Подписаться
Читать в телеграм
ИБ-тренды 2022.
Кейс: как поймать инсайдера, который сливает информацию конкурентам?
18 октября в Москве прошла ежегодная практическая ИБ-конференция Road Show SearchInform. Мы побывали на мероприятии и подготовили репортаж специально для читателей JETINFO. В фокусе — тренды рынка и реальный кейс в крупной российской компании.
Конференцию открыл Сергей Ожегов, Генеральный директор SearchInform. В своем выступлении спикер обозначил ключевые ИБ-тенденции 2022 г.
«Первый тренд можно сравнить с ведром, в которое постепенно капает вода, пока оно не перевернется. В этом году ведро перевернулось, и ИБ-проблемы холодным душем вылились на простых людей. Все прочувствовали, что такое звонки мошенников и чем чреваты утечки персональных данных. Кроме того, вопросам информационной безопасности стало уделяться в разы больше внимания в инфополе», — подчеркнул Сергей.
Вторым трендом является активность государства, нацеленная на то, чтобы обезопасить рынок и простых граждан от растущего числа угроз. 2022-й был богат на всевозможные законы, указы и нормативные документы. К примеру, были внесены серьезные правки в ФЗ «О персональных данных», также ужесточились ИБ-требования к объектам КИИ.
Третий тренд — усиление кадрового голода. В условиях дефицита квалифицированных специалистов начала активно развиваться «сфера услуг» в контексте ИБ: аутсорсинг, всевозможные cloud-платформы и т.д. Раньше бизнес скептически относился к подобным подходам, а теперь на рынке полно успешных кейсов. Этот тренд точно будет нарастать, потому что кадровая проблема не решится быстро, а число рисков в обозримом будущем вряд ли уменьшится.
Наконец, последний тренд — обучение киберграмотности. «Мы весь год учили специалистов отечественных компаний и государственных учреждений. ИБ-образование вообще должно стать непрерывным, потому что даже базовые курсы помогают заметно снизить количество инцидентов», — добавил Сергей Ожегов.
Ловим инсайдера
Интересный кейс привел Алексей Дрозд, начальник отдела ИБ SearchInform. Спикер описал реальный инцидент, который случился в одной из российских компаний. Дело закончилось обвинительным приговором: злоумышленник получил 1 год 9 мес. исправительных работ.
«В этой истории будет три героя: инсайдер Карл (устроился в компанию в отдел продаж), его начальница Клара (она же жертва) и почтовый ящик Клары, “кораллы” из которого украл Карл. Злоумышленник передавал информацию третьей стороне, и в итоге компания потеряла порядка 2 млн долл.», — начал выступление Алексей.
Работа в компании была организована так, что у сотрудников не было возможности взять домой ноутбук и решить какие-либо задачи удаленно. Классические качели «безопасно против удобно» качнулись в сторону «безопасно». Но, как известно, если ИБ мешает бизнесу, он попросту начинает ее игнорировать.
Поскольку Клара была руководителем отдела продаж, она не могла «отпустить» почту даже на больничном или в отпуске. Она придумала простое решение — дала подчиненным пароль от своей учетной записи. Сотрудник в офисе включал компьютер, открывал почту начальницы и, если там было что-то важное, звонил ей.
Карл, как и другие сотрудники, смотрел почту за себя и за Клару. Через год он перешел в другой отдел, но явки и пароли сохранил. На новом месте он поднял в Outlook ящик бывшей начальницы и «присосался» к ее почте, чтобы сливать данные конкурентам. Если говорить в терминах, приближенных к ИТ-реалиям, Карл работал в вендоре — производителе софта. Данные он сливал конкуренту/партнеру — интегратору, который в том числе продавал решения вендора. Таким образом Карл планировал заработать, а потом уйти на повышение к конкурентам. Дело в том, что интегратор работал не только на российском, но и на международном рынке, а это прямая перспектива зарубежных командировок и т.д.
Благодаря письмам, которые Карл пересылал себе на внешний почтовый ящик и передавал конкурентам, они получали весомое преимущество на переговорах. Знали болевые точки, понимали, какую скидку могут потребовать и др. Схема была проста как грабли.
«А теперь поставьте себя на место безопасников. У них и у руководства компании было предчувствие, что “откуда-то течет”. Но где искать инсайдера? Дверь закрыта, а топора нет... Безопасники где-то год отрабатывали разные версии, в том числе, что кто-то читает и сливает почту другого сотрудника. Это предположение трансформировалось в задачу: нужно искать человека, у которого на компьютере будет 2 ящика в Outlook», — добавил Алексей.
У этой задачи есть несколько вариантов решения. Самый простой — с помощью SIEM. К примеру, в продукте SearchInform есть отдельное правило «Доступ к ящику не владельцем». Тем не менее наличие правила еще не гарантирует успеха: чтобы оно отработало, сначала нужно определенным образом настроить почтовый сервер. В данном кейсе этот подход, к сожалению, применить было нельзя.
Другой вариант — DLP. На борту некоторых решений есть технология E-discovery, позволяющая анализировать данные на локальных устройствах сотрудников. В случае с Outlook это рабочий вариант: при создании ящика на компьютере появляется специальный дата-файл с расширением .OST. Соответственно, два ящика равно два файла. DLP пройдется по машинам сотрудников, найдет и скачает OST-файлы, их нужно будет разобрать и вычислить злоумышленника. Но это все же «костыль». Во-первых, разбирать файлы придется вручную, а это займет массу времени. Во-вторых, система будет гонять по сети огромный трафик. OST-файлы могут весить несколько гигабайт, а учитывая количество пользователей, их будет много.
Дублировать всю корпоративную почту в СХД — далеко не лучшая идея.
Оптимальный вариант — использовать DCAP-решение (Data-Centric Audit and Protection). Такие системы могут показать нужные файлы на компьютерах сотрудников в режиме аудита — без скачивания и засорения хранилища. Пример правила для системы: «Пройти по компьютерам пользователей и пометить все файлы с расширением .OST». Кроме того, можно усложнить параметры аудита и искать данные только конкретного ящика или только в определенных директориях.
«Важный момент: если анализировать результаты работы системы в ручном режиме, все будет красиво и наглядно. Но вручную просматривать данные по всей компании — это сложно и долго. Можно частично автоматизировать процесс и смотреть результаты поиска в консоли алерт-центра, но это все равно не самый эффективный способ. Гораздо лучше написать скрипты к алерт-центру, — рассказал Алексей. — Благодаря первому скрипту мы выгрузили названия всех компьютеров и ящиков в отдельный файл — в 2 колонки. А с помощью второго отбросили ложноположительные результаты. Например, сотрудников, у которых, помимо личного ящика, есть что-то вроде «info» для проведения корпоративных рассылок. Так мы значительно сократили итоговую выборку».
Итак, благодаря DCAP мы вышли на след Карла. Но за год у Клары накопилось порядка 3000 входящих и около 1000 исходящих писем. Как понять, какие из них инсайдер пересылал себе? Причем пересылать письма можно по-разному: целиком (экспортировать в файл), отправлять только вложения или вообще часть текста.
Процесс опять нужно автоматизировать. Зная конкретный факт, например, номер заказа или контракта, можно воспользоваться поиском по фразе или последовательности символов. Но в данном кейсе в двух случаях из трех инсайдер, вероятно, пересылал сообщения как есть — либо экспортировал письма в файлы, либо отправлял вложения. Здесь на помощь ИБ-специалисту приходят цифровые отпечатки. В их основе лежат хэши: у каждого файла есть определенный хэш, по которому можно найти такие же файлы в сети.
Осталось выстроить политику поиска. Первое условие — обязательное совпадение хэша (в нашем случае письма) с библиотекой отпечатков — письмами Клары. Мы исходили из того, что совпадение должно быть не менее 80%. Второе условие — проверяем только исходящую почту. Третье — «черный список»: проверяем не все исходящие письма, а только от конкретного пользователя. Если инсайдер пересылал экспортированные письма или вложения, мы определим это со 100% вероятностью. Собственно, так преступник и был пойман.
