За периметром: как собственные сотрудники ставят под угрозу безопасность компаний
Киберпреступники все чаще используют «индивидуальный подход» — доля целенаправленных атак на организации уже превысила 60%, а методы социальной инженерии применялась злоумышленниками в каждом третьем из инцидентов. Об этом говорится в исследовании «Актуальные киберугрозы. IV квартал 2018 года», опубликованном Positive Technologies. При этом, как отмечают аналитики компании, кража информации стала встречаться чаще, чем непосредственное получение денежных средств. Наибольший интерес для преступников представляют учетные данные — их похищают в 60% случаев. И в рамках целенаправленных атак фишинг в адрес сотрудников компании-жертвы стал отработанной тактикой.
С этими выводами согласуются данные другого исследования, выпущенного компанией Trend Micro. В докладе «Mapping the future» указывается, что в 2019 г. количество целенаправленных атак продолжит расти, а фишинг станет наиболее распространенной угрозой как для потребителей, так и в бизнес-среде. Кроме того, эксперты прогнозируют, что корпоративные ИБ-службы все чаще будут сталкиваться с атаками, в которых точками несанкционированного входа являются домашние устройства сотрудников, подключенные к интернету. Это связано одновременно с двумя факторами: растущей популярностью удаленной работы и все более широким внедрением домашних интеллектуальных приборов.
Личное и деловое
Как и в случае с концепцией BYOD (bring your own device — «принеси свое устройство»), удаленная работа становится серьезным испытанием на прочность для периметра информационной защиты предприятия и прозрачности обмена корпоративными данными. Сотрудники используют свой домашний интернет для доступа к облачным приложениям и программам для совместной работы, для чата, видеоконференций и обмена файлами. Уже сейчас к домашним сетям часто подключены принтеры и хранилища данных, которые считаются удобными как для работы, так и для личного применения. И это приводит к появлению сценария смешанного использования — персонального и делового. Как показывает недавний опрос компании Proofpoint, более половины респондентов предоставляли доступ своим друзьям и членам семьи к устройствам, выданным нанимателем для работы на дому. В частности, они разрешали проверять почту, общаться в соцсетях, играть и заниматься шоппингом.
Кроме того, эксперты отмечают, что размытие границы между личным и деловым часто приводит еще и к тому, что сотрудники используют на своих рабочих устройствах «теневые технологии». Так называются приложения и информационные системы, устанавливаемые и применяемые без ведома и одобрения ИТ-отделов компании. Это могут быть как потребительские или недорогие ИТ-решения, так и общедоступные сторонние приложения. И, по данным Positive Technologies, собранным в IV квартале прошлого года, для получения информации с компьютеров и смартфонов жертв злоумышленники задействуют шпионское ПО (29% случаев) и вредоносное ПО для удаленного управления (25%).
Фишинг и социальная инженерия — ключевые способы проникновения преступников в инфраструктуру компаний
При этом специалисты по безопасности регулярно сообщают о ВПО, найденном в официальных магазинах мобильных приложений. К примеру, в январе стало известно об обнаружении в магазине Google Play приложений, содержащих вредоносную рекламу, ворующих фотографии жертв и направляющих пользователей на фишинговые сайты. Некоторые из них насчитывали более миллиона установок. В феврале в Google Play было обнаружено четыре десятка новых модификаций трояна Android.HiddenAds. Они скрывались в приложениях для фотосъемки, редакторах изображений и видео, играх, системных утилитах, сборниках обоев для рабочего стола и других популярных продуктах. Их скачали порядка 10 млн пользователей. В феврале также была опубликована информация о 18 000 приложений для Android, которые без ведома пользователей собирают различные данные об устройствах (серийные номера, IMEI, MAC-адреса, номера SIM-карт и т.д.), а затем отправляют эти сведения сторонним получателям, связанным с мобильной рекламой. Эксперты, обнаружившие это ПО, в сентябре прошлого года проинформировали компанию Google о проблеме, но спустя 5 месяцев ситуация так и не изменилась…
Между тем исследователи из Trend Micro указывают на еще одну опасность, связанную с работой на дому: растущее использование умных устройств и их подключение к домашней сети становится потенциальной точкой несанкционированного входа в корпоративную сеть. Голосовые помощники, умная бытовая и кухонная техника, ИВ-устройства умного дома и даже современные детские игрушки — все они могут стать легкой мишенью для злоумышленников и, следовательно, открытой дверью не только в личную, но и в корпоративную сеть предприятия. Смарт-устройства занимают далеко не последнее место в домашней инфраструктуре: одни могут записывать звук и снимать видео, другие — управляют трафиком, но при этом взломать и заразить их проще, чем персональный компьютер. Популярность и количество разнообразных умных гаджетов растет, однако их производители все еще не уделяют достаточного внимания безопасности. Они редко упоминают о необходимости смены стандартных паролей при первой настройке, не уведомляют клиентов о выходе новых версий прошивок, а процесс установки обновлений может вызвать затруднения у обычных пользователей. Кроме того, специалисты отмечают, что часто пользователи и не подозревают о том, что некоторые из портов их умных гаджетов могут быть открыты и тем самым предоставляют свободный доступ как к устройству, так и к их персональным данным.
Но даже в случае, если все требования информационной безопасности для устройств домашнего интернета вещей и голосовых помощников будут выполнены, нет гарантии, что конфиденциальные сведения не попаду в третьи руки. Это связано с тем, что все больше поставщиков умной техники переходят на схему монетизации товара уже после его продажи — реализуя персональные данные клиентов, которые они могут собрать с помощью проданного оборудования. Причем, в таком поведении замечены не только Google и Amazon, но и другие компании. И если раньше подобные схемы широко не афишировались, то сейчас поставщики не стесняются говорить об этом открыто. В частности, технический директор компании Vizio Билл Бакстер (Bill Baxter), отвечая на вопрос журналистов The Verge о причинах падения цен на смарт-телевизоры, пояснил, что некоторые производители собирают данные о своих пользователях и продают их сторонним покупателям.
«Это беспощадная индустрия. Это отрасль с прибылью в 6%, так? То есть, вы же понимаете, это жестоко. Можно сказать, что мы сами в этом виноваты, а можно предположить, что здесь действует более масштабная стратегия. И она есть. Большая стратегия заключается в том, что мне уже не нужно зарабатывать на телевизоре. Я должен лишь покрыть свои расходы», — заявил Бакстер.
И в настоящее время эта проблема осложняется тем, что практически невозможно понять какие данные и в каком объеме собираются умной техникой, а также кому именно они перепродаются и как используются в дальнейшем.
Носимые уязвимости
Еще одним вектором атак, по мнению экспертов, могут стать носимые устройства, такие как умные часы, фитнес-трекеры и специализированные медицинские гаджеты. Первым «звоночком», указывающим на серьезную уязвимость подобных устройств, стали инциденты, связанные с раскрытием секретной информации о расположении военных объектов на основе данных, собранных приложениями для фитнеса Polar Flow и Strava. Но популярность носимых гаджетов среди пользователей только растет. По данным исследовательской компании Juniper Research, в течение следующих пяти лет потребители будут тратить на такие девайсы порядка $20 млрд в год. И рост продаж носимых устройств идет намного быстрее, чем у ПК или смартфонов. Кроме того, по прогнозам Juniper, к 2023 г. поставщики медицинских услуг будут осуществлять дистанционный мониторинг пяти миллионов человек.
Носимая электроника и домашний интернет вещей могут стать легкой мишенью для атак
Однако, по мнению исследователей, конфиденциальность данных подвергается серьезным рискам: поскольку носимые изделия становятся частью стратегии лечения пациентов, производители устройств будут стремиться зарабатывать деньги, продавая сведения, сгенерированные владельцами этих приборов. Например, страховым компаниям. По прогнозам Juniper, доходы от услуг такого рода к 2023 г. достигнут $855 млн.
«Очень важно, чтобы пациенты были осведомлены о том, как будут использоваться их личные данные. Если нет, то создание носимых mast have устройств для предоставления персонализированного ухода или получения медицинской страховки рискует получить негативную реакцию со стороны пациентов и усиление нормативного контроля», — отметил автор исследования Майкл Лернер (Michael Larner).
Интерес к этому растущему рынку проявляют и ИТ-супергиганты. Так, в начале этого года Google приобрела часть компании Fossil, занимающейся разработкой носимой электроники, в том числе смарт-часов. Это случилось всего лишь два месяца спустя после того, как Google поглотила DeepMind Health — дочернее подразделение британской компании DeepMind. Оно известно своим приложением для медиков Streams, разработкой искусственного интеллекта для применения в медицине, а также сотрудничеством с Национальной службой здравоохранения Великобритании, в рамках которого получило в свое распоряжение более 1,5 млн записей британских пациентов. Эта новость моментально породила дискуссии по поводу защиты конфиденциальности медданных. Первоначально, DeepMind пообещала не передавать записи пациентов в распоряжение Google, но уже сам факт того, что высокочувствительные персональные сведения, содержащие среди прочего адреса, рецепты и статусы ВИЧ, стали еще ближе к поисковому гиганту, вызывает закономерную обеспокоенность.
«Вместо того чтобы искать болезни, соответствующие моим симптомам, я смогу просто подождать, когда компания начнет предоставлять мне релевантную рекламу. Правда, это может быть неоптимальным, если поисковый гигант просто пришлет вам объявления от похоронных бюро, а не проинформирует о терминальной стадии болезни обычным способом», — написал главный редактор Financial Times Роберт Шримсли (Robert Shrimsley).
Кроме того, как и в случае с устройствами домашнего интернета вещей, носимая электроника может стать легкой мишенью для атак. ИБ-эксперты указывают, что фитнес-трекеры, умные часы, слуховые аппараты с возможностью подключения к смартфону, разнообразные носимые медицинские датчики, в том числе инсулиновые помпы, умные протезы конечностей, кардиостимуляторы и даже нейроимпланты, уязвимы для киберпреступников. Тем более, что производители мобильных ОС и телефонов не отстают от рыночного спроса и добавляют специальные функции, позволяющие использовать смартфоны в качестве концентраторов для хранения и обработки медданных, полученных с носимых устройств. Хотя, исследователи из Trend Micro и отмечают, что злоумышленники все еще не нашли в этой области четкого и легкого пути к прибыли и в ближайшее время крупные атаки будут носить спорадический характер, стоит отметить — медицина остается одной из самых уязвимых отраслей для кибератак. Почти треть утечек, зафиксированных по всему миру в первой половине 2018 г., пришлась именно на здравоохранение.
Зыбкие границы в облаках
Но не только личные гаджеты сотрудников и домашний интернет вещей могут поставить под удар периметр информационной защиты предприятия. Одновременно несколько исследований указывают на угрозы, связанные с использованием облачных технологий. Так Gartner прогнозирует, что к 2021 г. 27% трафика корпоративных данных будут обходить безопасный периметр. Они начнут поступать непосредственно с мобильных и портативных устройств в облако. В докладе компании McAfee с прогнозами на 2019 г. говорится, что за последние два года предприятия широко внедрили модели Saas (программное обеспечение как услуга), Iaas (инфраструктура как услуга) и Paas (платформа как услуга), и благодаря этому в облаке теперь находится гораздо больше корпоративных данных. Причем, 21% этой информации носит конфиденциальный характер — например, интеллектуальная собственность, а также клиентские и личные данные. Кроме того, в течение прошлого года на треть увеличилось количество пользователей, работающих с этой информацией. И по мере того, как облако все активнее становится источником вычислительных мощностей и базой хранения для веб-сайтов и приложений, интерес киберпреступников к этой сфере и общее количество инцидентов будут только расти. По наблюдениям ИБ-исследователей, злоумышленники берут на вооружение не только технологичные методы (такие как эксплуатация уязвимостей API и контейнеров, эксплойты, развертывание ботнетов или «атаки посредника»), но также они все чаще ориентируются на пресловутый «человеческий фактор».
По данным McAfee, как организации, так и пользователи все чаще обмениваются файлами путем создания открытых общедоступных ссылок на эти файлы, расположенные в облачном хранилище. И за последние два года обмен секретными данными с помощью этого метода увеличился на 23%. Это связано с тем, что одним из основных принципов облачной технологии является обеспечение совместной работы и обмена информацией. Но проблема такого подхода заключается в том, что доступ к файлам по общей ссылке может получить любой из ее обладателей, и мало кто может помешать ему переслать эту ссылку другим получателям, что значительно увеличивает риск потери данных. Более того, службам ИТ-безопасности крайне сложно отследить количество существующих открытых ссылок и были ли они переданы неавторизованным сторонам.
Сразу несколько ИБ-компаний отмечают еще один немаловажный фактор риска — массовые утечки данных из облачных хранилищ из-за неправильной настройки политик безопасности. В настоящее время в своей работе 65% организаций по всему миру используют облачные сервисы по модели IaaS, 52% — PaaS. Однако отдельные услуги, к которым клиенты имеют доступ на платформах IaaS, поставляются с глубокими и часто сложными настройками безопасности. Так, за последние пару лет регулярно случались инциденты, связанные с неверной конфигурацией корзин Amazon S3. Это стало возможным еще и потому, что не все пользователи считают нужным закрывать содержимое своих облачных хранилищ, а многие из клиентов уверены, что минимальных средств защиты достаточно для обеспечения безопасности. В итоге, имея доступ к открытым данным, злоумышленники все чаще выбирают простые решения. И по статистике McAfee, в среднем организации сталкиваются с 12.2 угрозами взлома учетных записей в облаке в месяц.
«Большая проблема облака заключается в том, что все может стать поверхностью атаки. Организациям все еще предстоит многое сделать в отношении облачной безопасности. И в 2019 году им действительно нужно задавать правильные вопросы, — предупреждает Мартин Хольсте (Martin Holste), директор по облачным технологиям FireEye. — Вы знаете, кто прямо сейчас входит в вашу инфраструктуру? Вы знаете, кто имеет к ней право доступа? Если кто-то скачивает файл, знаете ли вы, что у него есть на это допуск? Меньше внимания битам и байтам — таким вещам, как переполнение буфера — и гораздо больше внимания бизнес-логике и пониманию: должны ли происходить вещи, которые происходят? Есть в этом что-либо аномальное?»
Эксперты также отмечают, что политики доступа к информации должны быть поняты, корректно реализованы и поддерживаться в течение всего периода использования.
Возможные приоритеты
С развитием технологий эволюционирует и ландшафт угроз. Чтобы удержать лидерство в гонке цифрового преобразования, компаниям необходимо развивать корпоративную культуру управления безопасностью и постоянно отслеживать права доступа пользователей и устройств. Но, независимо от того, насколько жесткими являются меры информационной безопасности, люди всегда будут оставаться самым слабым звеном. Использование публичных облачных сервисов и концепция BYOD становятся все более популярными и, по данным Gartner, к 2020 г. треть успешных атак будет базироваться на теневых ИТ-ресурсах, применяемых пользователями без ведома и разрешения служб информационной безопасности. В связи с этим необходимо рассматривать возможность удаленной работы пользователей ориентируясь на интересы корпоративной ИТ-безопасности. Помимо того, образование сотрудников приобретает жизненно важное значение.
Как отмечают эксперты, в 2019 г. способность отличать правду от неправды, особенно в интернете, становится все более насущной. Социальная инженерия опирается на простые человеческие слабости, поэтому пользователи должны действовать осторожно, применяя критическое мышление для определения действительно ли электронная почта или телефонный звонок исходит из надежного источника. Уже недостаточно проводить простые уроки онлайн-гигиены, необходимы более глубокие образовательные проекты, которые проинформируют персонал об угрозах кибербезопасности. И чем больше служащие компаний узнают о возможных рисках и компрометирующем поведении, тем лучше.
Помимо классических рекомендаций о том, что пользователи должны регулярно менять свои пароли, применять многофакторную аутентификацию, когда это возможно, или использовать менеджер паролей для безопасного хранения учетных данных, эксперты озвучивают дополнительные советы. В частности, для обеспечения защиты систем умного дома, маршрутизаторов и смарт-приборов, необходимо выполнять следующие требования: проверять настройки продуктов, выставленные «по умолчанию»; изменять «стандартные» заводские пароли; регулярно устанавливать обновления для встроенного ПО, подключаясь только к защищенным сетям; настраивать брандмауэры, чтобы разрешить трафик только на определенных портах; настраивать «гостевые политики», чтобы свести к минимуму введение чужих девайсов в сеть. Кроме того, если это возможно, владельцы должны просматривать журналы событий устройств.
Короткая ссылка на материал: www.cnews.ru/link/a13221
Полный текст статьи читайте на CNews