Технологии не только во многом упрощают жизнь и дают возможность модернизировать бизнес, но и позволяют значительно расширить арсенал инструментов, которыми орудуют киберпреступники. При этом, к сожалению, раскрываемость киберпреступлений в прошлом году в нашей стране составила всего 8%.
Очевидно, далеко не только процессуальные трудности или политические и экономические причины влияют на ход и успешность расследования киберпреступлений. Многие риски попросту могут остаться незамеченными. На это влияют как использование злоумышленниками механизмов анонимности и многоуровневого шифрования, так и нестандартность способов совершения преступления.
«Утекающие» бумаги
Одной из распространенных, но зачастую упускаемых из вида киберугроз является утечки конфиденциальной информации на бумажных носителях. На первый взгляд эта проблема может показаться далекой от вопросов цифровой безопасности. Однако поскольку весь документооборот в крупных организациях ведется в электронных системах и достать оттуда нужный файл при наличии соответствующего доступа не представляет сложностей, вопрос безопасности внутренней информации становится особенно актуальным. Ведь полученный документ можно распечатать и сфотографировать на смартфон, сканировать или вынести из офиса, чтобы затем передать в СМИ или конкурентам. Такие утечки, согласно последнему исследованию Infowatch, достигли в России за последний год четверти ото всех корпоративных утечек.
Заметить их довольно сложно, так как просто невозможно досматривать поголовно всех сотрудников на выходе с работы. Популярные системы класса DLP тут тоже ничем не могут помочь: они помогают отслеживать движение только цифровой информации. Поэтому, даже зная о такой угрозе, службы информационной безопасности зачастую просто не представляют, каким образом решить проблему «сливов» конфиденциальной информации.
К счастью, современные технологии позволяют контролировать сохранность конфиденциальных документов на бумажных носителях. Разработанные системы используют алгоритмы аффинных преобразований, изменяя несколько незаметных для человеческих глаз параметров в документе, с которым сотрудник работает в СЭД.
В результате каждому пользователю выдается персональная уникальная копия. Поэтому, если кто-либо в компании решит несанкционированно передать внутренний документ, внедренное в информационную систему компании решение гарантированно выявит злоумышленника по микроизменениям в шрифте и интервалах.
Перехват данных на раз-два
О другом типе неочевидных киберугроз стало известно относительно недавно. Так, был разработан способ атаки по сторонним каналам, который позволяет перехватить ключ шифрования AES-256 всего с одного метра. Общая стоимость аппарата, состоящего из готовых электронных компонентов, составила $224. «Поймав» электромагнитные излучения атакуемого объекта, эксперты за несколько минут смогли перехватить ключ шифрования.
Примечательно, что перехватывающее устройство очень миниатюрно, его несложно пронести с собой, не привлекая особого внимания. Кроме того, чем ближе аппарат находится к атакуемому компьютеру, тем меньше времени требуется для совершения операции.
Защита от такого типа угроз предполагает обращение к комплексу несложных, но все же действенных мер. Так, правильное заземление, физическая охрана объекта успешно помогают в борьбе с нежелательным перехватом информации.
«Бесфайловые» атаки: без следа
Еще одна неочевидная угроза, о которой, как мы считаем, имеет смысл рассказать, является скрытой в буквальном смысле этого слова. О так называемых «бесфайловых» (fileless) атаках заговорили в начале этого года. Обнаруженные в информационных сетях банков, телекоммуникационных компаний, правительственных организаций зловреды использовали технику, при которой вирус проникал через Word и Excel файлы или через зараженные веб-страницы.
Пользователь получал по электронной почте письмо со вложенным документом, для прочтения которого необходимо было запустить зараженный макрос. Как только читатель открывал его, зловред начинал действовать. А поскольку вредоносные команды были вшиты в ресурсные записи DNS, «бесфайловые» вирусы не оставляли видимых следов на диске компьютера. Именно этот фактор значительно осложнял распознавание вредоносного программного обеспечения.
Свести к минимуму риски, связанные с «бесфайловыми» атаками, компании могут ограничив доступ к критическим ресурсам, таким как сервер Command & Control. Также можно отключить макросы на неиспользуемом компьютере или, в крайнем случае, перезагрузить систему – этого может быть достаточно, чтобы атака прекратилась. Однако последние две меры правильнее назвать, скорее, реактивными, нежели чем профилактическими.
Учиться и еще раз учиться
Еще одна проблема информационной безопасности хоть и в меньшей степени, по сравнению с другими рассмотренными, касается технологий, но все равно может стать головной болью для многих ИБ-служб.
Сложность заключается не только в незнании правил информационной безопасности. Многое связано также с нежеланием рядовых пользователей признавать свою ответственность за данные, работая в корпоративных сетях. Нередко люди считают, что департамент по информационной безопасности с легкостью решит все возникающие проблемы, однако наши коллеги просто физически не всегда могут отследить каждое нарушение.
В этом случае карательные меры – штрафы, увольнения – вряд ли будут эффективны. Важно дать понять сотрудникам, почему соблюдение требований информационной безопасности имеет значение не только для компании, в которой они работают, но и для них самих. Нарушив правила в одной организации, возможно даже не подозревая об этом, пользователи будут допускать те же ошибки и на другой работе. Не говоря уже о пренебрежении принципами информационной безопасности в частной жизни. Важно регулярно проводить обучающие сессии, тренинги, использовать специальные решения (например, PhishMan), предполагающие рассылку в компаниях псевдо-фишинговых писем и организацию обучения с тестированием для тех, кто ведется на провокацию. Да, это требует времени и сил, но служит отличной профилактикой финансовых и репутационных потерь, вызываемых ИБ-угрозами.
Резюмируя, отметим, что на наш взгляд, самая главная профилактика как от широко распространенных, так и от скрытых угроз – постоянный их мониторинг и обучение сотрудников. Конечно, нельзя игнорировать современные технологические решения, а также уже описанную выше физическую защиту объектов, но, мы уверены, что именно из всеобщего осознания реальной опасности киберугроз складывается действительно защищенная информационная среда организаций.
