Количество предложений сливать данные российских компаний изнутри выросло в четыре раза. "Офферы" размещают в даркнете и Telegram. Вознаграждение инсайдера равно четырем окладам, а возможный штраф не превышает 20 тысяч рублей.
Злоумышленники предлагают сотрудникам российских компаний открыть доступ к внутренним данным или запустить в систему вредоносный код. Если раньше подобные предложения размещались только в даркнете, то с весны этого года они стали появляться в профильных Telegram-каналах.
При этом не так важны стали квалификация или подкованность инсайдеров в IT. Стандартная ситуация для компаний - отдать доступ к панели управления заказов, получить через одного человека утечку 100% данных пользователей, а после в службе безопасности сообщить, что виной утечки был фишинг. И никто не понесет ответственность.
Как организациям обезопасить себя?
Существуют специализированные ПО DLP-системы, прямой задачей которых является защита от утечек и контроль действий пользователей.
Функционал DLP систем:
- Мониторинг и анализ трафика
- Блокировка каналов и портов
- Мониторинг действий сотрудников (обычных и привилегированных)
- Визуальная аналитика
- Контроль приложений
- Мониторинг файловых хранилищ и анализ прав доступа
- Предиктивная аналитика
Принцип работы DLP-системы прост и заключается в анализе всей информации: исходящей, входящей и циркулирующей внутри компании. Система при помощи алгоритмов анализирует, что это за информация и в случае, если она критичная и отправляется туда куда ей не положено - блокирует передачу и/или уведомляет об этом ответственного сотрудника. Ведь любой работник компании может являться потенциальным инсайдером и поставить информационную безопасность под угрозу. От злого умысла или банальной оплошности не застрахован никто: от низшего звена и до топ-менеджмента.
Представим ситуацию, ваша организация интегрировала ряд программных и аппаратных средств защиты информации в надежде обеспечить нерушимую защиту инфраструктуры. Но только задумайтесь, каждое средство защиты выдает огромное количество данных в виде неких отчетов и скорее всего утечка посредством инсайдера окажется аналогична поиску иголки в стоге сена. Соответственно, если своевременно не анализировать возникающие угрозы и не пытаться предотвратить их, любая система защиты окажется безболезненной. тем более что в результате точечных атак "вырванные из контекста" инциденты не будут восприниматься средствами защиты в качестве серьезной угрозы. Но в то же время, анализ совокупности инцидентов может явно указать на атаку.
Именно эти магические свойства приписывают современным SIEM-системам - способность обнаружить атаки по "крупицам", аномалиям, пост-анализу событий и т.д.
Соответственно для крупных организаций при наличие различных средств защиты лучшим вариантом будет внедрить в инфраструктуру именно SIEM-систему.
Проверка методом социальной инженерии
Данная услуга актуальна в том случае, если вам необходимо проверить определенную группу сотрудников или отдельных конкретных сотрудников, которые например имеют повышенный уровень доступа в систему, соответственно находятся в группе риска.
Абсолютное большинство краж конфиденциальной информации на данный момент происходит именно из-за атак с использованием методов социальной инженерии. Тестирование на готовность к таким посягательствам и надлежащее обучение всего штата-одна из важнейших задач службы информационной безопасности и руководства предприятия.
Даже самая безопасная и устойчивая к атакам информационная система под угрозой, пока существуют человеческий фактор. "Черные хакеры" давно поняли, что вместо того чтобы искать уязвимости в коде и техническом обеспечении цели, гораздо эффективнее использовать неосведомленность людей, а некоторые хакеры находят подход со стороны финансовой выгоды для сотрудников.
Соответственно отличный способ убедиться в информационной защищенности, провести имитационную атаку методами СИ (на всё предприятия/на конкретный отдел/сотрудника). Используемые методы и предполагаемый сценарий заранее обсуждается с заказчиком.
Какие методы используются в рамках атаки методами СИ:
- Рассылка фишинговых писем с вредоносными ссылками (имитация адреса отправителя на усмотрение заказчика);
- Звонки сотрудникам и попытка получения любых закрытых данных или сведений, обеспечивающих доступ к ним;
- Создание фишингового сайта с возможностью регистрации и загрузкой вредоносного ПО (с дальнейшей рассылкой адреса сайта);
- Физическое проникновение на территорию компании с целью получения доступа к локальной сети;
- Прямые входы на сотрудников с предложением подкупа за предоставляемую информацию/доступ к данным;
- Обратная социальная инженерия.
Red team: Комплексная проверка безопасности информационных систем (Пентест)
Допустим в вашей организации создана некая система безопасности, оборонительная инфраструктура - стена, за которой следит команда специалистов, предоставленная в лице отдела информационной безопасности, его сотрудников, програмного и аппаратного обеспечения. Структура, стоящая на защите информации вашей организации. Как убедиться в том, что структура готова и может достойно противостоять действиям злоумышленников?
Именно здесь вступают в игру Red team. В значительной степени оценка Red team сосредоточена на конкретной цели - подражании реальному субъекту угрозы, используя скрытость, подрывая установленные защитные средства контроля и выявляя пробелы в защитной стратегии организации.
Во время взаимодействия, Red team больше фокусируется на конечных пользователях и использует различные способы получения минимальных и повышенных привилегий, необходимых для достижения своих целей.
В соответствии с Постановлением Правительства РФ от 3 февраля 2012 г. N79 "О лицензировании деятельности по технической защите конфиденциальной информации" любое тестирование на проникновение, в том числе и командой RED TEAM, является лицензируемым видом деятельности и проводить данные работы имеются право только организации имеющие лицензию ФСТЭК на ТЗКИ.
