Что такое «утечка данных» и как предотвратить эту угрозу

Автор: Натхан Соррентино

Когда произошла утечка?

Какие данные утекли?

Что делать?

Кто виноват?

Существует множество способов предотвращения угроз подобного рода, но давайте начнем с начала. В этой статье мы коснемся основ утечки данных (что это такое, причины возникновения и так далее) и рассмотрим некоторые базовые шаги, которые организация может предпринять для снижения риска, связанного с появлением в завтрашних заголовках популярных изданий.

Что такое «утечка данных»

Утечка данных – это когда некто получает неправомерный доступ к информации.

По чьей вине возникает утечка данных

Обычно существует три категории людей, которые могут стать причиной утечки данных внутри организации.

Случайный инсайдер

Иногда утечка данных может быть случайной. Например, кто-то работал в организации и имел слишком большие привилегии. В этом случае папка или файл могут оказаться в поле зрения случайно или вследствие нездорового любопытства. У человека не было намерения причинить ущерб, просто кто-то оказался в ненужное время в ненужном месте. В случае со случайными инсайдерами раскрытая информация не представляет особой угрозы, но меры по устранению проблемы все равно должны быть предприняты.

Злонамеренный инсайдер

Ситуация схожа с предыдущей с тем лишь отличием, что у данного типа инсайдеров нечистоплотные помыслы. Альтернативный вариант: когда у сотрудника был нужный уровень полномочий, но возникла мысль о мести текущему или бывшему работодателю. Злонамеренный инсайдер – самый неприятный сценарий среди рассматриваемых в этой статье, поскольку некто, к кому было доверие, становится причиной намеренной утечки. Классический пример, о котором многие из вас знают, - Эдвард Сноуден. Работая в АНБ в качестве подрядчика, у Сноудена был соответствующий уровень доступа, что стало причиной утечки чрезвычайно секретной информации о противоречивых правительственных программах.

Злонамеренный деятель со стороны

Злонамеренный деятель со стороны – любой злоумышленник, который получает неправомерный доступ к информации. В эту категорию попадает широкая группа людей с разной мотивацией, начиная от скучающего тинэйджера и заканчивая группой хакеров, спонсируемой правительством. Последствия от утечек, связанных с посторонними деятелями, могут оказаться очень неприятными. Недавние примеры, попадающие в эту категорию, - атаки на компании Target и Sony.

Что становится причиной утечки данных

Касаемо утечки данных, решающую роль могут играть разные факторы. Некоторые среди наиболее распространенных причин указаны ниже:

• Уязвимости в системе.

• Слабые или повторно используемые пароли.

• Целевые атаки.

• Избыточные права доступа.

• Вредоносные программы.

• Фишинг или спуфинг.

• Украденные учетные записи.

Уязвимости в системе

Часто по случайности компьютер или система становятся подвержены атакам разного рода из уязвимости в коде. Довольно распространенное явление. Хотя многие организации устанавливают обновления, зачастую системные администраторы не могут сразу же накатить патч по разным причинам или просто не знают, что появилась новая уязвимость, на основе которой написан эксплоит. Во многих случаях злоумышленники намеренно используют известные экспоиты там, где соответствующие обновления еще не установлены, что приводит к взлому и утечкам.

Слабые или повторно используемые пароли

Слабые и повторно используемые пароли пригодны для реализации атак навроде credential stuffing. Организации должны внедрить правила, чтобы пароли были более устойчивы ко взлому, как, например, принудительное использование различных типов символов и минимальную длину.

Сотрудники нередко используют корпоративную электронную почту для регистрации в сетевых сервисах, которые нужны для работы. В случае если один из подобных сервисов будет скомпрометирован, злоумышленник может использовать электронную почту и пароль для доступа к корпоративным или другим сетевым ресурсам. Если злоумышленник сможет получить доступ только почте, то дальше сможет сбросить пароль в другой системе. Эта схема сработает даже если пароль другой, поскольку в большинстве систем на электронную почту присылается ссылка для восстановления пароля.

Национальный институт стандартов и технологий (документ 800-63b) и компания Microsoft разработали рекомендации, которые многие считают радикальными подходом к политике паролей. Логика, пришедшая на смену старой тенденции, существовавшей в течение трех десятилетий, заключается в том, что устаревшие политики были неэффективными и принуждали пользователей создавать и повторно использовать небезопасные пароли. Ситуация постепенно меняется.

Целевые атаки

Целевая атака – это атака, нацеленная на конкретную организацию, и может включать в себя несколько векторов, которые в том числе упоминаются в рассматриваемом нами списке. Целевые атаки обычно тщательно планируются, основываются на нестандартных сценариях и могут включать техники, начиная от выступления от имени коллеги по работе или вышестоящего менеджера для получения ценной информации и заканчивая целенаправленной отсылкой поддельных писем конкретному сотруднику.

Избыточные права доступа

Как упоминалось ранее, подобные причины утечек часто связаны с инсайдерами. Если у сотрудников есть права доступа к ресурсам, которые не нужны по работе, открываются возможности для утечки данных, намеренной или случайной. На первый взгляд кажется, что проблему легко решить, но подобные ситуации возникают снова и снова, когда у сотрудника меняется роль, или права нового сотрудника наследуются от кого-то еще.

Вредоносные программы

Весьма вероятно, что большинство людей, читающих этот пост, хотя бы раз в жизни сталкивались с вредоносными программы. Приложения подобного рода разрабатываются с единственной целью – принести ущерб вашей системе. Инфицирование может происходить разными методами, но обычно через вложения в электронные письма или вредоносные ссылки. После заражения, как правило, у злоумышленника появляется неограниченный доступ к системе, который используется в качестве отправной точки для дальнейшего перемещение во внутрь сети (вбок или вертикально) с целью получения ценной информации.

Фишинг или спуфинг

Фишинг, иногда ассоциирующийся с распространением вредоносов, представляет собой рассылку электронных писем от имени достоверного источника. Цель мероприятия подобного рода – спровоцировать жертву на нажатие вредоносной ссылки, загрузку файла с вредоносом или вовлечение в схемы, связанные с отправкой денег или получением конфиденциальной информации.

Украденные учетные записи

Украденные аккаунты обычно добываются посредством атак на основе фишинга. Пользователю отсылается поддельное электронное письмо, которое выглядит легитимно, а после нажатия на ссылку, появляется страница авторизации, полностью имитирующая оригинальную страницу сайта. После «авторизации» на поддельной странице у злоумышленника окажется информация об учетной записи. Поскольку большинство людей повторно используют пароли, украденная учетная запись потенциально может быть использована для доступа к нескольким сервисам или для получения ценной информации (особенно в сочетании с чрезмерными правами доступа!).

Что делать в случае утечки данных

Хотя утечка данных – явление неприятное (некоторые даже скажут, что неизбежное), организация может предпринять некоторые шаги для минимизации ущерба для данных и систем, а также сохранить репутацию бренда и доверие покупателей. Наиболее важный шаг – подготовка.

Есть ли у вас внутренние ресурсы для реагирования на инциденты и разработанный план? Если нет, рассмотрите возможность заключения договора с фирмой, которая предоставляет услуги подобного рода. Как насчет юридической стороны вопроса? Обладают ли ваши юристы достаточными компетенциями для сопровождения вас через бремя уведомлений и ответных обязательств? Когда в последний раз ваша команда проводила тестирование подготовленного плана во время учебной утечки данных? Четко ли распределены роли и сферы ответственности, чтобы действовать в едином ключе?

Когда произойдет настоящая утечка информации, у вас не будет времени, чтобы искать ответы на эти вопросы. Эффективное и своевременное реагирование подразумевает тщательную подготовку. Хотя невозможно затронуть все аспекты, но главное, что ваш отдел реагирования должен действовать сообща с юристами.

Кроме того, существует три основных вида мер, которые вы можете предпринять во время утечки данных.

Оповестить пострадавших

Этот шаг может казаться очевидным, но в реальности пренебрегаемый многими. Доверие чрезвычайно важно в бизнесе. На первый взгляд может показаться, что лучше не раскрывать информацию об инциденте, однако в долгосрочной перспективе честность выигрывает. Более того, за сокрытие информации об утечке от общественности и государства могут быть предусмотрены высокие штрафы.

Обновить пароли со всех учетных записей

Будь то сотрудники или пользователи, которые платят за ваши услуги, важный шаг – сбросить пароли со всех аккаунтов. У этой меры двойное назначение: блокировка учетных записей, украденных злоумышленником, и принуждение пользователей к замене паролей, которые могут быть скомпрометированы.

Как предотвратить утечку данных

Хотя есть множество мер, которые организация может предпринять для снижения риска утечки данных, есть несколько простых шагов для повышения уровня безопасности:

1. Внедрить политику безопасности.

2. Придерживаться принципа наименьших привилегий.

3. Внедрить корпоративную политику паролей.

4. Обучать сотрудников.

Внедрение политики безопасности

Реализация политики или программы в сфере безопасности, которая сфокусирована не только на защиту конфиденциальной информации, но и учетных записей, обеспечивающих доступ к этой информации – критически важно для снижения рисков. Почему? Поскольку учетные записи и данные – два общих знаменателя в каждом инциденте, связанным с утечкой.

Принцип наименьших привилегий

Один из наиболее важных принципов, которого следует придерживаться, - принцип наименьших привилегий. То есть когда у всех сотрудников и аккаунтов (особенно у привилегированных пользователей) уровень доступа в строгом соответствии с выполняемыми функциями. Повторимся еще раз, особенно в случае с привилегированными пользователями следует придерживаться подхода к управлению привилегированным доступом (PAM), когда в случае отсутствия необходимости использование подобных аккаунтов полностью исключено. Когда все пользователи имеют доступ только к нужным ресурсам, риск от компрометирования отдельной учетной записи снижается экспоненциально.

Корпоративная политика паролей

Внедрив общекорпоративную политику паролей, ваша организация убудет защищена от многих атак на механизмы аутентификации. Подобная политика предусматривает отключение слабых или уже скомпрометированных паролей – вне зависимости, удовлетворяют ли эти пароли требованиям сложности. В дальнейшем принудительная гигиена касаемо паролей снижает возможности злоумышленников во время взлома или угадывания паролей при помощи автоматических и ручных методов.

Если вы не хотите использовать правила о периодической смене и сложности пароля, тогда рекомендации следующие: двухфакторная аутентификация, длина пароля не менее 14 символов и отсутствие в базе утечек. Если пароль обнаружен в подобной базе, требуется замена. Иначе пароль может оставаться навсегда.

Обучение сотрудников

Возможно, наиболее важная мера в этом списке. Организации должны тратить время и другие ресурсы на обучение сотрудников. Например, как вовремя распознать фишинговую атаку. Участие в этих мероприятиях нужно сделать обязательным. Небольшая инвестиция сейчас в дальнейшем может окупиться многократно. Даже если обучение поможет избежать хотя бы одной утечки, то вложение ресурсов уже окажется выгодным.