- Введение
- Что такое кража данных (Data Exfiltration)?
- Как происходит кража данных?
- Пять типов кражи данных
- Кто стоит за кражей данных?
- Инсайдерские угрозы и кража данных
- Последствия кражи данных
- Техники защиты от кражи данных
- Роль решений для защиты от утечки данных (DLP)
- Endpoint Protector для защиты от кражи данных

Введение
В современной цифровой среде кража данных вызывает все больше беспокойства. Успешные кибератаки демонстрируют серьезное влияние на организации и отдельных людей. Резонансные инциденты ошеломили большие бизнесы и общество, показывая недостатки в системах кибербезопасности. Эти угрозы указывают на тревожную правду: преступные организации активно ищут и используют конфиденциальную информацию для незаконной прибыли.
За последнее десятилетие корпоративный мир потрясли одни из самых масштабных в истории случаи кражи данных:
- В 2017 году компания Equifax столкнулась с утечкой данных, которая затронула около 145,5 миллиона клиентов: их номера социального страхования, даты рождения и конфиденциальная информация. Это привело к компенсациям со стороны организации на сумму $675 миллионов.
- В 2019 году Capital One обнаружила утечку данных, коснувшуюся примерно 100 миллионов американцев и 6 миллионов канадцев: их имена, адреса и кредитные рейтинги. Это нарушение стало причиной компенсаций на сумму $190 миллионов.
- Утечка данных Yahoo 2013 года, выявленная в 2017, затронула 3 миллиарда аккаунтов и привела к снижению цены его продажи компании Verizon на $350 миллионов.
Что такое кража данных (Data Exfiltration)?

Термин «кража данных» («data exfiltration») означает незаконное извлечение чувствительной или секретной информации из безопасной системы. Простыми словами, это получение доступа и воровство важных данных. Для этого преступники применяют различные методы: выявление и использование уязвимостей и недостатков систем безопасности, установка вредоносного ПО, мошенничество или использование инсайдеров с доступом к данным.
Существует большая разница между терминами «кража данных» и «утечка данных». «Утечка данных» («data breach») – раскрытие или получение доступа к данным без умышленного насильственного их извлечения из системы, в отличие от кражи. Еще одним близким термином является «случайная утечка данных» («data leakage»), которая имеет те же последствия, но случается ненароком. Например, утечка произойдет, если к открытой поисковой базе данных с неправильной конфигурацией получат доступ; случайная утечка возникнет, если кто-то ошибочно поделится ее URL в социальных сетях; кража данных случится, если база будет защищена, и злоумышленник насильно получит доступ к системе, чтобы скопировать ее содержимое.
Кроме того, термин «кража данных» (также: «data extrusion» или «data exportation») может указывать конкретно на техники для получения доступа, которые используют преступники для перемещения данных из системы. В этом случае термин «завладение данными» («data infiltration») делает акцент именно на получении доступа к системе: сначала злоумышленник вторгается в нее, получает доступ к данным, а затем изымает их оттуда, копируя на свои устройства.
Как происходит кража данных?
Кражу данных можно осуществить разными способами. Вот некоторые из самых распространенных методов, которые используют как единичные злонамеренные хакеры, пытающиеся поразить свое сообщество, так и крупные преступные организации с государственной поддержкой.
- Фишинг и другие виды социальной инженерии. Наиболее распространенный способ получения неавторизованного доступа к чувствительным данным заключается в обмане обычных людей. Благодаря этому преступники получают из их аккаунтов нужную информацию для доступа к системе и дальнейшей кражи данных.
- Вредоносные ПО и программы-вымогатели. Второй по популярности способ заключается в использовании софта, который либо похищает данные для входа в систему и действует как канал для доступа к компьютеру цели и далее к внутренним системам компании, либо просто копирует все содержимое хранилища и шифрует носители данных, чтобы потом требовать деньги в обмен на ключи шифрования.
- Использование недостатков системы безопасности. Они могут быть настолько банальными, как слабые пароли или те, что легко подобрать, или же использование одинаковых или очень похожих паролей в нескольких системах. В этих случаях данные фактически открыты для преступников. Другой пример – организации не удалось устранить уязвимости системы, благодаря чему злоумышленник получает доступ к ней, применяя известные эксплойты.
- Кража портативных носителей. Даже очень искусный хакер может упростить себе жизнь, просто украв флешку. Портативные носители, такие как USB-накопители или диски, могут содержать не только данные, а и криптоключи, файлы с паролями или другие инструменты, позволяющие злоумышленнику продолжать кибератаку.
- Несанкционированный доступ к устройствам. Похожий на кражу портативных носителей, это метод, который используют киберпреступники для облегчения своей деятельности. Разблокированный смартфон, лежащий в кафе или незащищенный коммутатор, к которому злоумышленник может подключиться без авторизации, обычно предоставляет ему значительные привилегии доступа, которые можно использовать для масштабной кражи данных.
- Прослушивание сети. Без надлежащего контроля доступа к сети, например с нулевым доверием (zero-trust network access, ZTNA) на основе RADIUS, бывший работник может легко подключиться к внутренним ресурсам компании и извлечь данные. Другой пример – сотрудник, работающий удаленно с общественной точки доступа без защищенного VPN, может быть отличной мишенью для прослушивания злоумышленником, который подделал эту сеть.
Пять типов кражи данных
Существует пять основных типов кражи данных на основе уровней доступа к ним. От того, что беспокоит больше всего, до менее распространенного. Эти типы также демонстрируют, что политика безопасности компании должна охватывать все аспекты.
Кража данных из конечных точек (Endpoint data exfiltration). Это когда к ним получают доступ через устройство, например компьютер сотрудника компании. Кража данных может произойти в результате атаки фишинга, если работник предоставил нужную злоумышленнику информацию. Из-за большого количества методов социальной инженерии, направленных на пользователей, такой тип наиболее распространен.
Кража данных из веб-ресурсов (Web data exfiltration). Большая популярность Интернета, вместе с легкостью создания собственных приложений, делает его очень привлекательным для злонамеренных хакеров. Веб-технологии имеют много недостатков, и собственные приложения часто создают без соблюдения принципов безопасности. Кроме того, веб-приложения теперь используют в качестве фронтенда даже для наиболее чувствительных данных. Любая кибератака, эксплуатирующая веб-уязвимости и неправильные конфигурации, может привести к этому типу кражи данных.
Физическая кража данных (Physical data exfiltration). Физическая безопасность – большая проблема в современном мире. Устройства и носители данных маленькие, легкие, и их довольно просто можно потерять или своровать. Однако украденный ноутбук или смартфон может быть отключен от корпоративной сети и часто требует некоторого времени для взлома, а вот USB-накопитель обычно не зашифрован, поэтому данные на нем сразу доступны злоумышленнику.
Кража данных из облачных хранилищ (Cloud data exfiltration). Идея облака основана на использовании общего пространства с другими пользователями. Многие виртуальные системы задействуют одни и те же физические серверы, и каждая может иметь отделы для разных предприятий и лиц. Хотя технология достаточно хорошо их изолирует, все же существует вероятность неправильной конфигурации облачного хранилища, что делает информацию доступной для посторонних лиц. Таким образом, SaaS добавляет еще больше беспокойства командам безопасности.
Кража данных из сети (Network data exfiltration). Это включает в себя любые стратегии для проникновения в корпоративные сети и дальнейшего продолжения кибератаки. Причиной может быть отсутствие контроля доступа к беспроводной сети, например использование простого пароля для аутентификации в Wi-Fi компании, перехват общественного подключения без VPN, или даже злоумышленник, который притворился техническим специалистом и физически подключил свое устройство к коммутатору без NAC.
Кто стоит за кражей данных?
Важность чувствительных данных для организации очевидна. Однако может быть трудно представить, какую пользу от них будет иметь злоумышленник. Все-таки воры, как правило, заинтересованы в деньгах, так как же они могут заработать на краже данных? К сожалению, много сомнительных лиц готовы платить огромные суммы злонамеренным хакерам за украденные ценные данные даже, на первый взгляд, несущественные, например, за большое количество номеров социального страхования.
Покупатель может использовать их для разных целей. Персональные данные, например комбинации имен, адресов и номеров социального страхования, могут позволить преступникам совершить кражу идентичности и получить крупные кредиты на имя другого лица.
Интеллектуальная собственность компании – другой тип чувствительных данных, который часто подвергается краже. В этом часто заинтересованы конкуренты организации, особенно в эти экономически сложные времена. В некоторых случаях даже небольшой объем данных может быть очень ценным. К примеру, если компания получит доступ к секретной формуле своего наибольшего конкурента, это может значительно улучшить ее собственные технологии, позволяя занять большую часть рынка.
Политика не остается в стороне. Известно, что инциденты с Yahoo! и Equifax по крайней мере частично были организованы злоумышленниками, работавшими на двух значимых субъектов, негативно настроенных к Соединенным Штатам. Ослабление экономики страны путем кражи данных является распространенным явлением в кибервойнах. Учитывая текущее положение дел в мире, мы можем ожидать, что в будущем это станет еще большей угрозой.
Инсайдерские угрозы и кража данных
Помимо технических дефектов, человеческие недостатки еще больше увеличивают риск кражи данных. Инсайдерские угрозы – типичное явление даже в самых серьезных ее сценариях. К примеру, злоумышленник, совершивший кибератаку на Capital One, был бывшим сотрудником компании Amazon и использовал ее технологии для реализации своего преступления.
Инсайдерские угрозы можно разделить на сознательные и неумышленные: такие, в которых работник является лишь инструментом в руках преступника. Злонамеренными инсайдерами могут стать нынешние недовольные сотрудники. Например, завлеченные деньгами недобросовестных конкурентов или те, кто благодаря техническим недостаткам все еще имеют доступ к корпоративной сети.
Неумышленные инсайдерские угрозы более распространены и включают в себя все человеческие ошибки и, например, действия целей социальной инженерии. Попадаясь на обман, такие работники несознательно создают риски для безопасности и даже становятся сообщниками в преступлении. И, несмотря на активное обучение сотрудников принципам кибербезопасности, всегда существует вероятность, что злоумышленник добьется своего.
Последствия кражи данных

Кража данных может иметь долгосрочные последствия для бизнесов, отдельных лиц и общества в целом. Это влияние выходит за рамки очевидного и может затянуться на многие годы после инцидента.
Влияние на организации. Наибольшее первичное влияние от кражи данных испытывает его прямая цель – организация. Поначалу всегда серьезно ухудшается репутация компании. Клиенты будут менее охотно иметь дело с ней, если они считают, что их данные недостаточно защищены.
В зависимости от индустрии и типа украденных у компании данных, она может столкнуться с юридическими последствиями на основании законов, таких как GDPR, а также потерять важные лицензии или расходовать большое количество времени и усилий, чтобы показать, что их организация все еще соответствует стандартам и может продолжать свою деятельность в контролируемой среде. Такое влияние наиболее ощутимо в отраслях, как здравоохранение, банковское дело и финансы. У них строгие правила относительно несанкционированной передачи данных, например HIPAA и PCI-DSS.
И в конце концов, владельцы похищенных персональных данных заслуживают компенсацию, и обычно ее получают, поскольку их информация, вероятно, находится в руках преступной организации и может быть использована против них. Выплаты могут достигать чрезвычайно больших размеров даже для крупнейших корпораций, значительно ухудшая их финансовое положение.
Влияние на субъекта данных. Например, кража идентичности и катастрофические последствия, такие как привлечение к несовершенным преступлениям. Также возможно использование этих данных для вымогательства или шантажа. Кроме того, оказывается значимое влияние на финансы субъекта в случае похищения номера кредитной карты.
Больше всего беспокоит то, что человек никогда не знает, коснутся ли его последствия, и когда это произойдет. Чаще всего нет способов себя защитить. Можно изменить номер телефона, но не домашний адрес или имя. Более того, несмотря на информационные кампании со стороны скомпрометированной организации или общественных СМИ, люди могут не знать о наличии угрозы или не иметь достаточного понимания технологий для осознания, что стоит на кону.
Влияние на общество. Чем больше случаев кражи данных, и чем больше людей с ними сталкивается, тем больше влияние этих событий на социум. Многих уже беспокоит наличие своих персональных данных в больших системах вроде социальных сетей. Если людям некомфортно в цифровой среде, технологический прогресс может пойти на спад. Кто знает, возможно, через 50 лет никто не будет доверять банковским транзакциям, и мы снова перейдем на исключительно наличный расчет.
В то же время общество должно защитить себя от кражи данных любым возможным способом. И лучший из них – внедрение строгих правил безопасности во все организации, хранящие чувствительные данные людей. Такие жесткие стандарты, однако, оказывают значительное влияние на расходы компаний, которые должны инвестировать в различные технологии, устанавливать системы безопасности и нанимать экспертов этой отрасли. В итоге конечный потребитель больше платит за товары и услуги.
Техники защиты от кражи данных
Каждый аспект политики безопасности и систем организации способствует ее защите. Однако некоторые являются более важными в этом вопросе.
Шифрование. Если можно было бы выбрать лишь одну технологию или стратегию для уменьшения ущерба от кражи данных, это, безусловно, было бы шифрование. Информация должна храниться в зашифрованной форме, передаваться через зашифрованные каналы и расшифровываться только получателем после убеждения в ее безопасности, например с помощью сертификатов, цифровых подписей, биометрии и других методов. Важно понимать, что это оберегает данные, а не систему. Целью шифрования является их защита в случае кражи после вторжения в систему.
Жесткий контроль доступа и аутентификация. Слишком много случаев кражи данных имеет такие банальные причины, как пользователь с 8-символьным паролем на основе имени своего ребенка и года рождения, который можно подобрать за несколько минут, даже если он содержит большие буквы, цифры и специальные символы. Сильные методы аутентификации включают сложные длинные пароли вместе с многофакторной аутентификацией, биометрией и устройствами вроде криптографических токенов. Однако это бессмысленно, если работники имеют доступ к слишком большому количеству ресурсов. Системы, управляющие чувствительными данными, должны использовать подход контроля доступа с нулевым доверием (zero-trust), предоставляя каждому пользователю только минимально необходимые разрешения.
Сегментация. Если преступник проник в систему с целью кражи данных, то было бы хорошо, если бы он оказался в закрытой «комнате» без возможности получить доступ куда-либо еще. Этого можно достичь с помощью сегментации системы и сети. Даже если злоумышленник получит доступ к одной, он не сможет проникнуть в другие. Для этого можно использовать самые низкие уровни сети, такие как VLAN, через которые пройти практически невозможно.
Обучение и осведомленность. Трудно оценить эффективность кампаний по выявлению фишинга и обучению сотрудников, но они значимы для понимания работниками рисков и снижения вероятности того, что они попадутся на наиболее очевидные приемы социальной инженерии. Однако только этого недостаточно, ведь решительный злоумышленник может далеко зайти, например, выдавая себя за начальника для получения доступа к критически важной системе.
Роль решений для защиты от утечки данных (DLP)
Технологии DLP были разработаны с нуля, чтобы помочь организациям защититься от кражи информации через наиболее уязвимые каналы. Если компания хочет инвестировать в решение, гарантирующее высокий уровень безопасности данных, то она почти наверняка выберет DLP.
Другие технологии защищают конкретные каналы и помогают предотвращать определенные типы кражи данных. К примеру, ZTNA будет оберегать корпоративную сеть от несанкционированного доступа, но это не спасет веб-страницу компании. Брандмауэр защищает только от некоторых сетевых атак, но не влияет на содержимое разрешенной в ней активности, например исходные электронные письма или веб-коммуникации. DLP предназначен для того, чтобы выручить, когда все поверхностные решения провалились и злоумышленник уже находится внутри системы.
DLP концентрируется на самих данных, а не на путях доступа к ним. Он предназначен для того, чтобы сделать невозможным их извлечение из системы. Кроме того, DLP эффективен против физической кражи данных и из конечных точек, поскольку не дает скопировать чувствительную информацию на внешнее устройство или, в случае социальной инженерии, в электронное письмо.
Endpoint Protector для защиты от кражи данных
Хоть на рынке существует много DLP-решений, одно выделяется, если вы хотите полную и простую защиту. Большинство предложений имеют слишком сложные конфигурации, поэтому их трудно эффективно использовать. Тенденция включать DLP как часть специализированных решений по безопасности подрывает всю его суть, которая состоит в том, чтобы фокусироваться на данных, а не на управлении ими. Endpoint Protector помогает учесть все аспекты в режиме реального времени, одновременно предоставляя достаточную простоту для быстрой рентабельности инвестиций.







