Як запобігти витоку даних у 2023 році

Ключем до запобігання витоку даних у сучасних умовах кібербезпеки є точне розуміння того, як вони відбуваються, та комплексний підхід до системи безпеки організації.

Число витоків даних зростає

Рік за роком кількість витоків даних продовжує зростати. Згідно з щорічним звітом про витік даних за 2021 рік, підготовленим Identity Theft Resource Center, у 2021 році організації повідомили про 1862 витоків даних у порівнянні з 1108 у 2020 році.

У той час як найбільші витоки даних, такі як Equifax або Yahoo! потрапляють у всі ЗМІ, дуже часто ці атаки це не лише про цифри. Для малого бізнесу, начебто, незначне порушення безпеки може мати серйозні наслідки, аж до його закриття. У випадку деяких галузей, тип втрачених конфіденційних даних, таких як номери кредитних карток, фінансова інформація або медичні дані, може понести за собою величезні штрафи, а також серйозно вплинути на власників даних цього типу.

Зростання кількості витоків даних можна пояснити в основному чимраз більшим інтересом злочинців до даних. Чим більше ми йдемо до цифрового суспільства, тим вища цінність даних для злочинців. Витік конфіденційної інформації, такої як номери соціального страхування, поряд з іншими особистими даними та/або PII, може дозволити кіберзлочинцям легко видавати себе за інших у цифровому світі.

Більшість витоків даних справді є результатом злочинної діяльності. Центр ресурсів з крадіжки особистих даних (ITRC) називає фішинг та програми-вимагачі основними загрозами безпеки та основними причинами компрометації даних. ITRC також заявляє, що у 2021 році було більше компрометацій даних, пов’язаних із кібератаками (1603), ніж усіх компрометацій даних у 2020 році (1108).

Анатомія кібератаки

Недостатнє розуміння кібербезпеки може бути однією з основних причин, через яку не всі організації мають достатній захист від витоку даних. І в цьому частково винні ЗМІ, які фокусуються на популярних термінах, таких як фішинг та програми-вимагачі. Цим самим змушуючи багатьох повірити в те, що якщо вони добре захищені від цих двох типів кібератак, вони можуть бути спокійні. На жаль, це дуже далеко від істини.

Майже кожна кібератака є складним ланцюжком дій. В ній залучені не тільки комп’ютери, але в першу чергу люди та їх слабкості. Найвідоміші зловмисні хакери в історії, такі як Кевін Митник, були не тільки майстрами комп’ютерів, але, що важливіше, майстрами соціальної інженерії. Кібератака, яка призводить до витоку даних, може зайняти багато часу, навіть кілька місяців. Це може означати, що зловмисник встановлює обмеження на ресурси, проводить розвідку та використовує багато різних методів на своєму шляху.

Наприклад, зловмисник може почати з виявлення вебвразливості міжсайтового скриптингу (XSS) на одному з другорядних вебсайтів, що належать організації, наприклад, на маркетинговому вебсайті. В той самий час він розкриє організаційну структуру і вибере ключових користувачів як цілі. Потім цільові користувачі будуть уражені цільовою фішинг-атакою, в якій буде використовуватися раніше знайдений XSS. Відсутність захисту від витоку даних (DLP) дозволить користувачеві розкрити облікові дані для входу в систему зловмиснику. Потім зловмисник перевірить, чи працюють ті самі облікові дані для різних систем. Спробує з’ясувати, чи може він отримати доступ до основного бізнес-додатка організації. Цей несанкціонований доступ може призвести до того, що зловмисник виявить більше дірок в системі безпеки, отримає більше дозволів і, зрештою, встановить вебоболонку, яка дозволить йому виконувати команди, використовуючи операційну систему вебсервера. Це, своєю чергою, дозволить встановити програми-вимагачі.

Як бачите, програма-вимагач – це лише крихітний останній крок атаки. Жодне програмне забезпечення для захисту від програм-вимагачів не допоможе, якщо зловмисник зможе виконати попередні кроки. Засоби масової інформації та навіть ITRC розглядають програми-вимагачі як першопричину витоків даних (оскільки це «привабливий» термін). При цьому, вони не враховують, що такі програми повинні спочатку якимось чином проникнути в системи.

Профілактика шляхом повного охоплення

Щоб уникнути ситуацій, подібних до наведеного вище прикладу, організації повинні переконатися, що їхні політики безпеки зосереджені на комплексному захисті, а не лише на дотриманні вимог відповідності (GDPR, HIPPA). На жаль, багато організацій проводять аудит та оцінку систем безпеки просто для галочки.

До кібербезпеки слід ставитися, так само як до фізичної безпеки. Немає сенсу встановлювати додаткові замки на двері, якщо вікно можна легко розбити. Проблемою для багатьох організацій є той факт, що кібербезпека є дуже складною темою. Часто, знайти всі ці вікна та двері важко. А нинішній дефіцит кадрів у галузі кібербезпеки лише ускладнює це питання.

Ось деякі з областей, які часто залишаються недостатньо захищеними:

  • Людський фактор залишається найбільшим ризиком для кібербезпеки. Навчання допомагає зменшити людські помилки, недбалість, шахрайство та фішинг. Однак, навіть якщо ви добре навчаєте співробітників, це не допоможе запобігти навмисним зловмисним діям. Програмного забезпечення для захисту від шкідливих програм недостатньо, щоб запобігти заподіянню шкоди людьми своєю навмисною або ненавмисною поведінкою. Воно має працювати в парі з іншими рішеннями, такими як програмне забезпечення для запобігання втрати даних (DLP). Перше запобігає установці шкідливого програмного забезпечення на кінцевій точці, а друге запобігає ручному обміну конфіденційною інформацією за межами бізнесу, наприклад, через соціальні мережі, а також переміщення її з жорсткого диска ноутбука на портативні носії без достатнього захисту даних (шифрування).

  • Перші етапи кібератак найчастіше пов’язані з людським фактором, але деякі з них починаються з пошуку вразливостей у комп’ютерних системах. Якщо лише кілька років тому це було в основному питанням мережевої безпеки та оновлення систем, як тільки будуть доступні патчі, перехід у хмару та розвиток вебтехнологій не тільки у додатках, але також в API та мобільних технологіях змістили акцент на безпеку вебдодатків. Багато організацій досі живуть минулим і зосереджуються лише на мережевій безпеці. Вони не розглядають вебвразливості та неправильні конфігурації з належною обачністю і натомість думаючи, що VPN та брандмауера вебдодатків буде достатньо.

Інша проблема полягає в тому, що фахівці з кібербезпеки часто не розуміють психологію користувачів. Одним із яскравих прикладів цього є те, як часто команди кібербезпеки не розуміють підхід користувачів до паролів. Змушуючи користувачів створювати паролі, що включають великі літери, цифри та спеціальні символи, вони зрештою призводять до того, що більшість людей використовують паролі, схожі на «Пароль1!», які легко зламати і які є зовсім не надійними паролями. Зміна пароля щомісяця просто змушує їх змінювати «Пароль1!» на «Пароль2!» та повторно використовувати свої паролі у всіх системах. Натомість організаціям слід використовувати нові технології, такі як багатофакторна автентифікація, а також біометричні та апаратні ключі, та просувати такі рішення, як менеджери паролів серед своїх користувачів.

Рецепт успіху?

Не існує простого рецепта для підтримки найкращого рівня безпеки та запобігання витоку даних у 2023 році. Найкраще найняти потрібних людей, переконатися, що ви не живете минулим, і зрозуміти, що для охоплення всіх критичних моментів вам знадобиться багато різних технологій, рішень та заходів безпеки. Недостатньо купити одне рішення, яке використовує модні гучні слова у своїх маркетингових кампаніях.

Може, 10 років тому DLP або DAST і не були потрібні, і можна було покластися на антивірусне програмне забезпечення та брандмауер. Однак, у світі кібербезпеки ситуація змінюється дуже швидко, і потрібно тримати руку на пульсі. Поки ви підходите до кібербезпеки неупереджено і стежте за тим, щоб вона ніколи не стала розрізненою у вашій організації, у вас більше шансів уникнути витоку даних, ніж у багатьох.

Підписатися на новини