87
Лазейки для кибератак: уязвимость внешнего периметра или беспечность сотрудников?
Без сомнения, всем знакома ситуация, когда полученные результаты расходятся с ожиданиями. Так же и в обеспечении ИБ: внедренные решения далеко не всегда оправдывают возложенные на них надежды.
[caption id="attachment_407117" align="alignright" width="150"]
Д. Дубцов,
эксперт по информационной безопасности, и. о. руководителя Центра компетенций информационной безопасности ГК «РАМАКС»[/caption]
В наши дни мало кто не слышал о всепроникающей цифровизации, а на протяжении последних 20 лет ИТ-индустрия целенаправленно занимается автоматизацией. Онлайн-технологии проникли во все бизнес-процессы компаний, в том числе в организацию труда. Обозначить границы цифровой среды компании стало настолько сложно, что расхожее понятие «внешнего периметра» стало откровенно вредным, так как традиционно технократически консервативные службы ИБ пытаются ограничить этим самым «периметром» свою ответственность. Такой подход никак не соотносится с целями компании.
Системы защиты информации, призванные обеспечить контроль и выполнение политик и регламентов в области ИБ, являются хорошим инструментом, но зачастую ограничены заранее заложенными в них правилами на основе известных сценариев атаки злоумышленника или сценариев утечки информации. Что происходит, если его жертве ничего об этих правилах не известно, а атакующий прекрасно в них разбирается? Системы предотвращения и обнаружения атак работают считаные минуты, а атакующие действуют стремительно. Действия злоумышленников с каждым днем все больше похожи на «нормальное» поведение, и системы защиты на «периметре» зачастую просто не способны отличить легитимные действия от действий злоумышленников. Не говоря уже о целенаправленном заражении личных устройств топ-менеджмента, которые затем несут на починку айтишникам, или вовсе старое доброе разбрасывание «флешек» по офису. Так называемый периметр способен предотвратить или обнаружить только известную угрозу и бессилен против мало-мальски креативного подхода.
Атакующий, безусловно, сталкивается с некоторыми трудностями во время преодоления систем защиты, использует инструменты поиска и эксплуатации уязвимостей, включая социальную инженерию. В итоге он либо обнаруживает слабое звено в системе защиты, прикладном или системном ПО, либо находит нерадивого сотрудника, который, сам того не зная, помогает атакующему.
Жертвы злоумышленников чаще всего не подозревают, что были атакованы. Или, заподозрив неладное, скрывают свою ошибку даже от самих себя, искренне веря в то, что ничего страшного не произошло. Причина такого поведения кроется в недостаточной осведомленности жертв о том, каким образом их могут обмануть, что обычно предшествует атаке, на что необходимо обращать внимание, как действовать и каковы могут быть последствия.
«Безопасники» же, в случае успеха атакующего, обычно ищут причины своих неудач вокруг себя. Довольно часто виной всему считают технику, еще чаще – коллег. Нередко в подобной ситуации сотрудник может услышать: «Вы не в курсе, что это запрещено политикой компании?» или «Вы были ознакомлены с правилами при оформлении на работу!»
В современных условиях продолжение «укрепления» так называемого периметра становится бесперспективным занятием, что подтверждается рядом экспертов.
Данные исследований компании IBM за 2013–2016 годы обескураживают: 95% всех расследованных инцидентов ИБ признают «человеческую ошибку» как сопутствующую причину инцидента безопасности.
Участники третьего годового сравнительного исследования обеспечения ИБ, проведенного корпорацией Cisco, считают мобильные устройства (58%), общедоступные облака (57%), облачную инфраструктуру (57%) и модель поведения пользователей (57%) важнейшими источниками угроз при кибератаках.
Данные международного опроса Ernst & Young за 2013–2017 годы показывают, что неосмотрительность и неосведомленность сотрудников, по мнению респондентов, лидируют в числе причин уязвимости, т. е. самым слабым звеном в системе ИБ в последние пять лет считается сам человек.
Одним из важнейших активов любой компании являются информация и информационные системы, а их защита – задача повседневной деятельности служб ИБ. В процессе своей деятельности «безопасники» борются с техническими уязвимостями и утечкой информации, создают системы защиты и расследуют инциденты. Как уже отмечалось выше, службы ИБ традиционно консервативны, склонны к недоверию, а любые ошибки сотрудников, даже случайные, относят к непроходимой глупости последних. Но людям свойственно ошибаться, они это делают постоянно. Проблема заключается в том, что ошибки сотрудников существенно снижают эффективность систем защиты информации, и с развитием технологий все заметнее становится влияние так называемого человеческого фактора.
Приведем характерный пример, демонстрирующий, что не «периметром» единым обеспечивается безопасность бизнеса.
«Собственник/генеральный директор уехал на «цифровой детокс», куда-то в Азию в монастырь. На программу «очистки разума и тела», одним из аспектов которой является отказ от всех средств коммуникации. Пока до него никто не мог дозвониться и дописаться, его заместитель фактически вывел все что мог в свое юрлицо под вывеской «налоговой оптимизации»: часть ключевых клиентов, существенную часть персонала, деньги по сервисным контрактам – в общем, все, до чего смог дотянуться за две недели. Не совсем рейдерство, конечно, но в данном случае лучше бы это было как раз рейдерство, потому что теперь отвоевать «половину» законному владельцу в нашем случае уже не удастся. Причем готовился собственник к такому мероприятию не один месяц (шутка ли, бизнес бросить без присмотра), и заместитель тоже вплетал в эту подготовку определенные «маяки», которые в целом были достаточно хорошо заметны.
Мораль, безусловно, не в том, что телефон стоит примотать скотчем к уху, а в контроле и диверсификации полномочий и прочих мерах именно логического, а не технического характера. Кейс интересен именно тем, что время атаки было выбрано именно в отсутствие канала связи. Которое, кстати говоря, вполне себе может случиться и вне «цифровых детоксов», причем заборы вокруг офиса не помогут» (Источник – Facebook независимого эксперта по безопасности Д. А. Мананникова).
Если говорить про использование человеческого фактора внешним злоумышленником, то такого рода атаки на организации обычно хорошо спланированы. Чаще всего мы наблюдаем атаки многоступенчатые и сложные, направленные на конкретную организацию или ее сотрудника, атаки с четко поставленной целью. Около 2/3 атак начинаются с фишинга (phishing). Злоумышленники рассылают фишинговые письма, которые направлены лично вам или в адрес организации. В такого рода email обращаются лично к вам или компании от имени знакомого вам лица или контрагента. Обычно создается ситуация, имитирующая дефицит времени и требующая вашей немедленной реакции. Например, просят ввести ваши логин с паролем или открыть вложение.
С помощью подобных не детектируемых на «периметре» атак из российских банков было похищено 2,2 млрд рублей в 2016 году и 1,156 мдрд рублей в 2017-м, причем основная доля пришлась на хакерские группировки Buhtrap и Cobalt.
Все вышеописанное стало возможным не столько из-за того, что внутри «периметра» не всегда вовремя обновляется системное и прикладное ПО, а в большей степени «благодаря» тому, что сотрудники не проявляли никакой осмотрительности при работе с информационными системами, без тени сомнения открывая любые вложения к email и т. п.
Объективной картины на основе статистики нарисовать не получится, т. к. компании склонны «не выносить сор из избы», и только последствия атак или сами атакующие позволяют инцидентам безопасности становиться достоянием общественности. Например, в конце 2017 года в результате проведенного аудита стало известно, что в 2016 году Uber взломали, были украдены данные 50 млн пользователей и 7 млн водителей, но компания заплатила хакерам 100 000 долл. и скрыла инцидент.
Рассматривая человеческий фактор, выделяют две формы его проявления. Первая – халатность, невнимательность и ошибки. Вторая – личная мотивация, другими словами, преднамеренные действия. Обе эти формы влияют на принимаемые решения, и чаще всего не в лучшую сторону. В случае с преднамеренными действиями нарушителем чаще всего является привилегированный сотрудник. За такими сотрудниками должен осуществляться повышенный контроль, так как ущерб от преднамеренных нарушений может быть внушительным или даже непоправимым.
В то же время непреднамеренные действия довольно трудно поддаются контролю и могут наносить более серьезный ущерб из-за своей непредсказуемости. Потеря флешки, работа с чувствительной информацией в общественных местах или публикация оной в социальных сетях, удаленная работа из дома, в командировке и в отпуске – все это плохо предсказуемо с точки зрения ИБ. И здесь важен не столько контроль, сколько работа с персоналом, его обучение, вовлечение в процесс обеспечения безопасности. Сотрудник должен правильно понимать действующую в компании политику, правила, цели их соблюдения и возможные последствия их нарушения.
Обучение сотрудников принятию правильных решений и правильному поведению представляет собой эффективный способ свести к минимуму влияние человеческого фактора на обеспечение информационной безопасности.
Приведем пример из практики. Он связан с работой DLP-системы одной государственной компании. За год до запуска процесса обучения было зафиксировано около 300 инцидентов, которые создавали предпосылки к разглашению информации ограниченного доступа. Спустя год после проведения обучения инцидентов было чуть более 100, причем штат за это время увеличился на 25%. За два последующих года штат компании увеличился еще на 30%, а показатель в 100 инцидентов в год сохранился. Тут нужно уточнить две вещи. Первая: процесс был выстроен через очное обучение и повторные его сеансы в случае нарушений. Вторая – хотя данный пример и является успешным, не стоит его воспринимать как статистику и преувеличивать репрезентативность столь малой выборки.
Обычно такой подход дает положительные результаты при отсутствии значительной территориальной распределенности сотрудников, офисов и филиалов (до 1000 сотрудников, 2–3 офиса в рамках 1–2 городов). А что делать, если сотрудников тысячи, а офисов и филиалов – сотни?
Одно из решений для повышения осведомленности сотрудников в области ИБ – это применение автоматизированных систем управления знаниями (далее – Awareness). Awareness позволяет выявлять недочеты знаний сотрудников, выстраивать процесс обучения и исследовать закрепленные навыки. Это, в свою очередь, позволяет проводить адресное обучение тех сотрудников, которым оно необходимо, и избегать ситуации, когда сотрудники, успешно прошедшие тестирование, через некоторое время забывают информацию, полученную в курсе обучения.
Из дополнительных сценариев применения Awareness можно отметить обучение и проверку знаний по любому профилю, не обязательно связанному с ИБ. Например, для адаптации новых сотрудников или при переходе на новую должность. Awareness может стать мощным инструментом улучшения культуры производства и повышения производительности труда.
Сотрудники обучаются с учетом заложенной в Awareness специфики и постоянно поддерживаются «в тонусе». Обучение становится целевым, своевременным, доступным, а службы ИБ получают возможность превратить человеческий фактор из недостатка в преимущество.
