© 1995-2022 Компания «Инфосистемы Джет»
Тренды и кейсы информационной безопасности 2022 от SearchInform
Информационная безопасность Информационная безопасность

ИБ-тренды 2022. Кейс: как поймать инсайдера, который сливает информацию конкурентам?

Главная>Информационная безопасность>«Карл у Клары украл кораллы»: Road Show SearchInform 2022
Информационная безопасность Тренд

«Карл у Клары украл кораллы»: Road Show SearchInform 2022

26.10.2022

Посетителей: 56

Просмотров: 57

Время просмотра: 2.3

 

ИБ-тренды 2022.


Кейс: как поймать инсайдера, который сливает информацию конкурентам?

 

18 октября в Москве прошла ежегодная практическая ИБ-конференция Road Show SearchInform. Мы побывали на мероприятии и подготовили репортаж специально для читателей JETINFO. В фокусе — тренды рынка и реальный кейс в крупной российской компании.

Конференцию открыл Сергей Ожегов, Генеральный директор SearchInform. В своем выступлении спикер обозначил ключевые ИБ-тенденции 2022 г.


«Первый тренд можно сравнить с ведром, в которое постепенно капает вода, пока оно не перевернется. В этом году ведро перевернулось, и ИБ-проблемы холодным душем вылились на простых людей. Все прочувствовали, что такое звонки мошенников и чем чреваты утечки персональных данных. Кроме того, вопросам информационной безопасности стало уделяться в разы больше внимания в инфополе», — подчеркнул Сергей.


Вторым трендом является активность государства, нацеленная на то, чтобы обезопасить рынок и простых граждан от растущего числа угроз. 2022-й был богат на всевозможные законы, указы и нормативные документы. К примеру, были внесены серьезные правки в ФЗ «О персональных данных», также ужесточились ИБ-требования к объектам КИИ.


Третий тренд — усиление кадрового голода. В условиях дефицита квалифицированных специалистов начала активно развиваться «сфера услуг» в контексте ИБ: аутсорсинг, всевозможные cloud-платформы и т.д. Раньше бизнес скептически относился к подобным подходам, а теперь на рынке полно успешных кейсов. Этот тренд точно будет нарастать, потому что кадровая проблема не решится быстро, а число рисков в обозримом будущем вряд ли уменьшится.


Наконец, последний тренд — обучение киберграмотности. «Мы весь год учили специалистов отечественных компаний и государственных учреждений. ИБ-образование вообще должно стать непрерывным, потому что даже базовые курсы помогают заметно снизить количество инцидентов», — добавил Сергей Ожегов.

Ловим инсайдера

 

Интересный кейс привел Алексей Дрозд, начальник отдела ИБ SearchInform. Спикер описал реальный инцидент, который случился в одной из российских компаний. Дело закончилось обвинительным приговором: злоумышленник получил 1 год 9 мес. исправительных работ.

 

«В этой истории будет три героя: инсайдер Карл (устроился в компанию в отдел продаж), его начальница Клара (она же жертва) и почтовый ящик Клары, “кораллы” из которого украл Карл. Злоумышленник передавал информацию третьей стороне, и в итоге компания потеряла порядка 2 млн долл.», — начал выступление Алексей.


Работа в компании была организована так, что у сотрудников не было возможности взять домой ноутбук и решить какие-либо задачи удаленно. Классические качели «безопасно против удобно» качнулись в сторону «безопасно». Но, как известно, если ИБ мешает бизнесу, он попросту начинает ее игнорировать.

 

Поскольку Клара была руководителем отдела продаж, она не могла «отпустить» почту даже на больничном или в отпуске. Она придумала простое решение — дала подчиненным пароль от своей учетной записи. Сотрудник в офисе включал компьютер, открывал почту начальницы и, если там было что-то важное, звонил ей.

 

Карл, как и другие сотрудники, смотрел почту за себя и за Клару. Через год он перешел в другой отдел, но явки и пароли сохранил. На новом месте он поднял в Outlook ящик бывшей начальницы и «присосался» к ее почте, чтобы сливать данные конкурентам. Если говорить в терминах, приближенных к ИТ-реалиям, Карл работал в вендоре — производителе софта. Данные он сливал конкуренту/партнеру — интегратору, который в том числе продавал решения вендора. Таким образом Карл планировал заработать, а потом уйти на повышение к конкурентам. Дело в том, что интегратор работал не только на российском, но и на международном рынке, а это прямая перспектива зарубежных командировок и т.д.

 

Благодаря письмам, которые Карл пересылал себе на внешний почтовый ящик и передавал конкурентам, они получали весомое преимущество на переговорах. Знали болевые точки, понимали, какую скидку могут потребовать и др. Схема была проста как грабли.

 

«А теперь поставьте себя на место безопасников. У них и у руководства компании было предчувствие, что “откуда-то течет”. Но где искать инсайдера? Дверь закрыта, а топора нет... Безопасники где-то год отрабатывали разные версии, в том числе, что кто-то читает и сливает почту другого сотрудника. Это предположение трансформировалось в задачу: нужно искать человека, у которого на компьютере будет 2 ящика в Outlook», — добавил Алексей.

У этой задачи есть несколько вариантов решения. Самый простой — с помощью SIEM. К примеру, в продукте SearchInform есть отдельное правило «Доступ к ящику не владельцем». Тем не менее наличие правила еще не гарантирует успеха: чтобы оно отработало, сначала нужно определенным образом настроить почтовый сервер. В данном кейсе этот подход, к сожалению, применить было нельзя.


Другой вариант — DLP. На борту некоторых решений есть технология E-discovery, позволяющая анализировать данные на локальных устройствах сотрудников. В случае с Outlook это рабочий вариант: при создании ящика на компьютере появляется специальный дата-файл с расширением .OST. Соответственно, два ящика равно два файла. DLP пройдется по машинам сотрудников, найдет и скачает OST-файлы, их нужно будет разобрать и вычислить злоумышленника. Но это все же «костыль». Во-первых, разбирать файлы придется вручную, а это займет массу времени. Во-вторых, система будет гонять по сети огромный трафик. OST-файлы могут весить несколько гигабайт, а учитывая количество пользователей, их будет много.

 

Дублировать всю корпоративную почту в СХД — далеко не лучшая идея.


Оптимальный вариант — использовать DCAP-решение (Data-Centric Audit and Protection). Такие системы могут показать нужные файлы на компьютерах сотрудников в режиме аудита — без скачивания и засорения хранилища. Пример правила для системы: «Пройти по компьютерам пользователей и пометить все файлы с расширением .OST». Кроме того, можно усложнить параметры аудита и искать данные только конкретного ящика или только в определенных директориях.

 

«Важный момент: если анализировать результаты работы системы в ручном режиме, все будет красиво и наглядно. Но вручную просматривать данные по всей компании — это сложно и долго. Можно частично автоматизировать процесс и смотреть результаты поиска в консоли алерт-центра, но это все равно не самый эффективный способ. Гораздо лучше написать скрипты к алерт-центру, — рассказал Алексей. — Благодаря первому скрипту мы выгрузили названия всех компьютеров и ящиков в отдельный файл — в 2 колонки. А с помощью второго отбросили ложноположительные результаты. Например, сотрудников, у которых, помимо личного ящика, есть что-то вроде «info» для проведения корпоративных рассылок. Так мы значительно сократили итоговую выборку».

 

Итак, благодаря DCAP мы вышли на след Карла. Но за год у Клары накопилось порядка 3000 входящих и около 1000 исходящих писем. Как понять, какие из них инсайдер пересылал себе? Причем пересылать письма можно по-разному: целиком (экспортировать в файл), отправлять только вложения или вообще часть текста.


Процесс опять нужно автоматизировать. Зная конкретный факт, например, номер заказа или контракта, можно воспользоваться поиском по фразе или последовательности символов. Но в данном кейсе в двух случаях из трех инсайдер, вероятно, пересылал сообщения как есть — либо экспортировал письма в файлы, либо отправлял вложения. Здесь на помощь ИБ-специалисту приходят цифровые отпечатки. В их основе лежат хэши: у каждого файла есть определенный хэш, по которому можно найти такие же файлы в сети.


Осталось выстроить политику поиска. Первое условие — обязательное совпадение хэша (в нашем случае письма) с библиотекой отпечатков — письмами Клары. Мы исходили из того, что совпадение должно быть не менее 80%. Второе условие — проверяем только исходящую почту. Третье — «черный список»: проверяем не все исходящие письма, а только от конкретного пользователя. Если инсайдер пересылал экспортированные письма или вложения, мы определим это со 100% вероятностью. Собственно, так преступник и был пойман.

Уведомления об обновлении тем – в вашей почте

«Информационная безопасность банков»: что прогнозируют российские ИБ-специалисты

Появились ли за последние два месяца новые ИБ-угрозы? Из-за чего происходит «окирпичивание» оборудования? Почему текущие проблемы — это только начало?

Информационная безопасность в России: опыт составления карты

Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю – национальном, отраслевом, корпоративном или персональном. Для иллюстрации этого положения ...

О банковском мошенничестве в целом и многообразии внутреннего в частности

Как автоматизировать контроль прав линейных сотрудников банка? Что лежит в основе моделей выявления аномального поведения? От чего зависит безопасность банковских бизнес-операций?

Задание: шпионаж

Я положил перед сидевшим молча президентом полную инструкцию по изготовлению самого важного из продуктов, разрабатываемых его компанией. Президент продолжал молчать, когда на его стол лег развернутый план разработок компании. Президент откинулся на ...

«Эффект зарубежного банка»: Росбанк в новой ИБ-реальности

Почему уход западных вендоров не сильно повлиял на Росбанк? Как изменилась ИБ-стратегия банка в связи с кризисом? «Серые носороги» на российском рынке ИБ?

Защищаемся от DDoS: кейсы и советы «Инфосистемы Джет»

Почему слова «DDoS-атака» сейчас встречаются почти в каждом разговоре об ИБ? Как правильно выстроить защиту от DDoS? Кейсы «Инфосистемы Джет».

Как реагировать на нарушения информационной безопасности

Цель настоящего документа – сформулировать ожидания Интернет-сообщества по отношению к группам реагирования на нарушения информационной безопасности (Computer Security Incident Response Teams, CSIRTs). Нет возможности определить набор ...

Краткий обзор «новинок» законодательства в сфере ИБ

Новые рекомендации регуляторов и для кого они актуальны? Детали Указа Президента РФ № 250.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня