Лазейки для кибератак: уязвимость внешнего периметра или беспечность сотрудников?

Без сомнения, всем знакома ситуация, когда полученные результаты расходятся с ожиданиями. Так же и в обеспечении ИБ: внедренные решения далеко не всегда оправдывают возложенные на них надежды.

В наши дни мало кто не слышал о всепроникающей цифровизации, а на протяжении последних 20 лет ИТ-индустрия целенаправленно занимается автоматизацией. Онлайн-технологии проникли во все бизнес-процессы компаний, в том числе в организацию труда. Обозначить границы цифровой среды компании стало настолько сложно, что расхожее понятие «внешнего периметра» стало откровенно вредным, так как традиционно технократически консервативные службы ИБ пытаются ограничить этим самым «периметром» свою ответственность. Такой подход никак не соотносится с целями компании.

Системы защиты информации, призванные обеспечить контроль и выполнение политик и регламентов в области ИБ, являются хорошим инструментом, но зачастую ограничены заранее заложенными в них правилами на основе известных сценариев атаки злоумышленника или сценариев утечки информации. Что происходит, если его жертве ничего об этих правилах не известно, а атакующий прекрасно в них разбирается? Системы предотвращения и обнаружения атак работают считаные минуты, а атакующие действуют стремительно. Действия злоумышленников с каждым днем все больше похожи на «нормальное» поведение, и системы защиты на «периметре» зачастую просто не способны отличить легитимные действия от действий злоумышленников. Не говоря уже о целенаправленном заражении личных устройств топ-менеджмента, которые затем несут на починку ИТ-шникам, или вовсе старое-доброе разбрасывание «флешек» по офису. Т. н. «периметр» способен предотвратить или обнаружить только известную угрозу и бессилен против мало-мальски креативного подхода.

Атакующий, безусловно, сталкивается с некоторыми трудностями во время преодоления систем защиты, использует инструменты поиска и эксплуатации уязвимостей, включая социальную инженерию. В итоге он либо обнаруживает слабое звено в системе защиты, прикладном или системном ПО, либо находит нерадивого сотрудника, который, сам того не зная, помогает атакующему.

Жертвы злоумышленников чаще всего не подозревают, что были атакованы. Или, заподозрив неладное, скрывают свою ошибку даже от самих себя, искренне веря в то, что ничего страшного не произошло. Причина такого поведения кроется в недостаточной осведомлённости жертв о том, каким образом их могут обмануть, что обычно предшествует атаке, на что необходимо обращать внимание, как действовать и каковы могут быть последствия.
«Безопасники» же, в случае успеха атакующего, обычно ищут причины своих неудач вокруг себя. Довольно часто виной всему считают технику, еще чаще – коллег. Нередко в подобной ситуации сотрудник может услышать: «Вы не в курсе, что это запрещено политикой компании?» или «Вы были ознакомлены с правилами при оформлении на работу!»

В современных условиях продолжение «укрепления» так называемого «периметра» становится бесперспективным занятием, что подтверждается рядом экспертов.
Данные исследований компании IBM за 2013–2016 годы обескураживают: 95% всех расследованных инцидентов ИБ признают «человеческую ошибку» как сопутствующую причину инцидента безопасности.

Участники третьего годового сравнительного исследования обеспечения ИБ, проведенного корпорацией «Cisco», считают мобильные устройства (58%), общедоступные облака (57%), облачную инфраструктуру (57%) и модель поведения пользователей (57%) важнейшими источниками угроз при кибератаках.

Данные международного опроса «Ernst & Young» за 2013–2017 годы показывают, что неосмотрительность и неосведомленность сотрудников, по мнению респондентов, лидируют в числе причин уязвимости, т. е. самым слабым звеном в системе ИБ в последние пять лет считается сам человек.

Одним из важнейших активов любой компании являются информация и информационные системы, а их защита – задача повседневной деятельности служб ИБ. В процессе своей деятельности «безопасники» борются с техническими уязвимостями и утечкой информации, создают системы защиты и расследуют инциденты. Как уже отмечалось выше, службы ИБ традиционно консервативны, склонны к недоверию, а любые ошибки сотрудников, даже случайные, относят к непроходимой глупости последних. Но людям свойственно ошибаться, они это делают постоянно. Проблема заключается в том, что ошибки сотрудников существенно снижают эффективность систем защиты информации, и с развитием технологий все заметнее становится влияние так называемого «человеческого фактора».

Примеры кибератак, иллюстрирующие текст материала

Пример, демонстрирующий, что не «периметром» единым обеспечивается безопасность бизнеса:

«Собственник/генеральный директор уехал на «цифровой детокс», куда-то в Азию в монастырь. На программу очистки разума и тела. Одним из аспектов которой является отказ от всех средств коммуникации. Пока до него никто не мог дозвонится и дописаться, его заместитель фактически вывел все что мог в своё юр лицо под вывеской «налоговой оптимизации». Часть ключевых клиентов, существенную часть персонала, деньги по сервисным контрактам в общем все до чего смог дотянутся за две недели. Не совсем рейдерство конечно, но в данном случае лучше бы оно, потому что теперь отвоевать «половину» уже не удастся. При чем готовился собственник к такому мероприятию не один месяц (шутка ли бизнес бросить без присмотра), и заместитель тоже вплетал в эту подготовку определённые «маяки», которые в общем были видны.
Мораль безусловно не в том, что телефон стоит примотать скотчем к уху, а в контролях и диверсификации полномочий и прочих мерах именно логических, а не технических. Кейс интересен именно тем, что время атаки было выбрано именно в отсутствие канала связи. Которое вполне себе может случится и вне «цифровых детоксов» и заборы вокруг офиса не помогут». [источник Д.А. Мананников, https://www.facebook.com/dmitriy.manannikov/posts/1806115612733408]
Если говорить про использование человеческого фактора внешним злоумышленником, то такого рода атаки на организации обычно хорошо спланированы. Чаще всего атаки многоступенчатые и сложные, направленные на конкретную организацию или её сотрудника, атаки с четко поставленной целью. Около 2/3 атак начинаются с фишинга (phishing). Злоумышленники рассылают фишинговые письма, которые направлены лично вам или в адрес организации. В такого рода e-mail обращаются лично к вам или компании от имени знакомого вам лица или контрагента. Обычно создаётся ситуация имитирующая дефицит времени и требующая вашей немедленной реакции. Например, просят ввести ваши логин с паролем или открыть вложение.

С помощью подобных не детектируемых на «периметре» атак в 2016 году было похищено 2,2 млрд. рублей и 1,156 мдрд. рублей в 2017 году из российских банков, основная доля из которых пришлась на хакерские группировки Buhtrap и Cobalt.

Согласно отчетам Group-IB «Buhtrap. Эволюция целенаправленных атак на банки» и «Cobalt. Логические атаки на банкоматы»:

«Основная причина успеха Buhtrap - плохая осведомленность о процессе проведения целевых атак на финансовый сектор: участники рынка не понимают, как именно реализуются атаки. Основным вектором проникновения в корпоративные сети являются фишинговые письма от имени Банка России или его представителей. Далее вредоносные программы целенаправленно ищут машины с автоматизированным рабочим местом клиента Банка России».

«Основная же причина успеха Cobalt схожа с предыдущей. Основным способом проникновения в банковскую сеть является отправка фишингового письма с вложением, которое содержит эксплойт или исполняемый файл в архиве. Далее эксплуатировалась уязвимость CVE-2015-1641 и в оперативную память загружалась полезная нагрузка, которая называется Beacon, входящая в состав Cobalt Strike. Cobalt Strike - это богатый фреймворк для проведения тестов на проникновение, позволяющий доставить на атакуемый компьютер полезную нагрузку и управлять ею. Затем происходило закрепление злоумышленника внутри «периметра» и атака на сеть банкоматов. По команде из внутренней сети банка программа запускала выдачу купюр, которая продолжалась до полного опустошения кассет».

По сообщению газеты «КоммерсантЪ» , в начале июля 2018 года ПИР-банк лишился по меньшей мере 58 млн. рублей, средства были выведены веерной рассылкой на пластиковые карты физических лиц в 22 банках и обналичены. «Вирус, которым атакован банк, не подлежит идентификации имеющимися сейчас средствами, что было подтверждено сотрудниками ФинЦЕРТ, с наибольшей вероятностью вирус проник в банк через фишинговое письмо», - отметил председатель правления банка Ольга Колосова.

Всё вышеописанное стало возможным не столько от того, что внутри «периметра» не всегда вовремя обновляется системное и прикладное ПО, а в большей степени из-за того, что сотрудники не проявляли никакой осмотрительности при работе с информационными системами, без тени сомнения открывая любые вложения к e-mail.

Объективной картины на основе статистики нарисовать не получится, т.к. компании склонны «не выносить сор из избы» и только последствия атак или сами атакующие позволяют инцидентам безопасности становиться достоянием общественности. Например, в конце 2017 года в результате проведённого аудита стало известно, что в 2016 году Uber взломали, были украдены данные 50 млн. пользователей и 7 млн. водителей, но компания заплатила хакерам $100 000 и скрыла инцидент .

Рассматривая человеческий фактор, выделяют две формы его проявления. Первая – халатность, невнимательность и ошибки. Вторая – личная мотивация, другими словами, преднамеренные действия. Обе эти формы влияют на принимаемые решения, и чаще всего не в лучшую сторону. В случае с преднамеренными действиями нарушителем чаще всего является привилегированный сотрудник. За такими сотрудниками должен осуществляться повышенный контроль, так как ущерб от преднамеренных нарушений может быть внушительным или даже непоправимым.

В то же время непреднамеренные действия довольно трудно поддаются контролю и могут наносить более серьезный ущерб из-за своей непредсказуемости. Потеря флешки, работа с чувствительной информацией в общественных местах или публикация оной в социальных сетях, удаленная работа из дома, в командировке и в отпуске – все это плохо предсказуемо с точки зрения ИБ. И здесь важен не столько контроль, сколько работа с персоналом, его обучение, вовлечение в процесс обеспечения безопасности. Сотрудник должен правильно понимать действующую в компании политику, правила, цели их соблюдения и возможные последствия их нарушения.

Обучение сотрудников принятию правильных решений и правильному поведению представляет собой эффективный способ свести к минимуму влияние человеческого фактора на обеспечение информационной безопасности.

Приведем пример из практики. Он связан с работой DLP-системы одной государственной компании. За год до запуска процесса обучения было зафиксировано около 300 инцидентов, которые создавали предпосылки к разглашению информации ограниченного доступа. Спустя год после проведения обучения инцидентов было чуть более 100, причем штат за это время увеличился на 25%. За два последующих года штат компании увеличился еще на 30%, а показатель в 100 инцидентов в год сохранился. Тут нужно уточнить две вещи. Первая: процесс был выстроен через очное обучение и повторные его сеансы в случае нарушений. Вторая – хотя данный пример и является успешным, не стоит его воспринимать как статистику и преувеличивать репрезентативность столь малой выборки.

Обычно такой подход дает положительные результаты при отсутствии значительной территориальной распределенности сотрудников, офисов и филиалов (до 1000 сотрудников, 2–3 офиса в рамках 1–2 городов). А что делать, если сотрудников тысячи, а офисов и филиалов – сотни?

Одно из решений для повышения осведомленности сотрудников в области ИБ – это применение автоматизированных систем управления знаниями (далее – Awareness). Awareness позволяет выявлять недочеты знаний сотрудников, выстраивать процесс обучения и исследовать закрепленные навыки. Это, в свою очередь, позволяет проводить адресное обучение тех сотрудников, которым оно необходимо, и избегать ситуации, когда сотрудники, успешно прошедшие тестирование, через некоторое время забывают информацию, полученную в курсе обучения.

Из дополнительных сценариев применения Awareness можно отметить обучение и проверку знаний по любому профилю, не обязательно связанному с ИБ. Например, для адаптации новых сотрудников или при переходе на новую должность. Awareness может стать мощным инструментом улучшения культуры производства и повышения производительности труда.

Сотрудники обучаются с учетом заложенной в Awareness специфики и постоянно поддерживаются «в тонусе». Обучение становится целевым, своевременным, доступным, а службы ИБ получают возможность превратить человеческий фактор из недостатка в преимущество.