Among Us в кибербезопасности: Как обнаружить и предотвратить инсайдерские угрозы

Одной из наиболее серьезных угроз для информационной безопасности организаций являются инсайдерские атаки. Внутренние угрозы, исходящие от сотрудников или других внутренних лиц, могут иметь разрушительные последствия для конфиденциальности, целостности и доступности данных. В статье рассказываем, кто может стать инсайдером, как его обнаружить и какие меры предпринять для защиты информации от подобных угроз.

Такие разные инсайдеры

Инсайдером можно назвать любого человека, который находится внутри контура безопасности и имеет доступ к информации компании. Обладая легитимным доступом к инфраструктуре организации инсайдер может нанести ей и ее сотрудникам весьма ощутимый вред: от репутационных потерь до административного или уголовного наказания. Инсайдер может обнародовать конфиденциальные данные, передать важную информацию конкурентам или злоумышленникам, установить вредоносное ПО и отключить систему защиты или полностью уничтожить необходимые для продолжения работы файлы.

Внутренним агентом может оказаться как новый человек в организации, который проникает в компанию с целью действовать в интересах конкурентов или злоумышленников, либо им может стать действующий сотрудник ради финансовой выгоды. Например, инсайдеры в банковской сфере могут продавать данные карт, счетов, паспорта, а операторы мобильной связи и сотрудники правоохранительных органов оказывать услуги «пробива».

Евгений Баклушин

Заместитель директора Аналитического центра УЦСБ, автор блога BESSEC

По данным отчета Verizon 2024 DBI 25% утечек конфиденциальной информации связано с внутренними нарушителями, однако только 5% — это злоупотребление служебным положением. К наиболее опасным инсайдерским угрозам можно отнести: утрату конфиденциальной информации и интеллектуальной собственности, кражу денежных средств или мошенничества, нарушение (прерывание) бизнеса из-за сбоя в работе информационных систем и, конечно же, репутационный ущерб из-за утечек.

Не все инсайдерские угрозы — злонамеренные. Многие из них происходят по неосторожности, часто от несоблюдения правил информационной безопасности. Например, сотрудник может стать жертвой фишинга, забыть выйти из учетной записи рабочего ноутбука перед тем, как отнести его в мастерскую, подключиться к общественным сетям Wi-Fi или просто скачать зараженное ПО. Компания InfoWatch сообщила в своем отчете, что 2019 году 98% от совокупного объема персональных данных и финансовой информации были скомпрометированы в результате небрежности или грубой неосторожности лиц, имеющих легитимный доступ к указанным данным.

Сергей Саблин

Менеджер по развитию бизнеса Axoft

Самые распространенные инсайдерские угрозы происходят по неосторожности. Согласно статистике различных исследований, их объем может достигать 70%. Но не стоит забывать и про сотрудников внутри компании, которые злоупотребляют допуском к конфиденциальной информации и могут использовать ее в своих целях (финансовая выгода, очернение репутации компании, корпоративный шпионаж и т.д.)

Помимо штатных сотрудников в стратегии защиты от инсайдерских угроз стоит учитывать и подрядчиков, с которыми компания сотрудничает проектно или на постоянной основе. Их особенность в том, что контролировать уровень безопасности и проверять сотрудников на благонадежность не представляется возможным. Так в 2023 году Genova Burns — подрядчик компании Uber Technologies — допустила утечку конфиденциальных данных водителей. Также данные компании «Спортмастер» попали в сеть через одного из подрядчиков.

Александра Гончарова

Инженер поддержки продаж компании «АйТи Бастион»

С подрядчиками всё, как обычно, сложнее. Во-первых, потому что не всегда работник из подрядной организации обеспечивает для себя тот же уровень защиты, какой необходим в контуре компании. Во-вторых, сторонний специалист далеко не всегда так лоялен, как штатный сотрудник. Кроме того, подрядчик может обслуживать несколько организаций и, обеспечив доступ злоумышленника к своим учетным данным даже непредумышленно, он подвергает опасности сразу все инфраструктуры, к которым имеет доступ.

Еще один тип инсайдеров — недовольные действующие или уже бывшие сотрудники. Они могут красть базы данных, уносить их с собой на следующее место работы или просто вредить из мести или ради обогащения. Так, бывший сотрудник израильской компании NSO Group украл и пытался продать в дарквебе ПО и информацию о способе взлома устройств под управлением iOS и macOS. А в 2023 году бывший сотрудник НИИ «Восход» завладел биометрическими данными граждан.

Дмитрий Дудко

Заместитель генерального директора Spacebit

Бывшие сотрудники не менее опасны, особенно, если они обладали высокими правами доступа в ИТ-инфраструктуре компании. Действующие учетные записи уволенных сотрудников, неправомерное повышение привилегий, изменение конфигураций оборудования для обеспечения удаленного доступа – лазейки для реализации угроз. Угрозы же в данном случае могут заключаться как в краже данных, так и в преднамеренном разрушении бизнес-процессов компании путем нарушения целостности и доступности критичной для организации информации.

Вне зависимости от того, была ли инсайдерская угроза умышленной или непреднамеренной, она несет ощутимый ущерб компании. 

Предотвратить, найти и обезвредить инсайдера

Компании могут предотвратить появление или обнаружить внутренних нарушителей. Для этого необходимо организовать комплексный подход к защите данных на организационном и на техническом уровнях:

1. Работать с сотрудниками. Ввести режим коммерческой тайны, прописав в договорах соглашение о неразглашении, разрабатывать инструкции по информационной безопасности и проводить обучения, тренинги.

Руслан Ратуш

Эксперт направления защиты ИТ-инфраструктуры STEP LOGIC

В качестве профилактики служба безопасности (СБ) компании может сама инициировать инциденты (так называемая контролируемая “утечка информации”). Так же, как и фишинговые тесты, ее можно использовать для проверки эффективности систем безопасности и сознательности сотрудников. Целью проведения таких проверок являются выявление слабых мест в системе безопасности компании, проверка текущего состояния систем контроля доступа, обучение и повышение осведомленности персонала.

Служба безопасности создает сценарий, в котором от сотрудников может потребоваться обработка запроса на доступ к конфиденциальным данным. Затем они отслеживают, как сотрудники отреагируют на запрос — будут ли они следовать установленным процедурам или попытаются обойти их (по причинам незнания, лени или даже умышленно). Результаты таких тестов анализируются для оценки готовности организации к реальным угрозам и определения необходимости изменений в политиках безопасности или проведении дополнительного обучения персонала.

2. Принять технические меры. Навести порядок в данных и правах доступа — знать, где находится информация, контролировать и обновлять права доступа. Использовать системы Data Leak Prevention для блокировки передачи конфиденциальных данных и решения User and Entity Behavior Analytics для своевременного обнаружения аномального поведения пользователя и закрытия доступа для него. Использовать многофакторную аутентификацию.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

Для реализации угрозы обычно используются привычные каналы связи, такие как мессенджеры, почта или даже веб-порталы. И в этом смысле, конечно, основной выбор средств противодействия – это различные DLP-системы, контролирующие технические каналы связи. Отдельный перехватчик ставится на рабочие станции пользователей, прокси-сервер и почтовый сервер интегрируются со своими перехватчиками трафика и таким образом предотвращается утечка данных. Дальше весь вопрос в правильности настройки – система должна корректно отличать защищаемую информацию, от безопасного трафика и для этого используются различные технологии детектирования. От обычных ключевых слов, которые должны встретиться в тексте, до регулярных выражений, цифровых отпечатков и машинного обучения.

В качестве проверки служба безопасности компании может сама разместить запрос на профильной площадке, теневом форуме о готовности купить инсайдерскую информацию своей компании. Такой способ вычисления внутреннего нарушителя может быть эффективным, но имеет ограничения, в том числе с юридической стороны.

Иван Дудоров

Руководитель группы поддержки продаж компании «Сайберпик»

Такой подход действительно является крайне эффективным даже в случае нехватки средств защиты, так как позволяет сузить круг подозреваемых лиц за счёт знания заранее к каким данным будет обращаться инсайдер. Также данный метод позволяет проверить на прочность систему ИБ и выявить ранее неизвестные векторы атаки, наподобие тестированию на проникновение.

Однако на практике он применим только к ограниченному числу крупных организаций – операторы связи, банки, государственные структуры, для которых получение инсайдерской информации может быть поставлено на поток и доступно чуть ли не простому обывателю. К тому же не стоит забывать про ряд юридических, финансовых и организационных сложностей, которые следует заранее проработать перед попыткой «ловли на живца».

Анализ сотрудника может указать на риск возникновения инсайдерской угрозы. При этом стоит обращать на только на цифровые действия, как например, неожиданные запросы и скачивание больших объемов данных, необычные входы в систему и использование данных, не связанных с должностными обязанностями. Нужно учитывать и поведенческие аспекты: высказывание недовольства и обсуждение вопроса увольнения, нахождение в системе в нерабочее время, снижение продуктивности и нежелание участвовать в долгосрочных проектах.

Константин Ларин

Руководитель направления «Киберразведка» системного интегратора по информационной безопасности «Бастион»

Практика «контрольных закупок» со стороны СБ или подрядных организаций, занимающихся обеспечением безопасности, довольно распространена. Однако зачастую из-за отсутствия или недостаточной детализации логов, отсутствия мониторинга баз данных, из которых закупается информация, расследование может зайти в тупик.

Благодаря комплексному подходу к предотвращению инсайдерских угроз удается снизить риск как инцидентов по неосторожности, так и злонамеренных. Непрерывное обучение персонала информационной безопасности и регулярные внутренние проверки позволяют узнать реальный уровень безопасности компании и предотвратить случайной утечки данных.

Заключение

Выстраивая информационную защиту компании необходимо уделить особое внимание внутренним угрозам. Инсайдер по неосторожности или злонамеренно может нанести ощутимый вред компании, легитимно находясь в системе долгое время и при этом не быть обнаруженным.

Руслан Добрынин

Эксперт Центра продуктов Dozor ГК «Солар»

На наш взгляд, попытки атак с использованием инсайдеров продолжат расти, и чтобы эффективно им противостоять, необходимо применять комплексный подход. В первую очередь это продуманная корпоративная политика ИБ в сочетании с грамотно настроенной передовой системой DLP. Усилить уровень информационной безопасности компании поможет внедрение IdM-системы, позволяющей навести порядок в ролях и процессах выдачи доступа, выдавать пользователю необходимые и достаточные права, контролировать жизненный цикл учетной записи и не допускать накопления прав и рисков, а также PAM-системы, контролирующей доступ и действия привилегированных пользователей, в том числе сотрудников подрядчиков, а также удаленные подключения и DAG для контроля доступа к неструктурированными данными в компании.

Следование модели нулевого доверия при работе с подрядчиками, тщательный аудит и контроль за правами доступа к конфиденциальной информации, внедрение технических инструментов и применение организационных мер снизят риски возникновения инсайдерских угроз.