Знай своего врага: как подготовиться и ответить на внутренние угрозы

Когда дело доходит до киберзащиты, организациям следует обращать внимание на многие цифровые риски, не последним из которых является внутренняя угроза. Недавние исследования показали, что большинство инцидентов, связанных с вредоносным ПО, фишингом или небезопасным просмотром, происходят по вине небольшой группы сотрудников, и эти лица, как правило, совершают повторные правонарушения.

Исследование показало, что 4% сотрудников переходили по 80% фишинговых ссылок. 3% несут ответственность за 92% событий вредоносного ПО. При этом 96% сотрудников никогда не сталкивались с инцидентами, связанными с вредоносными программами. Между тем, 12% пользователей неоднократно пытались посетить веб-сайты, которые нарушают политику просмотра их организации.

Интересно, что преступники, ответственные за фишинговые инциденты, вредоносные программы или незаконный просмотр, не обязательно являются одними и теми же людьми. Согласно отчету, 9% пользователей подвергались высокому риску только в одной категории, и всего 0,052% сотрудников попали в категорию высокого риска по всем трем видам деятельности.

Даже федеральные агентства, такие как НАСА, которые должны быть в состоянии противостоять самым передовым киберугрозам, не застрахованы от внутренних рисков. [Аудит] (https://oig.nasa.gov/docs/IG-22-009.pdf), проведенный Управлением генерального инспектора НАСА (OIG), показал, что, хотя агентство внедрило программу внутренних угроз, которая охватывает секретные системы , подавляющее большинство ИТ-систем агентства (в том числе многие из них содержат ценные активы или критически важную инфраструктуру) не охвачены программой, что подвергает их риску «выше необходимого».

Что такое внутренняя угроза?

Внутренняя угроза — это угроза безопасности, исходящая изнутри организации. Это могут быть сотрудники, бывшие сотрудники, подрядчики, деловые партнеры или поставщики, которые имеют законный доступ к системам, сетям и данным организации.

Никто не застрахован от широкого спектра злонамеренной инсайдерской деятельности. Такие меры безопасности, как принцип четырех глаз, обнаружение аномалий, ролевой доступ к конфиденциальным данным, двухфакторная аутентификация, непрерывный мониторинг и проверка сотрудников, могут снизить эти риски, но не устранить их. Многие организации доверяют своим сотрудникам и склонны игнорировать внутренние автоматические предупреждения системы безопасности. Часто киберпреступники обманывают сотрудников, чтобы помочь им проникнуть в корпоративные сети.

Два типа внутренних угроз

1. Злонамеренный инсайдер

Существует два основных типа внутренних угроз. Злоумышленник — это тот, кто злоупотребляет своим доступом к системам компании для кражи данных в финансовых или личных целях. Злоумышленники могут работать в одиночку или в сотрудничестве с внешними сторонами, такими как конкуренты или хакерские группы. [Статистика инсайдерских угроз] (https://blogs.gartner.com/anton-chuvakin/2016/05/09/our-understanding-insider-threats-paper-publishes/) показывает, что 29% злоумышленников совершают кражи для финансовых выгоды, а 9% движимы желанием совершить саботаж.

2. Небрежный инсайдер

Другой тип — это небрежный (небрежный) инсайдер или невиновный пользователь, который неосознанно подвергает систему внешним угрозам. Халатность сотрудников — один из самых распространенных видов инсайдерских угроз. Сюда входят пользователи, которые обычно демонстрируют безопасное и совместимое поведение, но иногда совершают ошибки и не осознают этого, пока не становится слишком поздно.

Термин «неосторожный инсайдер» также относится к пользователям, не реагирующим на обучение по вопросам кибербезопасности, которые демонстрируют рискованное поведение, представляющее опасность для их организации.

Недавнее исследование предполагает, что небрежные пользователи были основной причиной 56% инцидентов с внутренними угрозами. Средняя стоимость инцидента составляет 484 931 доллар США, в то время как злоумышленники-инсайдеры стоят за 1 из 4 инцидентов (26%) при средней стоимости инцидента 648 062 доллара США.

За последние два года количество инцидентов, связанных с внутренними угрозами, увеличилось на 44%, а затраты на каждый инцидент увеличились более чем на треть и составили 15,38 млн долларов.

Что мотивирует инсайдерские атаки?

Внутренние угрозы могут привести к значительному ущербу репутации и финансовым потерям, связанным с утечкой данных, кражей интеллектуальной собственности или, как упоминалось выше, саботажем.

Кроме того, желание сотрудников зарабатывать деньги может даже угрожать государственной безопасности, как это было в случае с израильской технологической фирмой [бывший сотрудник NSO Group] (https://www.reuters.com/article/us-cyber-israel-nso/ israel-charges-former-employee-of-nso-group-with-cyber-crimes-idUSKBN1JV18E), которые украли интеллектуальную собственность компании, в том числе исходный код шпионского ПО Pegasus, и попытались продать его за 50 миллионов долларов через даркнет. Этот инцидент является ярким напоминанием предприятиям о том, почему необходимо сокращать штат сотрудников, которым грозит увольнение, и защищать активы.

В другом случае бывший сотрудник Cisco  получил приговорен к двум годам тюремного заключения в декабре 2020 года после того, как он получил доступ к облачной инфраструктуре Cisco Systems без разрешения и развернул вредоносное ПО, которое удалило более 16 000 учетных записей пользователей и нанесло ущерб в размере 2,4 миллиона долларов.

Хакерские атаки представляют наибольшую опасность для организаций. Но иногда они могут быть дымовой завесой для сокрытия изощренных внутренних угроз. Один из таких случаев касался финансовой компании, которая стала жертвой инцидента, связанного с веб-безопасностью, предположительно осуществленного известной группой хактивистов. Эта финансовая организация связалась с нашей командой в ImmuniWeb для расследования инцидента. Один из веб-порталов компании был испорчен оскорбительными лозунгами, критикующими компанию за глобализацию. Весь контент сайта, к которому имели доступ злоумышленники, был уничтожен.

Первое внутреннее уведомление об инциденте пришло от веб-администратора, работающего в компании 15 лет. В нем содержалась ссылка на дефейс-зеркало зоны-h, в котором говорилось, что хактивисты скомпрометировали и взломали сервер, призывая к переустановке сервера с нуля. Поскольку злоумышленники были известны, он рекомендовал пропустить формальный процесс расследования, чтобы сократить время простоя сервера. Его руководство дало зеленый свет двигаться вперед без надлежащего зеркалирования системы для дальнейшего судебно-медицинского расследования.

Хотя для ИТ-команды компании было очевидно, кто стоит за взломом, некоторые несоответствия, обнаруженные в ходе нашего расследования, свидетельствовали о том, что инцидент был не таким простым, как казалось на первый взгляд. Копнув дальше, мы обнаружили, что настоящим виновником был веб-администратор, проработавший в компании 15 лет и считавшийся лояльным сотрудником.

Выяснилось, что за несколько месяцев до инцидента к администратору подошли и предложили привлекательную цену за продажу корпоративных данных. Под предлогом посещения конференции по безопасности он пересек границу с соседней страной и выбрал укромное место без видеонаблюдения для подключения к общедоступному Wi-Fi. Затем он запустил сканер безопасности в веб-приложении, чтобы имитировать проверку перед атакой.

На следующий день, когда все уже вышли из офиса, он зашел в админку веб-приложения (не проходя через общедоступный WAF-шлюз) и провел «дефейс». Затем он сделал испорченное зеркало и локально стер все содержимое корневого веб-каталога и журналов веб-сервера. Поскольку у него уже было разрешение от его компании на это, как доверенный сотрудник, он использовал эти разрешения для переустановки виртуальной машины с веб-сервером, что сделало дальнейшую экспертизу практически невозможной.

Внутренние угрозы — давняя проблема всех компаний и организаций. Это усугубляется сложностью и стоимостью мер безопасности и средств защиты: защита ваших внутренних систем от злонамеренных уполномоченных сотрудников очень сложна по сравнению с защитой от внешних атак. Многие корпоративные системы не имеют элементов управления безопасностью, которые можно было бы интегрировать для предотвращения злонамеренных внутренних действий или невинных человеческих ошибок.

Одно из доступных решений — постоянный мониторинг нештатной деятельности сотрудников. Технологии машинного обучения и искусственного интеллекта могут упростить эту задачу. Например, они могут заметить, когда кто-то одновременно обращается к слишком большому количеству записей CRM или загружает таблицы данных коллеги. Но маловероятно, что это помешает сотрудникам компаний читать конфиденциальные данные, принадлежащие клиентам, если они уполномочены (но не обязаны) это делать.

Заключение

Всего несколько лет назад изощренные кражи, связанные с киберпреступностью, совершаемые инсайдерами, были новой и зарождающейся тенденцией, которую мы не наблюдали в прошлом. Но по мере роста масштабов цифровых атак, их направлений и сложности растут и внутренние угрозы. Исходя из этого, полезно помнить, что корпоративная кибербезопасность — это не ракетостроение, и ею можно довольно хорошо управлять, используя [подход, основанный на здравом смысле] (http://www.forbes.com/sites/forbetechcouncil/2016/08/11/ как реализовать разумный подход к корпоративной кибербезопасности/).