Як запобігти викраденню даних?

У цій статті:

1. Вступ
2. Що таке викрадення даних (Data Exfiltration)?
3. Як відбувається викрадення даних?
4. П’ять типів викрадення даних
5. Хто стоїть за викраденням даних?
6. Інсайдерські загрози та викрадення даних
7. Наслідки викрадення даних
8. Техніки запобігання викраденню даних
9. Роль рішень для захисту від витоку даних (DLP)
10. Endpoint Protector для захисту від викрадення даних

Вступ

У сучасному цифровому середовищі викрадення даних викликає дедалі більше занепокоєння. Успішні кібератаки демонструють його серйозний вплив на організації та окремих осіб. Гучні інциденти приголомшили великі бізнеси та суспільство, показуючи недоліки в системах кібербезпеки. Ці загрози вказують на тривожну правду: злочинні організації активно шукають і використовують чутливу інформацію для незаконного прибутку.

За останнє десятиліття корпоративний світ потрясли одні з найбільших в історії випадків викрадення даних:

• У 2017 році компанія Equifax стикнулася з витоком даних, що стосувався близько 145,5 мільйонів клієнтів: їх номери соціального страхування, дати народження та конфіденційна інформація. Це призвело до компенсацій з боку організації на суму $675 мільйонів.

• У 2019 році Capital One виявила витік даних, що зачепив приблизно 100 мільйонів американців і 6 мільйонів канадців: їх імена, адреси та кредитні рейтинги. Це порушення спричинило компенсації на суму $190 мільйонів.

• Витік даних Yahoo 2013 року, виявлений у 2017, стосувався аж 3 мільярдів облікових записів і призвів до зниження ціни його продажу компанії Verizon на $350 мільйонів.

Що таке викрадення даних (Data Exfiltration)?

Термін «викрадення даних» («data exfiltration») означає незаконне вилучення чутливої або секретної інформації з безпечної системи. Простими словами, це умисне заволодіння доступом і крадіжка важливих даних зі зловмисними намірами. Для цього злочинці застосовують різні способи: виявлення та використання вразливостей і недоліків систем безпеки, встановлення шкідливого програмного забезпечення, шахрайство або залучення інсайдерів із доступом до даних.

Існує велика різниця між термінами «викрадення даних» і «витік даних». «Витік даних» («data breach») – викриття або заволодіння доступом до даних без насильного та умисного їх вилучення з системи, на відміну від викрадення. Ще одним пов’язаним терміном є «випадковий витік даних» («data leakage»), яке має ті самі наслідки, але трапляється ненароком. Наприклад, витік відбудеться, якщо до відкритої пошукової бази даних з неправильною конфігурацією отримають доступ; випадковий витік станеться, якщо хтось помилково поділиться її URL у соціальних мережах; викрадення даних трапиться, якщо та база буде захищеною, і зловмисник насильно отримає доступ до системи, щоб скопіювати її вміст.

Крім того, термін «викрадення даних» (також: «data extrusion» або «data exportation») може вказувати конкретно на техніки, які використовують злочинці для переміщення даних з системи, до якої вони отримали доступ. У цьому випадку термін «заволодіння даними» («data infiltration») робить акцент саме на одержанні доступу до системи: спочатку зловмисник вторгається в неї, отримує доступ до даних, а потім вилучає їх звідти, копіюючи на свої пристрої.

Як відбувається викрадення даних?

Викрадення даних можна здійснити різними способами. Ось деякі з найпоширеніших методів, які використовують як поодинокі зловмисні хакери, що намагаються вразити свою спільноту, так і великі злочинні організації з державною підтримкою.

• Фішинг і інші види соціальної інженерії. Найбільш поширений спосіб отримання неавторизованого доступу до чутливих даних полягає в залученні звичайних людей шляхом обману. Завдяки цьому злочинці одержують інформацію з їх облікових записів, яку потім використовують для заволодіння доступом до системи та початку процесу викрадення даних.

• Шкідливі ПЗ і програми-вимагачі. Другий за популярністю спосіб полягає у використанні софту, який або викрадає дані для входу в систему та діє як канал для зловмисника для доступу до комп’ютера цілі та далі до внутрішніх систем компанії, або просто копіює весь вміст сховища та шифрує носії даних, щоб потім вимагати кошти в обмін на ключі розшифрування.

• Використання недоліків системи безпеки. Вони можуть бути настільки банальними, як встановлення слабких паролів або тих, що легко підібрати, чи використання однакових або дуже схожих паролів у декількох системах. У таких випадках дані фактично відкриті для злочинців. Інший приклад – організації не вдалося усунути вразливості системи, завдяки чому зловмисник отримує доступ до неї, застосовуючи добре відомі оприлюднені експлойти.

• Крадіжка знімних носіїв. Навіть дуже вправний хакер може спростити собі життя, просто вкравши флешку. Знімні носії, як-от USB-накопичувачі або портативні диски, можуть містити не лише дані, а й криптоключі, файли з паролями чи інші інструменти, які дадуть можливість зловмиснику продовжувати кібератаку.

• Неавторизований доступ до пристроїв. Схожий на крадіжку знімних носіїв, це метод, який використовують кіберзлочинці для полегшення своєї діяльності. Розблокований смартфон, який лежить в кав’ярні, або незахищений комутатор, до якого зловмисник може підключитися без авторизації, зазвичай надають йому значні привілеї доступу, які можна використовувати для масштабного викрадення даних.

• Прослуховування мережі. Без належного контролю доступу до мережі, як-от з нульовою довірою (zero-trust network access, ZTNA) на основі RADIUS, колишній співробітник може легко підключитися до внутрішніх ресурсів компанії та вилучити дані. Інший приклад – працівник, який працює віддалено з громадської точки доступу без захищеного VPN, може бути відмінним кандидатом для прослуховування зловмисником, що підробив ту мережу.

П’ять типів викрадення даних

Існує п’ять основних типів викрадення даних на основі рівнів доступу до них. Від того, що непокоїть найбільше, до менш поширеного. Ці типи також демонструють, що політика безпеки компанії повинна охоплювати всі аспекти.

Викрадення даних з кінцевих точок (Endpoint data exfiltration). Це коли до них одержують доступ через пристрій, як-от комп’ютер співробітника компанії. Викрадення даних може статися внаслідок атаки фішингу, якщо працівник надав потрібну зловмиснику інформацію. Через велику кількість методів соціальної інженерії, спрямованих на користувачів, такий тип є найпоширенішим.

Викрадення даних з вебресурсів (Web data exfiltration). Велика популярність Інтернету, разом із легкістю створення власних додатків, робить його дуже привабливим для зловмисних хакерів. Вебтехнології мають численні недоліки, і власні застосунки часто створюються без дотримання принципів безпеки. Крім того, вебдодатки тепер використовують як фронтенд навіть для найбільш чутливих даних. Будь-яка кібератака, що експлуатує вебвразливості та неправильні конфігурації, може призвести до цього типу викрадення даних.

Фізичне викрадення даних (Physical data exfiltration). Фізична безпека є великою проблемою в сучасному світі. Пристрої та носії даних маленькі, легкі, та їх доволі просто можна загубити або поцупити. Проте, вкрадений ноутбук або смартфон може бути відключений від корпоративної мережі та часто потребує деякий час для злому, а ось USB-накопичувач найчастіше не має шифрування, тому дані на ньому одразу доступні для зловмисника.

Викрадення даних з хмарних середовищ (Cloud data exfiltration). Ідея хмари базується на використанні спільного простору з іншими користувачами. Багато віртуальних систем послуговуються одними й тими самими фізичними серверами, і кожна може містити відділи для різних підприємств і осіб. Хоча технологія досить добре відокремлює їх, все ж існує ймовірність неправильної конфігурації хмарного середовища, що робить інформацію доступною для сторонніх осіб. Таким чином, SaaS додає ще більше занепокоєння командам безпеки.

Викрадення даних з мережі (Network data exfiltration). Це включає будь-які стратегії для проникнення в корпоративні мережі та подальшого продовження кібератаки. Причиною може бути відсутність контролю доступу до бездротової мережі, як-от використання простого пароля для аутентифікації в Wi-Fi компанії, перехоплення громадського підключення без VPN, або навіть зловмисник, що прикидається технічним спеціалістом і фізично під’єднує свій пристрій до комутатора без NAC.

Хто стоїть за викраденням даних?

Важливість чутливих даних для організації очевидна. Проте, може бути важко уявити, яку користь від них матиме зловмисник. Все-таки злодії, зазвичай, зацікавлені в грошах, то ж як вони можуть заробити на викраденні даних? На жаль, численні сумнівні особи готові платити величезні суми зловмисним хакерам за поцуплені цінні дані, навіть, на перший погляд, несуттєві, як-от за велику кількість номерів соціального страхування.

Покупець може використовувати їх для різних цілей. Персональні дані, як-от комбінації імен, адрес і номерів соціального страхування, можуть дозволити злочинцям здійснити крадіжку ідентичності й отримати великі кредити на ім’я іншої особи.

Інтелектуальна власність компанії – інший тип чутливих даних, який часто піддається викраденню. У цьому часто зацікавлені конкуренти організації, особливо в ці складні економічні часи. У деяких випадках навіть невеликий обсяг даних може бути надзвичайно цінним. Наприклад, якщо компанія отримає доступ до секретної формули свого найбільшого конкурента, це може значно покращити її власні технології, дозволяючи зайняти більшу частку ринку.

Не останнє місце посідає політика. Відомо, що інциденти з Yahoo! та Equifax принаймні частково були організовані зловмисниками, які працювали на двох вагомих суб’єктів, що не відрізняються прихильністю до Сполучених Штатів. Послаблення економіки країни шляхом викрадення даних є поширеним явищем у кібервійнах. З огляду на поточний стан справ у світі, ми можемо очікувати, що в майбутньому це стане ще більшою загрозою.

Інсайдерські загрози та викрадення даних

Крім технічних дефектів, людські недоліки ще значніше збільшують ризик викрадення даних. Інсайдерські загрози є типовим явищем навіть у найсерйозніших його сценаріях. Наприклад, зловмисник, що здійснив кібератаку на Capital One, був колишнім співробітником компанії Amazon і використав її технології для реалізації свого злочину.

Інсайдерські загрози можна поділити на свідомі та ненавмисні: такі, в яких працівник є лише інструментом у руках злочинця. Зловмисними інсайдерами можуть стати нинішні незадоволені співробітники. Наприклад, залучені грошима недоброчесних конкурентів або ті, хто завдяки технічним недолікам все ще мають доступ до корпоративної мережі.

Ненавмисні інсайдерські загрози більш поширені та включають всі людські помилки та, наприклад, дії цілей соціальної інженерії. Попадаючись на обман, такі працівники несвідомо створюють ризики для безпеки та навіть стають спільниками в злочині. І попри активне навчання співробітників принципам кібербезпеки, завжди існує ймовірність, що зловмисник доб’ється свого.

Наслідки викрадення даних

Викрадення даних може мати далекосяжні наслідки для бізнесів, цілей і суспільства в цілому. Цей вплив виходить за межі очевидного та може затягнутися на багато років після інциденту.

Вплив на організації. Найбільшого первинного впливу від викрадення даних зазнає його пряма ціль – організація. Спочатку завжди серйозно погіршується репутація компанії. Клієнти будуть менш охочі мати справи з нею, якщо вони вважають, що їхні дані недостатньо захищені.

Залежно від індустрії та типу вкрадених у компанії даних, вона може стикнутися з юридичними наслідками на підставі законів, як-от GDPR, а також втратити важливі ліцензії або згаяти велику кількість часу та зусиль, щоб показати, що їх організація все ще відповідає стандартам і може продовжувати свою діяльність в контрольованому середовищі. Такий вплив найбільш відчутний у галузях, як охорона здоров’я, банківська справа та фінанси. У них суворі правила щодо несанкціонованої передачі даних, як-от HIPAA та PCI-DSS.

І на останок, власники викрадених персональних даних заслуговують на компенсацію, і зазвичай її отримують, оскільки їх інформація, ймовірно, знаходиться в руках злочинної організації та може бути використана проти них. Виплати можуть сягати надзвичайно великих розмірів навіть для найбільших корпорацій, значно погіршуючи їх фінансовий стан.

Вплив на суб’єкта даних. Наприклад, крадіжка ідентичності та катастрофічні наслідки, як-от залучення до нескоєних злочинів. Також можливе використання цих даних для вимагання або шантажу. Останнім, але не менш важливим є вплив на фінанси у випадках викрадення номера кредитної картки.

Найбільше непокоїть те, що людина ніколи не знає, чи торкнуться її наслідки, і коли це станеться. Частіше за все немає способів себе захистити. Можна змінити свій номер телефону, але не домашню адресу чи ім’я. Більш того, попри будь-які інформаційні кампанії з боку скомпрометованої організації або навіть громадських ЗМІ, люди можуть не знати про наявність загрози або не мати достатнього розуміння технологій для усвідомлення, що стоїть на кону.

Вплив на суспільство. Чим більше трапляється випадків викрадення даних, і чим більше людей з цим стикається, тим більший вплив цих подій на соціум. Багато кого вже непокоїть наявність своїх персональних даних у великих системах на кшталт соціальних мереж. Якщо людям некомфортно в цифровому середовищі, технологічний прогрес може піти на спад. Хто знає, можливо, через 50 років ніхто не буде довіряти банківським транзакціям і ми знову почнемо використовувати виключно готівку.

Водночас суспільство повинно захистити себе від викрадення даних будь-яким можливим способом. І найкращий з них – впровадження суворих правил безпеки у всі організації, що зберігають чутливі дані людей. Такі жорсткі стандарти, однак, значно впливають на витрати компаній, які повинні інвестувати в різноманітні технології, встановлювати системи безпеки та наймати експертів цієї галузі. У підсумку, кінцевий споживач більше платить за товари та послуги.

Техніки запобігання викраденню даних

Кожен аспект політики безпеки та систем організації сприяє її захисту. Проте, деякі є більш важливими в цьому питанні.

Шифрування. Якщо можна було б вибрати лише одну технологію чи стратегію для зменшення шкоди від викрадення даних, це, безумовно, було б шифрування. Інформація повинна зберігатися у зашифрованій формі, передаватися через зашифровані канали та розшифровуватися лише отримувачем після певності в її безпеці, наприклад, за допомогою сертифікатів, цифрових підписів, біометрії й інших методів. Важливо розуміти, що це захищає дані, а не систему. Метою шифрування є їх убезпечення у випадку викрадення після вторгнення в систему.

Жорсткий контроль доступу та аутентифікація. Занадто багато випадків викрадення даних має такі банальні причини, як користувач із 8-символьним паролем на основі імені своєї дитини та року народження, що можна підібрати за декілька хвилин, навіть якщо він містить великі літери, цифри та спеціальні символи. Сильні методи аутентифікації включають складні довгі паролі, поєднані із багатофакторною аутентифікацією, біометрією та пристроями, як-от криптографічні токени. Однак це не має сенсу, якщо працівники мають доступ до занадто великої кількості ресурсів. Системи, які керують чутливими даними, повинні використовувати підхід контролю доступу з нульовою довірою (zero-trust), надаючи кожному користувачу лише мінімально необхідні дозволи.

Сегментація. Якщо злочинець одержує доступ до системи з метою викрадення даних, то було б добре, якби він опинився в закритій «кімнаті», не в змозі проникнути в інші місця. Це можна зробити за допомогою сегментації системи та мережі. Навіть якщо зловмисник отримає доступ до однієї, він не зможе дістатися інших. Цього можна досягти, використовуючи найнижчі рівні мережі, як-от VLAN, через які пройти практично неможливо.

Навчання й обізнаність. Важко оцінити ефективність кампаній з виявлення фішингу та навчання співробітників, але вони значущі для розуміння ризиків працівниками та зниження ймовірності того, що вони попадуться на найбільш очевидні прийоми соціальної інженерії. Проте, лише цього недостатньо, адже рішучий зловмисник може далеко зайти, наприклад, видаючи себе за начальника для отримання доступу до критично важливої системи.

Роль рішень для захисту від витоку даних (DLP)

Технології DLP були розроблені з нуля, щоб допомогти організаціям захиститися від викрадення інформації через найбільш вразливі канали. Якщо компанія хоче інвестувати в рішення, яке гарантуватиме найвищий рівень безпеки даних, то вона майже стовідсотково вибере DLP.

Інші технології захищають конкретні канали та допомагають запобігати певним типам викрадення даних. Наприклад, ZTNA оберігатиме корпоративну мережу від несанкціонованого доступу, але це не врятує вебсторінку компанії. Брандмауер захищає лише від деяких мережевих атак, але не впливає на вміст дозволеної в ній активності, як-от вихідні електронні листи чи вебкомунікації. DLP призначений для того, щоб виручити, коли всі поверхневі рішення провалилися, і зловмисник вже знаходиться всередині системи.

DLP концентрується на самих даних, а не на шляхах доступу до них. Він призначений для того, щоб зробити неможливим їх вилучення з системи. Крім того, DLP ефективний проти фізичного викрадення даних і з кінцевих точок, оскільки не дає скопіювати чутливу інформацію на зовнішній пристрій або, у випадку соціальної інженерії, в електронний лист.

Endpoint Protector для захисту від викрадення даних

Хоча на ринку існує багато DLP-рішень, одне вирізняється, якщо ви хочете повний і простий захист. Більшість пропозицій мають занадто складні конфігурації, через що їх важко ефективно використовувати. Тенденція включати DLP як частину спеціалізованих рішень з безпеки підриває всю його суть, яка полягає в тому, щоб фокусуватися на даних, а не на керуванні ними. Endpoint Protector допомагає врахувати всі аспекти в режимі реального часу, одночасно надаючи достатню простоту для швидкої рентабельності інвестицій.