| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
В первой части нашей серии статей о трендах современной информационной безопасности были затронуты темы атак на цепочки поставок (Supply chain attacks) и на третьих лиц (3rd parties attacks), а во второй мы обсуждали атаки на элементы «интернета вещей» и вопросы защиты облачных инфраструктур. В заключительной статье данного цикла речь пойдет о безопасности персональных данных (в т.ч. биометрических), а также о противодействии разнообразным криптовымогателям и нелегальному майнингу криптовалют.
Вопросы обеспечения конфиденциальности персональных данных стали подниматься практически сразу после начала широкого применения средств вычислительной техники для обработки сведений, касающихся физических лиц. Именно поэтому еще в 1981 году была подписана Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Разумеется, с развитием информационных технологий надежная защита личной информации стала необходимым условием для успешной работы как коммерческих, так и государственных структур - ни клиенту интернет-магазина, ни пользователю государственного сервиса не захочется стать жертвой утечки его персональных данных. Высокая социальная значимость обеспечения информационной безопасности персональных данных была и остается драйвером государственных законодательных инициатив - достаточно вспомнить отечественный Федеральный Закон №152 «О персональных данных» от 27.07.2006 г., европейские нормы GDPR (General Data Protection Regulation, Общий регламент по защите персональных данных) или, например, такие региональные нормативные требования, как CCPA (California Consumer Privacy Act, Калифорнийский закон о защите прав потребителей). При этом законодательные нормы непрерывно актуализируются для соответствия изменяющемуся ландшафту киберугроз; например, в России важные дополнения в 152-ФЗ были введены уже несколько раз следующими Федеральными Законами: 261-ФЗ от 25.07.2011 (внесены существенные изменения в базовые постулаты защиты ПДн), 242-ФЗ от 21.07.2014 (введение запрета первичной обработки ПДн за пределами территории РФ) и 519-ФЗ от 30.12.2020 (предъявление новых требований к обработке ПДн, разрешенных субъектом для распространения). Еще одним трендом является постепенное повышение штрафных санкций за нарушение законодательных требований к обработке персональных данных - так, например, по нормам GDPR штраф может составлять до 4% от годового оборота компании.
С точки зрения бизнеса защита персональных данных клиентов и сотрудников является важной задачей не только в контексте соответствия законодательству - сегодня зачастую именно накопленные данные о потребителях представляют собой один из главных нематериальных активов компании, а лояльность сотрудников и клиентов формируется в том числе и мерами, предпринимаемыми компанией для защиты их аккаунтов, личных данных, платежной информации. Еще более важной задачей является защита биометрических персональных данных - биологических, физиологических, поведенческих характеристик человека, используемых для установления личности (идентификации, аутентификации). Биометрия уже широко используется финансовыми организациями для дистанционного получения банковских услуг в рамках российской Единой биометрической системы, которая также позволяет выполнять ряд других юридически значимых действий удаленно, а также в транспортной сфере для обеспечения безопасности, в проектах распознавания пассажиров в аэропортах и бесконтактной оплаты проезда в метрополитене. Коммерческие компании зачастую используют биометрические персональные данные клиентов для подтверждения личности (сканы паспортов или селфи с открытым паспортом в руке), а также для контроля доступа своих сотрудников в помещения (видеонаблюдение, биометрические сканеры отпечатков пальцев). Безопасность биометрических персональных данных может строиться, например, на принципе обработки не исходных физиологических характеристик субъекта (хранение отпечатков пальцев, фотографий лица, образцов походки и фигуры и т.д.), а биометрического шаблона - дескриптора, что можно упрощенно сравнить с вычислением односторонней хеш-функции, значение которой не позволяет восстановить аргумент, т.е. исходные данные.
При этом у биометрических характеристик есть важная особенность - в отличие от классических способов аутентификации (например, паролей) их невозможно легко заменить, что делает вопросы корректной обработки и защиты биометрических персональных данных критичными.
Для защиты персональных данных в современной ИТ-инфраструктуре можно руководствоваться принципами защиты информации на всех этапах её обработки:
1. Хранение данных (англ. Data at rest): защита информации при её хранении на носителях информации может включать в себя использование средств полнодискового шифрования, шифрования баз данных и отдельных файлов, применение средств управления правами доступа, систем управления мобильными устройствами (MDM-платформы), средств контроля за утечками данных (DLP-продукты) и брокеров безопасности облачного доступа (CASB-решения).
2. Передача данных (англ. Data in transit): защита данных при передаче предполагает прежде всего защиту каналов передачи информации, например, с помощью использования протокола TLS, VPN-решений с шифрованием трафика, систем для защиты электронной почты (S/MIME, PGP) и совместной обработки информации (DRM/RMS-решения).
3. Обработка данных (англ. Data in use): защита данных при её обработке может включать в себя разнообразные модели контроля и разграничения доступа (например, на основе ролей, рисков, выполняющихся условий доступа - соответственно Role-based access control, Risk-based access control, Conditional access), решения для управления аккаунтами и контролем доступа (Identity and access management), а также системы управления правами доступа (решения IRM - Information rights management).
Для защиты персональных данных в облачных инфраструктурах, помимо указанных выше принципов, можно также использовать SOAR-решения для автоматизации процессов реагирования на киберинциденты, внедрять сетевую модель доступа с «нулевым доверием» (англ. Zero Trust model), а также использовать криптосистемы с гомоморфным шифрованием. Руководствоваться можно также стандартом ГОСТ Р ИСО/МЭК 27018-2020 «Свод правил по защите персональных данных (ПДн) в публичных облаках, используемых для их обработки», который соответствует международному стандарту ISO/IEC 27018:2019 "Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors".
Защита персональных данных тесно связана с актуальной киберугрозой вирусов-шифровальщиков. Авторы данных вредоносов справедливо полагают, что персональные данные клиентов, сотрудников, партнеров компании представляют особую ценность, и строят свои атаки не только на непосредственном шифровании ИТ-инфраструктуры (включая носители с личными данными), но и на предварительном похищении ценной информации, чтобы затем шантажировать жертву разглашением украденных сведений. Зачастую атакованные компании, с одной стороны, находятся «в тисках» регуляторов, которые могут оштрафовать организацию, узнав об утечке персональных данных, и, с другой стороны, рискуют потерять разгневанных утечкой клиентов. При этом непосредственно приостановка деятельности в результате атаки шифровальщика также приводит к серьезному репутационному ущербу, поскольку данный факт быстро становится достоянием общественности. На данный момент угроза кибератак вирусами-шифровальщиками обсуждается на уровне первых лиц США, где только за последние месяцы произошел ряд громких киберинцидентов, точный ущерб от которых еще только предстоит оценить. При этом вредоносы распространяются, как правило, по модели RaaS (Ransomware-as-a-Service, вирус-вымогатель как сервис), означающей, что с одной киберпреступной группировкой, которая является непосредственным автором вируса и поддерживает всю его инфраструктуру, может по партнерской модели взаимодействовать большое количество хакерских команд поменьше, выплачивая авторам определенный процент от полученного выкупа. На Даркнет-площадках также происходит взаимодействие атакующих и тех, кто продает т.н. «доступы» к взломанным инфраструктурам, т.е. валидные учетные данные к ИТ-системам компаний, полученные в результате фишинговых атак или путем эксплуатации уязвимостей. Там же можно найти и объявления о найме программистов, готовых разрабатывать вредоносное ПО, и объявления о покупке/продаже 0-day эксплойтов, для которых вендоры еще не выпустили патчи, и предложения сервисов «криптования», которые обещают обеспечить защиту от обнаружения антивирусными средствами (т.н. FUD, Fully undetectable) путем шифрования внутренних структур вредоносных модулей.
С технической точки зрения вирусы-шифровальщики ничем не отличаются от обычных, менее разрушительных вирусов: как правило, сначала происходит запуск разведывательного модуля («дроппера») в контексте низкопривилегированного пользователя, например, сотрудника, открывшего пришедший в фишинговом письме файл, или сервисной учетной записи, из-под которой запущен атакованный через уязвимость веб-сервер. Дроппер не детектируется антивирусным ПО, поскольку с формальной точки зрения не выполняет нелегитимных действий - он собирает информацию о системе, в которую попал, например, имя домена, имя учетной записи, характеристики хоста. Далее, если данная инфраструктура интересна для атакующих, дроппер по команде управляющего хакерского C&C-сервера загружает дополнительные модули, которые помогают закрепиться в атакованной системе, повысить привилегии и заразить уже другие хосты в сети. Далее, в случае вируса-вымогателя, происходит поиск интересующей информации по ключевым словам на всех зараженных системах и выгрузка найденных файлов на внешний сервер (либо принадлежащий атакующим, либо на легитимный сервис обмена информацией, например, DropBox). После этого вирус уже выполняет шифрование всех зараженных устройств в сети, зачастую используя легитимные инструменты с использованием заданного атакующим ключа; при этом бывали случаи выполнения необратимого шифрования, когда даже выплаченный выкуп не помогал вернуть данные.
В недавно выпущенном отчете группы исследователей Ransomware Task Force указано, что борьба с атаками вирусов-шифровальшиков должна осуществляться путем выстраивания международной всеобъемлющей стратегии защиты, должной подготовки к атакам и корректному реагированию на них, а также путем разрушения бизнес-модели злоумышленников и снижения их нелегальной выручки. На последнем можно остановиться более подробно: в документе предлагается существенно затруднить злоумышленникам вывод полученного выкупа, контролируя операции в криптовалюте. Действительно, на Даркнет-площадках для взаиморасчетов между покупателями и продавцами нелегальных товаров и услуг широко используется криптовалюта, и, как правило, именно в криптовалюте злоумышленники требуют выкуп у взломанных компаний. После получения криптовалюты её необходимо конвертировать в «фиат», т.е. фиатные валюты - доллары или евро, таким образом легализовывая и обналичивая доходы от противоправной деятельности. По данным ФБР США, после атаки на Colonial Pipeline этому ведомству удалось вернуть почти половину от суммы уплаченного выкупа в 4.4 миллиона долларов в биткоин-эквиваленте - возможно, как раз на этапе вывода и обналичивания средств. Операции покупки и продажи криптовалютой осуществляются либо через криптобиржки, которые поддаются государственному регулированию, либо через крипто-банкоматы, которые также можно контролировать, либо с помощью OTC-трейдинга (Over the counter, буквально «минуя прилавок»), когда продавец - владелец криптовалюты и покупатель договариваются о сделке напрямую. Зарубежное государственное регулирование в финансовой сфере подразумевает такие нормы, как KYC (Know your customer, знай своего покупателя), AML (Anti-money laundering, антиотмывочное законодательство), CFT (Combatting financial of terrorism, противодействие финансированию терроризма). В России аналогичный набор мер сформулирован частично в Федеральном Законе №115 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 г. Злоумышленники же, зная о возможных государственных барьерах, предпринимают ряд контрмер: используют сервисы криптомиксеров, которые позволяют разбить одну криптовалютную транзакцию на множество мелких, осуществить несколько внутренних операций обмена и таким образом скрыть исходное происхождение средств, выполняют операции обмена одних криптовалют на другие, а также стараются использовать криптовалюты для внутренних нелегальных взаиморасчетов, минимизируя необходимость вывода в фиатные деньги. При этом многие злоумышленники знают о возможности отследить транзакции в некоторых криптовалютах: в частности, биткоин не является анонимным средством платежа, поскольку позволяет через blockchain-реестр отследить адреса получателей и отправителей криптовалюты, получить данные о сумме переводов, историю транзакций, объем денежных средств на биткоин-кошельках. Некоторые же анонимные криптовалюты, такие как Monero, Zcash, Dash, предоставляют злоумышленникам больше возможностей по сокрытию нелегальных доходов, однако, требование выкупа в таких криптовалютах затруднено возможностями атакованных компаний приобрести их - внутренние compliance-процедуры и государственное регулирование во многих случаях просто не позволят организациям выполнить операции с ними.
Еще один из векторов атак для получения злоумышленниками нелегальных доходов в криптовалютах - криптомайнинг или cryptojacking, т.е. несанкционированное использование зараженных устройств для генерирования криптовалюты путем выполнения математических операций. В случае, если злоумышленники получили доступ к инфраструктуре атакованной компании, но пока не считают целесообразным проводить атаку с использованием вируса-шифровальщика, они могут скрытно запустить вирус-криптомайнер, который будет генерировать криптовалюту в пользу атакующих. Аналогичным образом можно задействовать и атакованные IoT-устройства, о которых мы говорили в прошлой статье - большое количество зараженных девайсов компенсирует их низкие вычислительные мощности. Некоторое время назад также была популярна атака вида JavaScript Mining, когда в браузере посетителя веб-сайта запускался JavaScript-код, генерировавший Monero - таким образом атакующие частично монетизировали свои успешные атаки на веб-сайты. Однако, в последнее время хакеры все реже прибегают к подобным методам – частично из-за возросшей вычислительной сложности майнинга некоторых криптовалют, частично по причине того, что монетизировать атаку можно проще и быстрее, например, через продажу украденных учетных данных или путем использования устройства для DDoS-атак.
