя средства ИИ, можно расшифровать запись звука от нажатия клавиш при наборе текста. Например, если во время записи пользователь вводит пароль к внутренней системе, а расшифровка попала в руки хакеру – пароль можно считать скомпрометированным. Похожим способом хакеры могут провести ультразвуковую атаку, которая в первую очередь может воздействовать на устройства с голосовыми помощниками (Алиса от Yandex, Assistant от Google, Siri от Apple и др.).

Утечки информации возможны и с применением тепловизионного осмотра, как при осмотре квартиры в новостройке, только вместо утечки тепла через окна и стыки злоумышленник может отслеживать «горячие» клавиши на банкомате при наборе пин-кода карты, пароль от входа в здание или графический ключ для разблокировки смартфона.

Утечки информации могут быть вызваны техническими ошибками. Например, уязвимость в исходном коде может обеспечить несанкционированный доступ к данным злоумышленнику. Если программист совершил ошибку, специальные решения по анализу исходного кода (статический и динамический сканеры) позволят провести аудит кода, тестирование на проникновение, поиск и устранение ошибок.

Некорректно настроенный веб-сервер может также обеспечить доступ к базе данных. Например, если разработчик допустил ошибку при программировании веб-приложения, открывая уязвимость для SQL-инъекции – её можно закрыть аудитом исходного кода или с применением WAF.

Классический файрвол также может пропускать трафик из внешней сети внутрь, что приводит к утечкам данных, поэтому важно проводить аудит настроек безопасности в NGFW, использовать принцип «необходимый доступ» или «Zero trust» (в зависимости от выбранного подхода).

Угроза утечки может проявить себя при обновлении ПО и ОС из недоверенных источников, а также при установке нелигитимных программ. Защититься от подобных утечек можно при помощи продуктов класса AM, обеспечивающих мониторинг «белых списков» и установку обновлений из внутренних и проверенных репозиториев.

Завершая обзор различных каналов утечек информации, мы хотим сфокусироваться на важном факте – утечки могут быть спровоцированы не только злоумышленниками, но и совершены случайно, без умысла правонарушения и хищения важных данных. Поэтому специализированные средства защиты применяются уже в 30-40% коммерческих компаний.

Утечки данных могут быть вызваны и действиями внутренних сотрудников. Коллеги, обмениваясь файлами, могут нарушить политику защиты коммерческой тайны при передаче внутри компании, а также при передаче за периметр. Защиту могут обеспечить не только DLP решения, но и определение чёткой ролевой модели доступа к данным, проведение регулярного аудита прав и мониторинга трафика внутри периметра и на его границах.

Другие утечки вызваны действиями поставщиков и партнёров. Внешний контрагент компании с доступом к данным может подвергаться атакам хакеров снаружи или случайным ошибкам так же, как и внутренние сотрудники защищаемой компании.

Напоминаем про важность оценки и учёта различных аспектов безопасности в зависимости от специфики организации и потенциальных угроз! Управление киберрисками и качественное моделирование угроз могут стать хорошей основой для обеспечения безопасности.