Вартість витоку даних для підприємства може бути величезною, як безпосередньо, в результаті правових і регуляторних заходів, так і опосередковано через втрату репутації та клієнтів. Кожен CISO, безсумнівно, знає про це. Тому зовсім не дивно, що великі підприємства інвестують значні кошти в ресурси та технології, призначені для запобігання подібним інцидентам. Однак, попри ці величезні інвестиції, рік за роком стається черговий серйозний витік даних, який вражає мільйони людей і коштує мільярди доларів.
По-перше, як відбуваються витоки даних?
Основними причинами, які призводять до витоку даних, є складність корпоративних систем і людські помилки, які трапляються під час проєктування, обслуговування та використання цих систем протягом усього їхнього життєвого циклу. Чим більша та складніша система, тим важче забезпечувати її постійну безпеку. І чим більше підприємство, тим імовірніше зловмисники будуть дуже зацікавлені в отриманні доступу до його конфіденційних даних. Один невеликий недолік може спричинити ланцюгову реакцію, що призведе до катастрофічних наслідків.
Сучасні інструменти кібербезпеки стають ефективнішими. Обсяг доступних продуктів безпеки охоплює всі аспекти інфраструктури підприємства: хмари, локальні сервери, мережі, кінцеві точки, IoT тощо. Вони забезпечують тестування, запобігання, виявлення та реагування. Однак усі ці інструменти мають бути правильно налаштовані та мати професійну команду підтримки. Але навіть найпросунутіші експерти з безпеки можуть припуститися помилки. Майже всі серйозні зломи в історії, навіть якщо вони були організовані досвідченими зловмисниками, зрештою були спричинені простою людською помилкою. Такі помилки найчастіше були пов’язані з недостатніми заходами безпеки, недостатньою обачністю в обслуговуванні або як наслідок передових прийомів соціальної інженерії.
Ось деякі з найбільших витоків корпоративних даних в історії та, що стоїть за ними.
Yahoo! – досить було лише одного кліка
Yahoo! з’являється в списку найбільших витоків даних кілька разів. Вона є найкращим прикладом того, що високотехнологічна компанія з такою ж імовірністю може зазнати злому, як і підприємства з будь-якого іншого сектора. Ба навіть з більшою ймовірністю, оскільки має багато публічних активів. У 2014 році, витік даних був не тільки найбільшим, торкнувшись до 500 мільйонів людей, але й найцікавішим з технологічної сторони. Це пояснюється тим, що ланцюгову реакцію, яка призвела до злому, розпочав один простий фішинговий електронний лист. А це чудово показує, як одна маленька людська помилка може коштувати підприємству мільярди.
Один невірний клік одним зі співробітників дозволив зловмисникам потрапити у внутрішню мережу, перейти з машини користувача на сервери та зрештою отримати доступ до бази даних користувачів та інструментів керування нею. Найжахливішим фактом цієї атаки є те, що вона могла статися з ким завгодно – просто неможливо гарантувати, що кожен окремий співробітник в організації буде достатньо обережним, щоб не попастися на добре підготовлену атаку, особливо з використанням соціальної інженерії. І, що ще гірше, звичайне програмне забезпечення для захисту кінцевих точок і електронної пошти, наприклад антивірусні та антифішингові інструменти, безпорадні проти фішингових атак, які готуються окремо за допомогою спеціальних інструментів і практично не виявляються.
Хоча загальнодоступних відомостей про атаку недостатньо, щоб сказати, чи могло хороше програмне забезпечення для захисту кінцевих точок запобігти цій атаці, дуже ймовірно, що воно могло. Навіть якщо жертва клацне за фішинговим посиланням, для того, щоб зловмисник отримав доступ до мережі, йому, швидше за все, потрібно буде спочатку отримати доступ до облікових даних або іншої конфіденційної інформації за допомогою програмного забезпечення дистанційного керування. Саме тут програмне забезпечення для запобігання втрати даних (DLP), таке як Endpoint Protector, швидше за все, зможе виявити неналежний доступ і просигналізувати, запобігаючи продовженню атаки.
Equifax – кілька дрібних збоїв призводять до великих проблем
Злом Equifax у 2017 році, від якого постраждали 143 мільйони людей, є ще однією цікавою історією, з якої варто повчитися. Цей злом доводить, що лише кілька невеликих недоліків безпеки разом можуть дозволити досвідченому зловмиснику отримати майже повний контроль над системою. І те, що варто винести з цієї історії: не лише звичайні користувачі допускають серйозні помилки безпеки – увесь ланцюжок подій був результатом неправильних конфігурації або недостатніх засобів для безпеки.
Ця атака почалася через недопрацювання співробітників служби безпеки, відповідальних за оновлення серверного програмного забезпечення. На одному з вебпорталів працювала версія сервера із загальновідомою вразливістю. Все, що потрібно було виправити, – це застосувати рекомендовані патчі безпеки, і все, що знадобилося, щоб виявити це – простий сканер безпеки.
Наступною помилкою стала відсутність сегментації системи та збереження паролів доступу до системи в простих текстових файлах. Така практика, на жаль, дуже поширене серед багатьох адміністраторів серверів. Вони помилково припускають, що лише законні користувачі можуть отримати доступ до будь-якого з їхніх серверів і тому полегшують собі життя, зберігаючи облікові дані доступу до системи в незахищених файлах. На щастя, таке легко виявити за допомогою DLP-рішення.
І останнє, але не менш важливе: щойно зловмисники отримали доступ до конфіденційних даних, вони могли протягом місяців вилучати їх із систем Equifax через звичайні мережеві з’єднання просто тому, що один із внутрішніх інструментів безпеки не мав оновленого сертифіката безпеки. Загалом, усі три етапи атаки були можливі через некомпетентність технічного персоналу, що ставить запитання: якщо ми не можемо довіряти «хлопцям із безпеки» у справі забезпечення безпеки, то кому ми можемо довіряти?
Capital One – аматори теж можуть завдати шкоди
Хоча два описані раніше витоки даних були організовані іноземними державами, які найняли добре підготовлені та добре фінансовані групи спеціалістів, це, на диво, не найпоширеніший сценарій серйозних витоків даних. Чимало найбільших порушень було спричинено аматорами або викрито фахівцями з безпеки («хорошими хлопцями»), перш ніж хтось зміг скористатися конфіденційною інформацією. Наприклад, протягом тривалого часу одним із найпоширеніших механізмів порушення безпеки були загальнодоступні бази даних Elasticsearch. Будь-хто міг просто вказати на незахищену адресу та отримати доступ до всіх даних за допомогою стандартного логіна та пароля.
Злом Capital One був іншим, але поширеним сценарієм, коли людина без справді злих намірів балансувала на межі закону, щоб справити враження на своїх однолітків. Це був саме випадок Пейдж Томпсон, яка спричинила витік даних на 250 мільйонів доларів, просто завантаживши конфіденційні дані на свій комп’ютер. Хоча очевидно, що в неї не було наміру продати їх на чорному ринку, а лише бажання похизуватися серед спільноти хакерів.
Чому випадок з Пейдж Томпсон заслуговує на увагу? А саме тому, що вона була майже хрестоматійним зразком людини, яка завдала великої шкоди через збіг обставин. По-перше, вона представляла внутрішню загрозу, бувши колишнім співробітником Amazon, а Capital One використовував сервіси Amazon для зберігання своїх конфіденційних даних. По-друге, Пейдж страждала від проблем із психічним здоров’ям і проблемами гендерної ідентичності. Саме через це вона частіше шукала визнання в однолітків і виносила неправильні судження. У результаті її дії були необдуманими та емоційними, але, на щастя, це не призвело до тюремного ув’язнення.
З технічного погляду Capital One нічим не відрізнявся від більшості інших великих зломів. Це був багатоетапний процес, спричинений декількома недоліками безпеки та неправильними конфігураціями. По-перше, Томпсон скористалась недоліком підробки запитів на стороні сервера у вебдодатку Capital One, щоб отримати доступ до хмарної інфраструктури Amazon. Цьому можна було б запобігти, якби Capital One використовував сканування веббезпеки. Потім Томпсон змогла отримати доступ до акаунту з надмірними привілеями, що дозволило їй синхронізувати S3 бакети. А це дало змогу завантажити конфіденційні дані на свій комп’ютер. Хоча й був фаєрвол, але він теж був неправильно налаштований. Маючи недостатнє журналювання та надмірні дозволи, всі процеси та дії Томпсон залишались непоміченими.
Випадок з Capital One показав небезпеку внутрішніх загроз. Незадоволені співробітники або колишні співробітники можуть завдати значної шкоди. Це також показало, що хмарна інфраструктура, навіть така відома, як Amazon, може мати неправильні конфігурації безпеки. Також, стало очевидно, що навіть привілеї адміністративного доступу слід добре контролювати та відстежувати.
Чи є надія запобігти витоку даних?
Найкраща надія допомогти запобігти витоку даних в організації – це вчитися на помилках інших. Лише ці три основні зломи демонструють безліч типових помилок, таких як надмірна довіра до персоналу служби безпеки та недостатнє охоплення певних поверхонь атак. Жодне комплексне рішення безпеки навіть від найвідомішого безпекового розробника не охопить усі потреби. Тільки комплексна та якісна система безпека може допомогти у цьому.
