«Человеческий фактор» — самая серьезная уязвимость в любой системе безопасности. Достаточно одного необдуманного действия сотрудника, чтобы ценная информация оказалась под угрозой. А если работник решил целенаправленно нанести вред «любимой» компании, своевременно обнаружить угрозу и предотвратить вредоносные действия становится крайне сложно. Примером служат многочисленные скандалы с участием инсайдеров. Жертвы, чаще всего, обнаруживали утечку постфактум, когда ценная информация попадала в открытый доступ, а инсайдер оказывался вне досягаемости.
Главное средство эффективного противодействия атакам – понимание моделей проникновения сквозь периметр безопасности и человеческой психологии. В игре «укради информацию и беги» практически всегда участвуют три компонента: злоумышленник, сотрудник компании и машина. К последнему составляющему, при условии наличия хотя бы минимальной защиты, претензий нет. Любое базовое программное обеспечение в большинстве случаев способно предотвратить проникновение вредоносного ПО или несанкционированный доступ в сеть. Но, как только на арене появляется человек, работающий в компании, многие защитные контуры могут рухнуть в одночасье. И не важно, была ли атака фишинговой, инспирировал ли на угрожающие действия сотрудника социальный инженер, или хитрый работник принял самостоятельное решение поработать на конкурентов. Риски резко возрастают, ведь угроза уже проникла внутрь организации.
Минус любой комбинированной атаки извне с поддержкой изнутри заключается в том, что людям необходимо взаимодействовать, общаться. А для этого нужны инструменты коммуникаций, например такие, как мессенджеры, электронная почта и социальные сети. Именно в мутной воде ничего не значащих сообщений стоит искать скрытую угрозу.
Время, когда можно было спокойно заблокировать ненавистный «ВКонтактик» уже безнадежно кануло в лету. Во-первых, сформировалась объективная реальность, в которой большинство важных контактов находится не в записной книжке или электронной почте, а именно в социальных сетях. Это удобно: можно отправлять сообщения, вложения, видеть состояние доставки и время, когда абонент был на связи. Техническая реализация систем диалога на голову превосходит электронную почту и ряд мессенджеров. Во-вторых, уровень доступности смартфонов и планшетов позволяет с уверенностью утверждать — любой запрет на использование социальных сетей всего лишь сублимация, не приносящая реального результата и не решающая проблему. Благодаря невысоким ценам на портативные девайсы и высокоскоростной интернет практически любой сотрудник может тут же обзавестись гаджетом и начать общаться в социальных сетях вне поля зрения работодателя. Да, это не так удобно и быстро, как с помощью клавиатуры и большого монитора, но и не настолько катастрофично, чтобы вовсе отказаться от затеи. В сухом остатке имеем непреложный факт – социальные сети будут использоваться на рабочем месте, не зависимо от желания работодателя. И главный вопрос в том, будет ли сохранена возможность вести мониторинг коммуникаций персонала, или компания внедрит всевозможные запреты, благодаря которым проблема выйдет из поля зрения, но не исчезнет полностью.
Если вынести за скобки вопрос нецелевого расхода рабочего времени, тут же возникает другой вопрос – с кем и о чем общаются сотрудники? Так ли безопасны эти диалоги?
Даже если персонал максимально лоялен, всегда остается угроза социальных инженеров и фишинга. В первом случае нерадивого сотрудника ожидает «допрос с пристрастием» с целью получения максимума информации, необходимой для кражи. Никто не будет в лоб просить предоставить логины и пароли к закрытым базам данных. На первоначальных этапах атаки вопросы могут казаться весьма безобидными, ведь злоумышленнику нужно получить как можно больше информации о внутренней кухне организации для дальнейшего внедрения и эффективного манипулирования жертвой.
В случае с фишингом все еще проще и интереснее. Зачем искать почтовые адреса, если часть сотрудников указывает место работы в профилях социальных сетей? Две секунды на фильтрацию жертв по критериям и можно начинать рассылать вредоносные ссылки или файлы. В ежегодном опросе, проводимом среди специалистов по информационной безопасности, 48% респондентов отметили социальные сети, как главный источник утечек ценной информации.
Когда речь заходит об инсайдерах, ситуация коренным образом не меняется. Им также необходимо коммуницировать с людьми извне, искать покупателей на свой «товар», получать ценные указания от кураторов со стороны конкурентов. Естественно, делать это приходится в рабочее время, ведь информация — продукт скоропортящийся. Клиента нужно «продать» до заключения договора, информацию о тендере необходимо «сливать» до начала торгов.
Для этих целей отлично подходят социальные сети, электронная почта или один из популярных мессенджеров. С помощью Skype или Viber злоумышленники могут выполнить ровно те же действия, что и с помощью социальных сетей. Вот только даже призрачной надежды заблокировать один из популярных мессенджеров, у работодателя нет. В современном цифровом мире подобные действия равносильны медленному самоубийству.
Изучая и анализируя методики хищения данных, инженеры компании Стахановец постоянно совершенствуют и модернизируют программный комплекс. Меньше, чем за год была внедрена технология перехвата и распознавания голосовых переговоров в мессенджерах, добавлена реакция на ключевые фразы, возможность анализировать отклонения в поведении сотрудников. В версии 6.02 возможности борьбы, как с инсайдерами, так и с атаками извне были расширены еще больше. Теперь Стахановец «умеет» детально отслеживать работу любых приложений, делая скриншоты при обновлении контента.
Схема работы проста: в настройках указывается список приложений, требующих особого контроля. Причем, не обязательно внедрять такой мониторинг для всех сотрудников, при необходимости можно наблюдать за одним или несколькими работниками, у которых есть доступ к конфиденциальным данным, или которых подозревают в работе на конкурентов.
Как только пользователь, оказавшийся в списке, обращается к потенциально опасной программе, Стахановец начинает фиксировать любое изменение контента, делая скриншоты. И, если вдруг сотрудник решит «поделиться» ценной информацией, например в скайпе, нарушение защитного периметра не останется незамеченным.
Какими бы инструментами не пользовались злоумышленники, им можно противостоять. Для этого всего лишь необходима гибкая система защиты, способная всесторонне оценивать риски, вести мониторинг и индивидуально настраиваться для противодействия конкретным угрозам.
