Недавно на ресурсе Business Insider была опубликована статья, в которой рассказывается о том,
что ирландские хакеры, после безуспешных попыток взломать информационные
системы Apple,
пытаются найти другие способы получения доступа к корпоративным данным. Они
предлагают сотрудникам Apple 20 000 евро за достоверные учетные данные. И хотя подходы к
инсайдерам не всегда носят столь неприкрытый характер, этот случай – хорошее
напоминанием о том, что злоумышленники активно используют сотрудников, чтобы
воспользоваться их служебным положением.
Ситуация с Apple наглядно демонстрирует, что внутрисистемная
угроза (угроза безопасности со стороны персонала) не ограничивается лишь
людьми, вроде Эдварда Сноудена, которые перед увольнением воруют массу данных.
Сотрудники компании, имеющие доступ к конфиденциальной информации, могут
представлять собой более скрытую и устойчивую угрозу.
Размышления о внутрисистемных угрозах
Руководителям службы безопасности стоит относиться к внутрисистемным угрозам так, как они бы относились к любым другим видам
промышленного и государственного шпионажа.
Несомненно, что злоумышленники не
отказались бы завербовать системного администратора, который в компаниях
является, по сути, аналогом референта внешних связей посольства. Системные
администраторы, как правило, являются хранителями ключей от сокровищницы
данных, и во многих случаях могут получить доступ к различным почтовым ящикам и
другим системам. Эта информация интересна лицам, ведущим промышленный шпионаж:
ими могут двигать идеологические соображения, желание украсть коммерческие
секреты или получить информацию для инсайдерской торговли. При этом сотрудники
отдела информационных технологий не единственные возможные кандидаты на
соучастие в кибератаке.
Кроме продажи действующих системных
учетных данных, инсайдеры могут выполнять не такие очевидные задачи
злоумышленников. Одной из задач является выполнение роли агента доступа,
как это делается при обычном шпионаже: для обнаружения потенциальных
источников. Вместо того, чтобы выискивать и пытаться связаться с определенными
сотрудниками, хакеры могут через инсайдеров получить представление о системах и
процедурах безопасности компании. Инсайдеры также могут предоставить схему
организационной структуры и примеры связей в компании. И более важным моментом является
то, что инсайдеры знают, кто с кем общается и на какие темы, они могут
переслать образцы сообщений электронной почты, чтобы показать, как
взаимодействуют люди внутри компании.
Такие подробности могут быть превосходным
подспорьем в выборе целей для хорошо продуманных и убедительных атак
направленного фишинга, т.е. кибератак через электронную почту, нацеленных на
определенного пользователя. Если хакер узнает, что Кэрол регулярно высылает
текстовые документы или электронные таблицы Бобу, а также обладает образцами
фраз, с которыми Кэрол обычно обращается к Бобу, включая жаргонные слова, то
такой хакер может разработать искусно-подделанное сообщение и, сымитировав
адрес почтового ящика Кэрол, выслать сообщение вместе с прикрепленной
вредоносной программой.
Агенты доступа могут также
использоваться для выявления сотрудников имеющих финансовые или иные
уязвимости, например, озлобленных на компанию или употребляющих наркотики –
таких людей легче завербовать. Секс также является хорошим средством вербовки,
и агенты доступа могут выявить людей наиболее уязвимых для так называемой
«медовой ловушки».
Сотрудники не из ИТ-отдела могут
также использоваться для внедрения вредоносных программ в компьютерную систему
компании. Они могут намеренно открыть программу направленного фишинга, а в
случае поимки сыграть роль жертвы. Они также могут, к примеру, украсть флешку
со стола своего коллеги, позволить хакерам установить на нее вредоносную
программу, а затем вернуть ее на место. Существует много путей, с помощью которых
инсайдер не из ИТ-сферы может внедрить вредоносную программу в системы компании
– даже в системы с физической изоляцией и защищенной системе, изолированной от
Интернета.
Постоянная внутрисистемная угроза
Внутрисистемные угрозы не
ограничиваются разовыми успехами, как в случае со Сноуденом. Инсайдеры-агенты,
которые притворяются безобидными и способны виртуозно оправдываться, могут
оставаться в целевой компании долгое время. Опять же, возвращаясь к мышлению в
рамках традиционного шпионажа, невероятным успехом считался случай, когда человек
заходит в посольство и вручает сотруднику разведки портфель полный секретных
документов. Однако, хорошему сотруднику разведки этих документов мало. Умные
офицеры будут обеспечивать защиту перебежчиков и убеждать их продолжить работу.
Таким образом, у них будет постоянный поток ценных разведданных вместо одной
пачки документов.
Однако даже если мы имеем дело с
завербованным агентом, а не с перебежчиком, наилучшей стратегией является
обеспечение работы агента в целевой компании в течение продолжительного времени
для того, чтобы собрать максимальное количество данных.
Национальные
разведывательные центры, выполняющие операции компьютерной разведки, пользуются
теми же принципами при вербовке источников, как и при выполнении иных операций.
Разведывательные службы не проводят четких различий между агентом,
завербованным для получения традиционных разведанных и агентом, завербованным для
получения киберразведывательной информации. После вербовки, агенты могут
использоваться для обеих целей.
Если кто-то сомневается в том, что
разведывательные службы ряда стран активно вербуют сотрудников различных
компаний в качестве источников данных, он не слишком внимателен. Государства
часто используют фальшивые данные, когда офицеры разведки выдают себя за
конкурентов или даже преступников.
Но даже если не принимать во
внимание разведывательные службы, легко понять насколько выгодно для
идеологически мотивированных перебежчиков, конкурентов и преступников иметь
внутренние источники, внедренные на долгий срок в компанию.
Небезопасные методы работы
И, наконец, кроме осведомителей,
действующих преднамеренно, есть просто неосторожные сотрудники, которые также представляют собой значительную угрозу. Кроме широко освещаемых
средствами массовой информации инцидентов, как например случай, когда сотрудник
Apple оставил
сверхсекретный прототип iPhone 4 в баре или случай с генеральным директором Qualcomm, чей ноутбук был украден незадолго
до опубликования квартальных результатов деятельности компании, всегда есть
шанс, что какой-либо сотрудник попадется на фишинговом письме и внедрит
вредоносную программу на серверы компании через личный ноутбук.
Все потенциальные игроки,
представляющие угрозу, от разведслужб до преступников, могут воспользоваться
ошибками, которые непреднамеренно делают невнимательные сотрудники. В сравнении
с вербовкой инсайдеров, которая требует больших усилий и которую легче
обнаружить, целевая кибератака – это более дешевое и менее рискованное решение,
которое может быть столь же эффективным. Неосторожность сотрудников упрощает
выполнение таких атак. Неправильные действия в отношении информационной
безопасности не относятся только к сотрудникам нетехнического направления. Недостаток опыта, лень или неправильные
методы работы могут и сотрудника ИТ-отдела сделать халатным. Коротко говоря,
сотрудники должны быть хорошо информированы и оставаться начеку постоянно.
Угроза, которую представляют собой такие инсайдеры, как Сноуден, – велика. Но
это далеко не единственный тип внутрисистемной угрозы, которая может нанести
вред вашей компании.
Оригинал статьи: https://www.stratfor.com/weekly/when-cyber-security-inside-threat
