Руслан Рахметов, Security Vision
Первые несколько десятков лет развития индустрии кибербезопасности характеризовались основным вниманием мер защиты к внешним атакующим - хакерам различной квалификации, конкурентам, сотрудникам спецслужб, к которым в настоящее время добавились хактивисты, APT-группы и организованные киберармии. Постепенно росли уровень цифровизации бизнеса и степень проникновения информационных технологий в типовые рабочие обязанности сотрудников, не являющихся ИТ-специалистами, в результате чего рабочий ПК появился на офисном столе у каждого. Работники перестали «бояться» компьютеров, активно использовали новые технологии на работе и в жизни, а также стали осознавать ценность цифровой информации, с которой они работают. К сотрудникам и руководителям компании добавились работники подрядных и партнерских организаций, аутсорсеры и фрилансеры, которые получают легитимный доступ к корпоративным данным в рамках соответствующих договорных отношений. В данной статье мы расскажем, кто такие сотрудники-инсайдеры, какие бывают типы внутренних нарушителей, какие угрозы они могут реализовать и как управлять данными киберрисками.
Итак, внутренние нарушители (инсайдеры, от англ. insider) - это сотрудники и руководители компании, а также физические лица и работники юридических лиц, которые имеют действующие юридические (договорные) отношения с компанией и обладают санкционированным доступом к ИТ-инфраструктуре компании - например, подрядчики / субподрядчики, поставщики, партнеры, аутсорсеры / аутстафферы, фрилансеры. Данные лица отличаются хорошими знаниями о работе компании и её ценных цифровых активах, имеют или могут получить санкционированный доступ к объектам инфраструктуры и к информации различного уровня конфиденциальности, а также могут препятствовать реализации защитных мер или проведению расследований (внутренних проверок) в отношении нарушителей. По сравнению с внешними нарушителями, инсайдеры сталкиваются с меньшим количеством защитных мер, которые потребуется преодолеть: обходить периметровые средства защиты им не потребуется, внутри корпоративных сетей (особенно в небольших и средних компаниях) разграничение сетевого доступа реализовано, как правило, недостаточно строго, а уровень логического доступа инсайдеров к данным и приложениям может быть относительно легко повышен легитимными или обходными способами (например, путем постепенного повышения уровня доступа якобы для исполнения трудовых обязанностей).
Основные киберугрозы, которые могут реализовать внутренние нарушители, связаны с несанкционированным доступом и использованием информации, а также с оказанием вредоносного воздействия на инфраструктуру. Перечислим некоторые характерные киберугроы, исходящие от инсайдеров:
1. «Пробив» данных клиентов компании: доступ к конфиденциальной информации о клиентах компании с последующей продажей полученной информации заинтересованным лицам, включая т.н. «мобильный пробив» (получение доступа к данным абонентов сотовых операторов) и «банковский пробив» (получение доступа к информации о клиентах банков).
2. Продажа похищенной (скопированной) информации заинтересованным лицам: злоумышленники могут обратиться к сотруднику компании в мессенджере или социальной сети и предложить за вознаграждение поделиться определенными сведениями, скопировать данные, сфотографировать окна программы.
3. Запуск ВПО или выполнение определенных действий за материальное вознаграждение: злоумышленники могут обратиться к сотруднику компании в мессенджере или социальной сети и предложить за вознаграждение запустить определенную программу, которую ему пришлют по email якобы под видом фишинга - скорее всего, это будет вирус-вымогатель, троян удаленного доступа или вирус-шпион.
4. Сотрудник компании, подпавший под влияние определенных структур или лиц, может сознательно и целенаправленно запустить на рабочем ПК разрушительное ВПО (например, вирус-вайпер) или выложить конфиденциальную корпоративную информацию в открытый доступ.
5. Целенаправленное внедрение в компанию: злоумышленник может целенаправленно устроиться в определенную компанию с целью получения доступа к внутренней инфраструктуре, для участия в определенных проектах, для принятия решений в интересах определенных лиц. Постепенно повышая уровень влияния в компании-жертве, продвинутый атакующий со временем будет назначать на ключевые должности «своих» людей, что в дальнейшем может привести к закрытию бизнеса или к изменению структуры владения компанией.
Опасность инсайдеров следует оценивать с точки зрения уровня их мотивации и доступных им компетенций, способов и возможностей для реализации киберугроз, учитывая также уязвимость и привлекательность конкретной компании для злоумышленников. Подобная оценка должна производиться в рамках процесса моделирования нарушителей, который является неотъемлемой частью более общего процесса моделирования (оценки) актуальных киберугроз для компании.
С точки зрения мотивации внутренних нарушителей можно разделить на следующие условные группы:
1. Халатные инсайдеры могут реализовать угрозы ИБ ненамеренно, нарушая правила работы с данными по незнанию, невнимательности или халатности. Примеры: пересылка конфиденциальной информации на личную почту / облачное хранилище для того, чтобы поработать с информацией из дома (при этом личная почта / облако могут быть взломаны, а домашний ПК - заражен ВПО); копирование рабочей информации на личную флешку с дальнейшей её утерей или кражей. Как правило, именно в категорию халатных инсайдеров можно отнести и сотрудничающих с компанией физических и юридических лиц, инциденты с которым чаще всего происходят в силу их невысоких ИБ-компетенций и недостаточных мер защиты.
2. Саботирующие инсайдеры могут нарушить работу бизнес-процессов компании в силу своей нелояльности, в отместку или из-за психологических особенностей. Примеры: недовольный отсутствием премии сотрудник удаляет результаты своей работы с корпоративного файлового сервера; после ссоры с руководством сотрудник публикует чувствительные подробности о работе компании в социальной сети; недовольный оценкой своих компетенций сотрудник внедряет в исходный код разрабатываемого ПО «логическую бомбу», которая через определенное время приводит к стиранию всей информации на сервере.
3. Увольняющиеся инсайдеры могут скопировать себе корпоративную информацию для использования её на новом месте работы. Пример: менеджер по работе с клиентами в последний рабочий день копирует на личную флешку контактную информацию всех клиентов компании перед уходом в конкурирующую фирму.
4. Целенаправленные инсайдеры могут быть специально внедрены внешними атакующими для шпионажа, бизнес-разведки, кибердиверсий, саботажа, захвата бизнеса. Примеры: конкуренты отправляют «разведчика» в соперничающую компанию с задачей собрать максимальное количество конфиденциальной внутренней информации; определенное лицо на конфиденциальной основе сотрудничает с представителем спецслужбы недружественного государства, который даёт задание на трудоустройство в определенную госкомпанию или госорган для сбора информации и оказания влияния на принимаемые решения.
Уровни компетенций инсайдеров можно разделить на следующие условные группы:
1. Низкие компетенции: достаточны для осуществления несанкционированного доступа к защищаемой информации лишь с помощью штатных средств ОС и ПО. Лица с данными компетенциями не имеют навыков обхода защитных решений, могут применять только уже разработанное или сдаваемое в аренду готовое ВПО. Примеры: сотрудник может скопировать файл с конфиденциальной информацией с рабочего ПК на USB-накопитель или переслать его себе на личную почту, при этом не используя методы сокрытия своих действий (например, не помещая файл в архив с паролем); сотрудник по заданию «куратора» запускает на рабочем ПК присланный атакующими вредоносный файл.
2. Средние компетенции: достаточны для осуществления несанкционированного доступа к защищаемой информации с применением малоизвестных штатных служебных функций ОС и ПО и технических особенностей ИТ-инфраструктуры компании. Лица с данными компетенциями имеют представление о функционале защитных решений, могут применять доступные в интернет рекомендации по их обходу и использовать самостоятельно доработанные (кастомизированные) скрипты. Пример: сотрудник, знающий о наличии в компании системы защиты от утечек данных (DLP-решение), перед хищением может поместить конфиденциальный документ в архив с паролем, фотографировать экран ПК, намеренно менять расширения файлов, применять встроенные утилиты ОС для обхода ограничений.
3. Высокие компетенции: достаточны для осуществления несанкционированного доступа к защищаемой информации с использованием различных продвинутых методов, включая исследование работы и обход защитных решений, разработку и применение эксплойтов для повышения привилегий и горизонтального перемещения по сети, разработку и применение скрытного ВПО для кибершпионажа и диверсий. Кроме того, высокими компетенциями должны обладать и целенаправленные инсайдеры, которые внедряются в компанию для осуществления вредоносных действий (саботаж, шпионаж, захват бизнеса) на ключевых и руководящих должностях.
Примеры штатного функционала ОС и особенностей типовой ИТ-инфраструктуры, которые могут быть использованы для хищения информации инсайдерами со средними и высокими компетенциями:
1. Использование Windows-утилиты copy:
copy 1.png /B + 2.txt /A 3.png
где 1.png - не вызывающее подозрений изображение (например, личное фото), 2.txt - текстовый файл с конфиденциальной информацией, 3.png - результат работы утилиты copy по "склейке" двух указанных файлов. При этом файл 3.png будет по-прежнему открываться как изображение, но при открытии файла в текстовом редакторе (например, в Notepad++) в конце файла будет присутствовать содержимое из текстового файла 2.txt.
2. Использование альтернативных потоков данных (англ. Alternate Data Stream, ADS) в Windows:
notepad 1.txt:2.txt
где 1.txt - это видимый штатными средствами ОС текстовый файл, который инсайдер может заполнить незначимой информацией, а 2.txt - это скрытый ADS-файл (присоединенный к файлу 1.txt и невидимый штатным проводником), в котором инсайдер может указать скрываемую конфиденциальную информацию.
3. Изменение структуры docx/xlsx/pptx-файлов: если открыть указанные типы файлов в программе-архиваторе, то можно увидеть внутреннюю структуру документа, состоящую из xml-файлов, объединенных в архив. Добавив в архив скрываемый файл, исходный офисный документ будет по-прежнему открываться (с предупреждением о нарушении структуры), однако будет содержать в себе скрытые данные.
4. Использование функционала макросов для создания скрытых структур данных в документах Microsoft Office.
5. Использование Linux-утилиты "dd" для копирования данных на накопители в "сыром" виде.
6. Запись ISO-образов дисков, создание огромных файлов с мусорными данными для превышения лимита на максимальный размер анализируемого DLP-системой файла, создание архивов с множеством уровней вложенности для обхода проверки DLP-решением.
7. Создание виртуальной машины, копирование конфиденциальной информации в неё, запись образа сохраненной машины на личный накопитель.
8. Применение кодирования для текстовой информации (например, с помощью base64), применение средств шифрования (включая установку паролей на архивы).
9. Использование неконтролируемых каналов передачи информации (например, пересылка файлов по bluetooth на личное устройство, использование дополнительного Wi-Fi-модуля), подключение личного смартфона к рабочему ПК в нестандартных режимах (например, в режиме медиаустройства или в режиме отладки по USB) с последующим копированием конфиденциальной информации.
10. Извлечение жесткого диска из рабочего ПК и подключение к личному устройству.
11. Использование портативных устройств (Flipper Zero, Raspberry Pi, USB Rubber Ducky и т.д.) для несанкционированного физического, сетевого, логического доступа.
Уровни возможностей инсайдеров и соответствующие доступные им способы реализации киберугроз можно разделить на следующие условные группы:
1. Низкие возможности: инсайдеры обладают низким уровнем ресурсного обеспечения, который не позволяет им приобретать коммерческие инструменты для несанкционированного доступа и исследовать системы защиты. Инсайдеры с низкими возможностями используют для несанкционированного доступа штатные инструменты ОС и ПО, а также бесплатные инструменты, находящиеся в открытом доступе, и применяют их спорадически, без дополнительных мер сокрытия, что повышает вероятность успешного выявления вредоносных действий.
2. Средние возможности: инсайдеры обладают средним уровнем ресурсного обеспечения, с которым они могут приобретать коммерческие инструменты и ВПО, дорабатывать готовые эксплойты, исследовать применяемые меры защиты. Попытки реализации киберугроз носят системный характер, применяются меры сокрытия несанкционированных действий, подбираются контекст и подходящее время для атаки.
3. Высокие возможности: инсайдеры обладают высоким уровнем материального и ресурсного обеспечения, что позволяет нанимать коллективы разработчиков, вирусописателей, исследователей защищенности, подкупать других инсайдеров, создавать легальные организации для прикрытия, инвестировать в формирование имиджа и репутации. Попытки реализации киберугроз носят чрезвычайно продуманный характер, могут готовиться в течение нескольких лет, используются методы конспирации и тщательного сокрытия киберопераций.
Кроме того, следует учитывать, что некоторые типы нарушителей могут вступать в сговор с нарушителями других видов. Для анализа возможности сговора можно использовать данные из Приложения №6 к методическому документу «Методика оценки угроз безопасности информации» (утвержден ФСТЭК России 05.02.2021 г.).
В заключение перечислим ряд возможных организационных и технических мер по борьбе с внутренними нарушителями:
1. Юридически грамотное сопровождение процессов кибербезопасности: введение и поддержание режима коммерческой тайны в компании в соответствии с требованиями 98-ФЗ «О коммерческой тайне», составление внутренних нормативных документов в соответствии с требованиями и нормами действующего законодательства, включая ТК РФ (статьи 21, 22, 56), ГК РФ (статьи 1465-1472), УК РФ (статья 183), федеральное законодательство (149-ФЗ, 152-ФЗ, 98-ФЗ).
В локальных нормативных актах (трудовой договор, правила внутреннего трудового распорядка), с которыми персонал ознакамливается под роспись, следует указать, что работодатель применяет технические средства для защиты информации и контроля (мониторинга) рабочих устройств, а работник не вправе использовать рабочие устройства в личных целях. В случаях использования средств видеофиксации для контроля обстановки в офисе и в целях обеспечения кибербезопасности (например, для выявления фактов фотографирования экранов ПК на смартфоны) следует размещать таблички с оповещением о том, что осуществляется фото- и видеосъемка.
Важно также проводить проверку кандидатов перед трудоустройством, в том числе с помощью психофизиологических исследований (добровольная проверка на полиграфе), контролировать психоэмоциональное состояние работников и настроения в коллективах, проактивно выявлять деструктивные намерения сотрудников, проводить регулярные внутрикорпоративные обучения по кибербезопасности.
2. Применение систем видеонаблюдения с автоматической записью, долгосрочным хранением архивов, записью при движении, распознаванием лиц, выявлением нестандартных ситуаций (например, появление посторонних или сотрудников непрофильных подразделений в серверной комнате).
3. Применение систем контроля и управления доступом (СКУД) с четким разграничением уровней доступа в помещения и зоны, отсутствием практики выдачи «карт-вездеходов», контролем за выдачей гостевых пропусков (включая деактивацию пропуска сразу после выхода гостя из здания для исключения использования им скопированной СКУД-карты с помощью устройства Flipper Zero, например). Также целесообразно настраивать корреляционные правила в SIEM-системе для выявления определенных аномалий, например, фактов локальной аутентификации пользователя на рабочем ПК без предварительно зафиксированного факта прохода этого сотрудника в офис по его карте СКУД.
4. Применение классических парадигм кибербезопасности: минимизация и разделение полномочий пользователей, предоставление гранулированных прав доступа к информации, наличие обоснования у сотрудника для получения доступа к информации (англ. need to use, need to know), получение согласования от непосредственного руководителя сотрудника при запросе доступа к информации, включая выстраивание комплексных процедур получения согласования, когда для доступа к данным требуется согласование владельца данных или доступ к критичной информации потребует согласования от сразу нескольких руководителей высокого уровня. Кроме того, важно своевременно отзывать предоставленные права доступа, например, при завершении работ по проекту, при переходе сотрудника в другое подразделение, при увольнении или выходе в декрет.
5. Применение систем автоматизации учета полномочий работников с помощью платформ управления учетными данными (IAM, Identity and Access Management и IGA, Identity Governance and Administration), используемых для аутентификации и авторизации учетных записей пользователей и сущностей с контролем, анализом и возможностью отзыва прав доступа.
6. Применение автоматизированных средств обнаружения аномалий и отклонений в поведении пользователей с помощью модулей поведенческого анализа (UEBA, User and Entity Behavior Analytics), которые позволяют выявлять аномалии в поведении учетных записей пользователей и сущностей (устройств, приложений, сервисов и т.д.) в целях обнаружения киберинцидентов.
7. Использование систем защиты от утечек данных (DLP, Data Loss Prevention) для контроля обработки конфиденциальной информации в информационных системах, включая использование и передачу по различным каналам, с применением политик блокирования или разрешения обработки информации в зависимости от уровня её конфиденциальности.
8. Использование систем мониторинга эффективности сотрудников (Employee Productivity Monitoring) для контроля, учета, анализа действий, выполняемых работниками на корпоративных устройствах, с целью оценки эффективности использования рабочего времени и защиты от утечек данных.
9. Применение систем контроля привилегированных учетных записей (PAM, Privileged Access Management) для контроля и анализа действий, выполняемых привилегированными пользователями (например, администраторами), путем учета предоставленных привилегий, выполненных действий с информационными ресурсами, аутентификации с прохождением дополнительных проверок, записи выполняемых действий.
10. Использование технологий предоставления сетевого доступа с нулевым доверием (ZTNA, Zero Trust Network Access) для предоставления гранулированного и контролируемого сетевого доступа (включая доступ внутри сегментов корпоративной сети) на основании непрерывной проверки прав доступа субъекта (пользователя) к объекту (информационному ресурсу) с проверкой состояния киберзащищенности субъекта и объекта, с комплексными условиями и правилами сетевого доступа.