Журнал ПЛАС » Архив » 2020 » Журнал ПЛАС №1 »

Клиентские данные под огнем инсайда. Борьба с переменным успехом?

Почему банки до сих пор не добились впечатляющих успехов в борьбе с инсайдерскими утечками информации?

Ашот Оганесян, основатель и технический директор DeviceLock

Утечки персональных и финансовых данных весь 2019 год претендовали на звание если не самой серьезной, то как минимум одной из важнейших проблем российских банков – 17-кратный рост социальных атак и 2,5 млн жалоб только клиентов Сбербанка на телефонных мошенников, скандалы и репутационные потери при обнаружении в продаже сотен тысяч записей из клиентских баз крупнейших банков, десятки предложений по «пробиву» любых данных в любом банке. Черный рынок данных существовал всегда, но раньше он «обслуживал» небольшое число более сложных преступлений – крупные мошенничества, рейдерство и т. д. Преступления эти случались нечасто и не слишком беспокоили службы безопасности. Однако развитие цифровых услуг и в первую очередь интернет- и мобильного банкинга вызвало появление целой отрасли связанного с этим мошенничества – фишинга, взлома систем двухфакторной идентификации (2FA) и, конечно же, телефонных атак с использованием методов социальной инженерии. Все это резко подняло спрос на банковские данные и кардинально изменило ситуацию – теперь практически каждый линейный сотрудник банка является потенциальным инсайдером. На «пробиве» и продаже выгрузок из баз данных он всегда заработает в разы больше своей зарплаты.

Банки вроде бы ведут борьбу с инсайдерскими утечками информации, но без особого успеха – количество попыток хищений только растет, а сами клиентские данные продолжают перманентно появляться на черном рынке. Можно было бы сказать, что защита – дело дорогое, но продажа баз и «пробив» клиентов крупнейших банков показывают, что в случае инсайдерских хищений данных объем инвестиций в безопасность не играет большой роли.

DLP-системы – разница в подходах

В чем же проблема? Все банки используют DLP-системы, но у кого-то данные «текут» полноводной рекой, а кому-то все же удается сдерживать хищения. Мы не говорим о крайностях, когда DLP-система приобретается «для отчетности» и просто не инсталлируется или устанавливается «не везде», хотя такое случается чаще, чем можно представить. Однако значительная разница в эффективности происходит еще и от того, что разные решения имеют разные концепции обеспечения безопасности и даже по-разному конфигурируются, исходя из понимания службой информационной безопасности своих задач.

Первое отличие – концепция контроля. Некоторые системы построены на перехвате и анализе трафика (например, InfoWatch Traffic Monitor, DeviceLock EtherSensor, Forcepoint), а другие – на анализе обрабатываемого контента, который выполняется с помощью локальных агентов (например, DeviceLock DLP, Symantec DLP, McAfee DLP). Минусы агентов многократно обсуждались – это необходимость инсталляции и дополнительная нагрузка на машину, где этот агент выполняется. Однако плюс тоже крайне существен – с появлением практически в любом сервисе сквозного шифрования чистый контроль трафика стал практически бесполезен. Ваша «маленькая корпоративная Яровая» может полностью заблокировать доступ к ресурсу или протоколу, но никогда не поймет, что именно передается. А это означает, что достичь более или менее высокой надежности такой защиты можно, только полностью отключив доступ за пределы корпоративной сети. Причем любой, включая почту! Агенты же мониторят любой поступающий в программы контент (клавиатурный ввод, чтение файлов, работу с буфером обмена) и могут перехватить критичные данные до того, как они будут зашифрованы и переданы.

В 70% инсайдерских утечек из тех, по которым проводились расследования, в логах DLP-систем обнаруживается подозрительная активность похитителя

Второе отличие – механизм реагирования на утечки. Часть систем защиты может только мониторить нарушения, но не блокировать их. Всю дальнейшую работу должны выполнить операторы, а именно с этим существует проблема. Во-первых, служба информационной безопасности чисто технически может не успевать прореагировать на инцидент в удаленном офисе, куда для беседы с подозрительным сотрудником нужно ехать. Во-вторых, в любом крупном банке количество данных всегда растет темпами, опережающими рост штата подразделения, которое должно эти данные обрабатывать. В результате, по данным наших исследований, в 70% инсайдерских утечек из тех, по которым проводились расследования, в логах DLP-систем обнаруживается подозрительная активность похитителя, на которую нужно было прореагировать. Правда, почти в 20% случаев похититель за время, прошедшее с момента похищения данных, уже успевает уволиться.

Сами производители таких «систем наблюдения» (назвать их DLP-системами было бы методически неверно в силу отсутствия в них самого важного компонента: «P» – Prevention, или «Предотвращение») оправдываются тем, что якобы запреты мешают бизнес-процессам. На самом деле причина в том, что реализовать анализ передаваемой информации и запрет передачи в реальном времени на много порядков сложнее, чем просто пассивно наблюдать за проходящими мимо данными. Поэтому при выборе DLP-решений нужно очень внимательно оценивать заявления производителей о том, что какая-то отсутствующая функциональность «вам никогда не понадобится», – инцидент может доказать обратное, а обосновать инвестиции на замену купленного комплекса будет очень трудно.

Другие вендоры, включая нашу компанию, придерживаются иных принципов. Их решения, анализируя передаваемый контент, сразу же блокируют его передачу. И пусть лучше добросовестный пользователь лишний раз пожалуется администратору, чем данные «утекут». Кроме того, при запрете на передачу данных решение сообщает пользователю о причинах блокировки. Это позволяет достаточно быстро повысить уровень понимания у пользователей, распространяющих конфиденциальные данные случайно, а таких, по разным оценкам, от 25 до 30%.

Дальше будет хуже?

К сожалению, криминал также не стоит на месте. Например, в 2019 году в результате массового внедрения DLP-систем появился и сразу вырос до 10% от общего объема утечек такой канал, как банальное фото экрана, на которое тут же перешли «пробивщики», работающие с небольшим объемом данных. Несмотря на то что все производители средств защиты работают над этой проблемой, а некоторые даже говорят о появлении у них решения, распознающего смартфон в руках пользователя, пока вживую его никто не видел. И единственное действующее средство борьбы с фотографами – контрольные закупки услуг по пробиву с последующим поиском сотрудников, обращавшихся к конкретным данным при помощи DLP-систем.

Часть систем защиты информации может только мониторить нарушения, но не блокировать их

При этом преступники уже нашли следующий инструмент – «вербовщики», которые ищут потенциальных исполнителей «пробива» и продавцов баз на профильных форумах и в группах, активно интересуются ИТ-специалистами, имеющими доступ к информационным системам банков (особенно серверам БД) или работающими с резервными копиями. На сегодняшний день, по нашим оценкам, до 30% продающихся сегодня в DarkNet крупных банковских баз могут иметь «айтишное» происхождение, так как инсайдеры из бизнес-блока лишились возможности выгружать данные в объеме 50–100 тыс. записей.

Важно, что ИТ-специалисты действуют на уровне, который не позволяет контролировать их деятельность средствами DLP – например, обладают консольным доступом к серверам, в том числе баз данных. Фактически единственным средством защиты от таких инсайдеров является высокая зарплата, однако профессия ИТ-специалиста сегодня превращается из элитной в массовую, где вероятно снижение и общего уровня, и получаемых доходов. DLP-системы, возможно, решат эту проблему через несколько лет, и, в частности, мы работаем над профильным решением, однако пока рост таких утечек останавливать нечем, кроме «работы с людьми».

Что нас ждет?

Помимо усиления криминальной активности, ужесточается и регулирование работы с данными. Пока еще можно называть утечки информации провокацией, а максимальный штраф за нарушения при обработке персональных данных составляет всего 70 тыс. рублей. Однако ЦБ уже подготовил документы по управлению уровнем киберрисков в банковском секторе, а Роскомнадзор предлагает ввести миллионные штрафы для операторов персональных данных, допустивших их утечку. Судя по разговорам в юридическом сообществе, не за горами и пересмотр позиции Верховного суда по ответственности клиента за мошеннические транзакции, совершенные с помощью его АСП. При этом впереди еще такая проблема, как охрана биометрических данных, если, конечно, доступ к счетам с их помощью получит распространение. В любом случае уже в ближайшие год-два утечка данных станет для банка очень дорогим удовольствием, и убеждать руководство в необходимости больше инвестировать в их защиту станет проще.

Уже в ближайшие год-два утечка данных станет для банка очень дорогим удовольствием

DLP-системы также расширяют свой функционал. В масштабе года-полутора многие производители (и мы в том числе) представят функционал распознавания попыток фотографирования экрана на основе видео, а также средства цифровой подписи выводимого изображения, аналогичные тому, что сейчас используется при печати. Через 3–4 года это разовьется в полноценный видеоконтроль поведения пользователей, а DLP-решения будут интегрироваться с системами видеонаблюдения.

Также не стоят на месте средства анализа поведения пользователя (UEBA). Однако в ближайшее время они продолжат давать довольно невысокую точность и будут использоваться только как средство извещения  офицеров безопасности или иных операторов, на которых настроено оповещение, о возможной подозрительной активности. Впрочем, если UEBA-системы начнут, по образцу скоринговых, использовать не только внутренние данные, но и информацию из социальных сетей, а также, например, данные кредитных бюро, то их точность в определении потенциальных инсайдеров резко возрастет, так как они смогут определять как минимум появление у сотрудника финансовых и личных проблем.

Мы в DeviceLock, кроме всего перечисленного, также планируем интегрировать в продукты функционал разведки открытых данных DeviceLock Discovery, который сейчас используем для поиска незащищенных серверов баз данных, а также выпустить решения для контроля работы пользователя в консоли UNIX-систем. Без защиты банковский сектор не останется.

В заключение хочу сказать о, пожалуй, самом важном аспекте проблемы утечек, который отказываются принимать многие руководители служб безопасности. «Пробив» и торговля базами данных клиентов стали полноценной криминальной отраслью, полностью победить которую невозможно, а можно лишь удерживать утечки на низком уровне, постоянно соревнуясь с похитителями, изобретающими все новые схемы работы. Соревнование это не закончится никогда, так как преступный мир освоил использование клиентских данных и создает постоянный платежеспособный спрос на них, который заставляет продавцов данных искать новые методы и новых соучастников.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных