SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут

Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
15.07.2024

Руслан Рахметов, Security Vision


Первые несколько десятков лет развития индустрии кибербезопасности характеризовались основным вниманием мер защиты к внешним атакующим - хакерам различной квалификации, конкурентам, сотрудникам спецслужб, к которым в настоящее время добавились хактивисты, APT-группы и организованные киберармии. Постепенно росли уровень цифровизации бизнеса и степень проникновения информационных технологий в типовые рабочие обязанности сотрудников, не являющихся ИТ-специалистами, в результате чего рабочий ПК появился на офисном столе у каждого. Работники перестали «бояться» компьютеров, активно использовали новые технологии на работе и в жизни, а также стали осознавать ценность цифровой информации, с которой они работают. К сотрудникам и руководителям компании добавились работники подрядных и партнерских организаций, аутсорсеры и фрилансеры, которые получают легитимный доступ к корпоративным данным в рамках соответствующих договорных отношений. В данной статье мы расскажем, кто такие сотрудники-инсайдеры, какие бывают типы внутренних нарушителей, какие угрозы они могут реализовать и как управлять данными киберрисками.

 

Итак, внутренние нарушители (инсайдеры, от англ. insider) - это сотрудники и руководители компании, а также физические лица и работники юридических лиц, которые имеют действующие юридические (договорные) отношения с компанией и обладают санкционированным доступом к ИТ-инфраструктуре компании - например, подрядчики / субподрядчики, поставщики, партнеры, аутсорсеры / аутстафферы, фрилансеры. Данные лица отличаются хорошими знаниями о работе компании и её ценных цифровых активах, имеют или могут получить санкционированный доступ к объектам инфраструктуры и к информации различного уровня конфиденциальности, а также могут препятствовать реализации защитных мер или проведению расследований (внутренних проверок) в отношении нарушителей. По сравнению с внешними нарушителями, инсайдеры сталкиваются с меньшим количеством защитных мер, которые потребуется преодолеть: обходить периметровые средства защиты им не потребуется, внутри корпоративных сетей (особенно в небольших и средних компаниях) разграничение сетевого доступа реализовано, как правило, недостаточно строго, а уровень логического доступа инсайдеров к данным и приложениям может быть относительно легко повышен легитимными или обходными способами (например, путем постепенного повышения уровня доступа якобы для исполнения трудовых обязанностей).

 

Основные киберугрозы, которые могут реализовать внутренние нарушители, связаны с несанкционированным доступом и использованием информации, а также с оказанием вредоносного воздействия на инфраструктуру. Перечислим некоторые характерные киберугроы, исходящие от инсайдеров:


1. «Пробив» данных клиентов компании: доступ к конфиденциальной информации о клиентах компании с последующей продажей полученной информации заинтересованным лицам, включая т.н. «мобильный пробив» (получение доступа к данным абонентов сотовых операторов) и «банковский пробив» (получение доступа к информации о клиентах банков).


2. Продажа похищенной (скопированной) информации заинтересованным лицам: злоумышленники могут обратиться к сотруднику компании в мессенджере или социальной сети и предложить за вознаграждение поделиться определенными сведениями, скопировать данные, сфотографировать окна программы.


3. Запуск ВПО или выполнение определенных действий за материальное вознаграждение: злоумышленники могут обратиться к сотруднику компании в мессенджере или социальной сети и предложить за вознаграждение запустить определенную программу, которую ему пришлют по email якобы под видом фишинга - скорее всего, это будет вирус-вымогатель, троян удаленного доступа или вирус-шпион.


4. Сотрудник компании, подпавший под влияние определенных структур или лиц, может сознательно и целенаправленно запустить на рабочем ПК разрушительное ВПО (например, вирус-вайпер) или выложить конфиденциальную корпоративную информацию в открытый доступ.


5. Целенаправленное внедрение в компанию: злоумышленник может целенаправленно устроиться в определенную компанию с целью получения доступа к внутренней инфраструктуре, для участия в определенных проектах, для принятия решений в интересах определенных лиц. Постепенно повышая уровень влияния в компании-жертве, продвинутый атакующий со временем будет назначать на ключевые должности «своих» людей, что в дальнейшем может привести к закрытию бизнеса или к изменению структуры владения компанией.

 

Опасность инсайдеров следует оценивать с точки зрения уровня их мотивации и доступных им компетенций, способов и возможностей для реализации киберугроз, учитывая также уязвимость и привлекательность конкретной компании для злоумышленников. Подобная оценка должна производиться в рамках процесса моделирования нарушителей, который является неотъемлемой частью более общего процесса моделирования (оценки) актуальных киберугроз для компании.

 

С точки зрения мотивации внутренних нарушителей можно разделить на следующие условные группы:


1. Халатные инсайдеры могут реализовать угрозы ИБ ненамеренно, нарушая правила работы с данными по незнанию, невнимательности или халатности. Примеры: пересылка конфиденциальной информации на личную почту / облачное хранилище для того, чтобы поработать с информацией из дома (при этом личная почта / облако могут быть взломаны, а домашний ПК - заражен ВПО); копирование рабочей информации на личную флешку с дальнейшей её утерей или кражей. Как правило, именно в категорию халатных инсайдеров можно отнести и сотрудничающих с компанией физических и юридических лиц, инциденты с которым чаще всего происходят в силу их невысоких ИБ-компетенций и недостаточных мер защиты.


2. Саботирующие инсайдеры могут нарушить работу бизнес-процессов компании в силу своей нелояльности, в отместку или из-за психологических особенностей. Примеры: недовольный отсутствием премии сотрудник удаляет результаты своей работы с корпоративного файлового сервера; после ссоры с руководством сотрудник публикует чувствительные подробности о работе компании в социальной сети; недовольный оценкой своих компетенций сотрудник внедряет в исходный код разрабатываемого ПО «логическую бомбу», которая через определенное время приводит к стиранию всей информации на сервере.


3. Увольняющиеся инсайдеры могут скопировать себе корпоративную информацию для использования её на новом месте работы. Пример: менеджер по работе с клиентами в последний рабочий день копирует на личную флешку контактную информацию всех клиентов компании перед уходом в конкурирующую фирму.


4. Целенаправленные инсайдеры могут быть специально внедрены внешними атакующими для шпионажа, бизнес-разведки, кибердиверсий, саботажа, захвата бизнеса. Примеры: конкуренты отправляют «разведчика» в соперничающую компанию с задачей собрать максимальное количество конфиденциальной внутренней информации; определенное лицо на конфиденциальной основе сотрудничает с представителем спецслужбы недружественного государства, который даёт задание на трудоустройство в определенную госкомпанию или госорган для сбора информации и оказания влияния на принимаемые решения.

 

Уровни компетенций инсайдеров можно разделить на следующие условные группы:


1. Низкие компетенции: достаточны для осуществления несанкционированного доступа к защищаемой информации лишь с помощью штатных средств ОС и ПО. Лица с данными компетенциями не имеют навыков обхода защитных решений, могут применять только уже разработанное или сдаваемое в аренду готовое ВПО. Примеры: сотрудник может скопировать файл с конфиденциальной информацией с рабочего ПК на USB-накопитель или переслать его себе на личную почту, при этом не используя методы сокрытия своих действий (например, не помещая файл в архив с паролем); сотрудник по заданию «куратора» запускает на рабочем ПК присланный атакующими вредоносный файл.


2. Средние компетенции: достаточны для осуществления несанкционированного доступа к защищаемой информации с применением малоизвестных штатных служебных функций ОС и ПО и технических особенностей ИТ-инфраструктуры компании. Лица с данными компетенциями имеют представление о функционале защитных решений, могут применять доступные в интернет рекомендации по их обходу и использовать самостоятельно доработанные (кастомизированные) скрипты. Пример: сотрудник, знающий о наличии в компании системы защиты от утечек данных (DLP-решение), перед хищением может поместить конфиденциальный документ в архив с паролем, фотографировать экран ПК, намеренно менять расширения файлов, применять встроенные утилиты ОС для обхода ограничений.


3. Высокие компетенции: достаточны для осуществления несанкционированного доступа к защищаемой информации с использованием различных продвинутых методов, включая исследование работы и обход защитных решений, разработку и применение эксплойтов для повышения привилегий и горизонтального перемещения по сети, разработку и применение скрытного ВПО для кибершпионажа и диверсий. Кроме того, высокими компетенциями должны обладать и целенаправленные инсайдеры, которые внедряются в компанию для осуществления вредоносных действий (саботаж, шпионаж, захват бизнеса) на ключевых и руководящих должностях.

 

Примеры штатного функционала ОС и особенностей типовой ИТ-инфраструктуры, которые могут быть использованы для хищения информации инсайдерами со средними и высокими компетенциями:


1. Использование Windows-утилиты copy:

copy 1.png /B + 2.txt /A 3.png

где 1.png - не вызывающее подозрений изображение (например, личное фото), 2.txt - текстовый файл с конфиденциальной информацией, 3.png - результат работы утилиты copy по "склейке" двух указанных файлов. При этом файл 3.png будет по-прежнему открываться как изображение, но при открытии файла в текстовом редакторе (например, в Notepad++) в конце файла будет присутствовать содержимое из текстового файла 2.txt.


2. Использование альтернативных потоков данных (англ. Alternate Data Stream, ADS) в Windows:

notepad 1.txt:2.txt

где 1.txt - это видимый штатными средствами ОС текстовый файл, который инсайдер может заполнить незначимой информацией, а 2.txt - это скрытый ADS-файл (присоединенный к файлу 1.txt и невидимый штатным проводником), в котором инсайдер может указать скрываемую конфиденциальную информацию.


3. Изменение структуры docx/xlsx/pptx-файлов: если открыть указанные типы файлов в программе-архиваторе, то можно увидеть внутреннюю структуру документа, состоящую из xml-файлов, объединенных в архив. Добавив в архив скрываемый файл, исходный офисный документ будет по-прежнему открываться (с предупреждением о нарушении структуры), однако будет содержать в себе скрытые данные.


4. Использование функционала макросов для создания скрытых структур данных в документах Microsoft Office.


5. Использование Linux-утилиты "dd" для копирования данных на накопители в "сыром" виде.


6. Запись ISO-образов дисков, создание огромных файлов с мусорными данными для превышения лимита на максимальный размер анализируемого DLP-системой файла, создание архивов с множеством уровней вложенности для обхода проверки DLP-решением.


7. Создание виртуальной машины, копирование конфиденциальной информации в неё, запись образа сохраненной машины на личный накопитель.


8. Применение кодирования для текстовой информации (например, с помощью base64), применение средств шифрования (включая установку паролей на архивы).


9. Использование неконтролируемых каналов передачи информации (например, пересылка файлов по bluetooth на личное устройство, использование дополнительного Wi-Fi-модуля), подключение личного смартфона к рабочему ПК в нестандартных режимах (например, в режиме медиаустройства или в режиме отладки по USB) с последующим копированием конфиденциальной информации.


10. Извлечение жесткого диска из рабочего ПК и подключение к личному устройству.


11. Использование портативных устройств (Flipper Zero, Raspberry Pi, USB Rubber Ducky и т.д.) для несанкционированного физического, сетевого, логического доступа.

 

Уровни возможностей инсайдеров и соответствующие доступные им способы реализации киберугроз можно разделить на следующие условные группы:


1. Низкие возможности: инсайдеры обладают низким уровнем ресурсного обеспечения, который не позволяет им приобретать коммерческие инструменты для несанкционированного доступа и исследовать системы защиты. Инсайдеры с низкими возможностями используют для несанкционированного доступа штатные инструменты ОС и ПО, а также бесплатные инструменты, находящиеся в открытом доступе, и применяют их спорадически, без дополнительных мер сокрытия, что повышает вероятность успешного выявления вредоносных действий.


2. Средние возможности: инсайдеры обладают средним уровнем ресурсного обеспечения, с которым они могут приобретать коммерческие инструменты и ВПО, дорабатывать готовые эксплойты, исследовать применяемые меры защиты. Попытки реализации киберугроз носят системный характер, применяются меры сокрытия несанкционированных действий, подбираются контекст и подходящее время для атаки.


3. Высокие возможности: инсайдеры обладают высоким уровнем материального и ресурсного обеспечения, что позволяет нанимать коллективы разработчиков, вирусописателей, исследователей защищенности, подкупать других инсайдеров, создавать легальные организации для прикрытия, инвестировать в формирование имиджа и репутации. Попытки реализации киберугроз носят чрезвычайно продуманный характер, могут готовиться в течение нескольких лет, используются методы конспирации и тщательного сокрытия киберопераций.

 

Кроме того, следует учитывать, что некоторые типы нарушителей могут вступать в сговор с нарушителями других видов. Для анализа возможности сговора можно использовать данные из Приложения №6 к методическому документу «Методика оценки угроз безопасности информации» (утвержден ФСТЭК России 05.02.2021 г.).

 

В заключение перечислим ряд возможных организационных и технических мер по борьбе с внутренними нарушителями:


1. Юридически грамотное сопровождение процессов кибербезопасности: введение и поддержание режима коммерческой тайны в компании в соответствии с требованиями 98-ФЗ «О коммерческой тайне», составление внутренних нормативных документов в соответствии с требованиями и нормами действующего законодательства, включая ТК РФ (статьи 21, 22, 56), ГК РФ (статьи 1465-1472), УК РФ (статья 183), федеральное законодательство (149-ФЗ, 152-ФЗ, 98-ФЗ).


В локальных нормативных актах (трудовой договор, правила внутреннего трудового распорядка), с которыми персонал ознакамливается под роспись, следует указать, что работодатель применяет технические средства для защиты информации и контроля (мониторинга) рабочих устройств, а работник не вправе использовать рабочие устройства в личных целях. В случаях использования средств видеофиксации для контроля обстановки в офисе и в целях обеспечения кибербезопасности (например, для выявления фактов фотографирования экранов ПК на смартфоны) следует размещать таблички с оповещением о том, что осуществляется фото- и видеосъемка.


Важно также проводить проверку кандидатов перед трудоустройством, в том числе с помощью психофизиологических исследований (добровольная проверка на полиграфе), контролировать психоэмоциональное состояние работников и настроения в коллективах, проактивно выявлять деструктивные намерения сотрудников, проводить регулярные внутрикорпоративные обучения по кибербезопасности.


2. Применение систем видеонаблюдения с автоматической записью, долгосрочным хранением архивов, записью при движении, распознаванием лиц, выявлением нестандартных ситуаций (например, появление посторонних или сотрудников непрофильных подразделений в серверной комнате).


3. Применение систем контроля и управления доступом (СКУД) с четким разграничением уровней доступа в помещения и зоны, отсутствием практики выдачи «карт-вездеходов», контролем за выдачей гостевых пропусков (включая деактивацию пропуска сразу после выхода гостя из здания для исключения использования им скопированной СКУД-карты с помощью устройства Flipper Zero, например). Также целесообразно настраивать корреляционные правила в SIEM-системе для выявления определенных аномалий, например, фактов локальной аутентификации пользователя на рабочем ПК без предварительно зафиксированного факта прохода этого сотрудника в офис по его карте СКУД.


4. Применение классических парадигм кибербезопасности: минимизация и разделение полномочий пользователей, предоставление гранулированных прав доступа к информации, наличие обоснования у сотрудника для получения доступа к информации (англ. need to use, need to know), получение согласования от непосредственного руководителя сотрудника при запросе доступа к информации, включая выстраивание комплексных процедур получения согласования, когда для доступа к данным требуется согласование владельца данных или доступ к критичной информации потребует согласования от сразу нескольких руководителей высокого уровня. Кроме того, важно своевременно отзывать предоставленные права доступа, например, при завершении работ по проекту, при переходе сотрудника в другое подразделение, при увольнении или выходе в декрет.


5. Применение систем автоматизации учета полномочий работников с помощью платформ управления учетными данными (IAM, Identity and Access Management и IGA, Identity Governance and Administration), используемых для аутентификации и авторизации учетных записей пользователей и сущностей с контролем, анализом и возможностью отзыва прав доступа.


6. Применение автоматизированных средств обнаружения аномалий и отклонений в поведении пользователей с помощью модулей поведенческого анализа (UEBA, User and Entity Behavior Analytics), которые позволяют выявлять аномалии в поведении учетных записей пользователей и сущностей (устройств, приложений, сервисов и т.д.) в целях обнаружения киберинцидентов.


7. Использование систем защиты от утечек данных (DLP, Data Loss Prevention) для контроля обработки конфиденциальной информации в информационных системах, включая использование и передачу по различным каналам, с применением политик блокирования или разрешения обработки информации в зависимости от уровня её конфиденциальности.


8. Использование систем мониторинга эффективности сотрудников (Employee Productivity Monitoring) для контроля, учета, анализа действий, выполняемых работниками на корпоративных устройствах, с целью оценки эффективности использования рабочего времени и защиты от утечек данных.


9. Применение систем контроля привилегированных учетных записей (PAM, Privileged Access Management) для контроля и анализа действий, выполняемых привилегированными пользователями (например, администраторами), путем учета предоставленных привилегий, выполненных действий с информационными ресурсами, аутентификации с прохождением дополнительных проверок, записи выполняемых действий.


10. Использование технологий предоставления сетевого доступа с нулевым доверием (ZTNA, Zero Trust Network Access) для предоставления гранулированного и контролируемого сетевого доступа (включая доступ внутри сегментов корпоративной сети) на основании непрерывной проверки прав доступа субъекта (пользователя) к объекту (информационному ресурсу) с проверкой состояния киберзащищенности субъекта и объекта, с комплексными условиями и правилами сетевого доступа.

ИБ для начинающих Практика ИБ SIEM DLP

Похожие статьи

Математическое моделирование рисков: шаманство или кибернетика?
Математическое моделирование рисков: шаманство или кибернетика?
Как устроены вредоносные программы
Как устроены вредоносные программы
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Управление ИТ-активами
Управление ИТ-активами
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Процессы ИТ и ИБ
Процессы ИТ и ИБ

Похожие статьи

Математическое моделирование рисков: шаманство или кибернетика?
Математическое моделирование рисков: шаманство или кибернетика?
Как устроены вредоносные программы
Как устроены вредоносные программы
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Мобильные угрозы, способы их выявления и предотвращения: как узнать, есть ли в телефоне вирус, и удалить его
Управление ИТ-активами
Управление ИТ-активами
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Разумный комплаенс как способ избежать когнитивных искажений при построении СМИБ
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Процессы ИТ и ИБ
Процессы ИТ и ИБ