#datasecurity

Однією з найпопулярніших категорій кіберзлочинів, що швидко розвиваються, є програма-вимагач. Щодня відбувається понад 4000 атак програмами-вимагачами. Така кількість атак у поєднанні з тісними взаємовідносинами компаній із третіми особами збільшує ймовірність компрометації даних співробітників. Безпеку конфіденційних даних можна забезпечити за допомогою стратегії запобігання атакам програмами-вимагачами та процесом швидкого виявлення скомпрометованих даних.

Ефективна стратегія запобігання атакам передбачає розгортання елементів управління безпекою на кожному етапі розвитку типової атаки програмою-вимагачем.

Основні етапи атаки програмами-вимагачами:

Фішингова атака – відправка електронного листа зі шкідливими посиланнями, що переадресовують користувача на сайт шахраїв. На таких сайтах відбувається крадіжка внутрішніх облікових даних. Це найпопулярніший спосіб старту атаки;
Взаємодія з користувачем (жертвою) – перехід за посиланням, завантаження вкладень тощо;
Компрометація облікового запису – компрометація корпоративних облікових даних жертви за допомогою відправки їх на шкідливий сайт, а також за допомогою соціальної інженерії (наприклад, хакер видає себе за співробітника IT-відділу та запитує підтвердження повідомлення двофакторної автентифікації). На цьому етапі найчастіше відбувається впровадження шкідливого ПЗ, ініціюючи встановлення програми-вимагача;
Визначення привілейованих даних – виявлення та компрометація привілейованих облікових даних для отримання несанкціонованого доступу до конфіденційних областей мережі;
Пошук конфіденційних даних (особисті дані, дані клієнтів, номери соціального страхування, корпоративні облікові дані, дані корпоративної та особистої електронної пошти, будь-який цифровий слід, який може бути використаний для крадіжки особистих даних);
Ексфільтрація даних – розгортання шкідливої програми для встановлення бекдор-підключень до серверів кіберзлочинця при виявленні цінних ресурсів даних. Через бекдор-підключення починається передача даних, за які згодом кіберзлочинець вимагатиме викуп;
Шифрування даних – кіберзлочинець шифрує операційні та комп’ютерні системи жертви з метою завдати максимальної шкоди. Жертва отримує сповіщення про викуп (зазвичай у файлі TXT) з чітким зазначенням ціни викупу. Найчастіше кіберзлочинці вимагають сплатити викуп у криптовалюті (біткоїни), скільки правоохоронним органам складніше відстежити їхній рух. Щоб прискорити процес виплати викупу, злочинці загрожують розмістити дані у даркнеті або видалити їх;
Дамп даних – завершальний етап атаки. На цьому етапі кіберзлочинці публікують усі скомпрометовані дані на кіберзлочинам ринку. Деякі кіберзлочинці повністю видаляють дані, позбавляючи себе необхідності публікувати їх на чорному ринку та відстежувати запити на покупку. Якщо жертва відмовляється виплачувати викуп, кіберзлочинець може покарати жертву та опублікувати всі дані на форумах. Вільний доступ до даних, розміщених на таких форумах, завдає більшої шкоди компанії, ніж їхній продаж 1 групі кіберзлочинців.

Захистити та знизити вплив програм-вимагачів можна за допомогою впровадження заходів безпеки на кожному етапі атаки:

Навчання з питань безпеки. Дуже складно перемогти програму-вимагач, якщо вона вже проникла в корпоративну мережу. Запобігаючи проникненню, кіберзлочинці не мають змоги провести успішну атаку. Співробітники часто не знають, як розпізнати погрози та як реагувати на них, і тим самим сприяють успіху атаки. Важливо забезпечити якісне навчання всіх співробітників, проінформувати про потенційні ризики та навчити розпізнавати загрози;
Відстеження взаємодій із шкідливими посиланнями та вкладеннями. Щоб запобігти атаці і не дати їй перейти на наступний етап, така активність має бути виявлена якнайшвидше. Співробітники повинні негайно попередити IT-фахівців із безпеки;
Запобігання компрометації облікового запису. Використання багатофакторної аутентифікації. Найбільш безпечною формою є метод біометричної автентифікації. Такі біометричні дані, як відбитки пальців, розпізнавання облич, дуже складно вкрасти чи скопіювати;
Захист привілейованих даних. Використання менеджера паролів, багатофакторної аутентифікації, моделі безпеки з нульовою довірою. В останньому випадку весь внутрішній трафік сприймається як шкідливий і тому користувачеві необхідно постійно підтверджувати свою особу при запиті доступу до конфіденційних ресурсів;
Запобігання втраті даних. Закриття або сегментування від загального доступу користувачів до чутливих областей мережі. Також необхідно забезпечити захист багатофакторною автентифікацією всіх облікових записів користувачів, які мають доступ до закритих областей;
Запобігання крадіжці даних. Цей процес складається з 2 елементів: виявлення та запобігання. Методи виявлення включають:

використання SIEM для моніторингу мережного трафіку у режимі реального часу;
моніторинг з’єднань із зовнішніми IP-адресами;
моніторинг підозрілої активності вихідного трафіку;

Методи запобігання включають:

протоколи безпеки (DNS, HTTP, FTP);
виправлення вразливостей програмного забезпечення.

Захист від шифрування даних. Процеси швидкого перемикання операцій на системи резервного копіювання можуть мінімізувати збої у бізнесі у разі атаки програмою-вимагачем. Такі середовища повинні бути доступні з унікальним набором облікових даних, тобто повинні відрізнятися від тих, що використовуються у звичайному середовищі IT.

Головне завдання сучасного бізнесу – забезпечити надійний захист даних. Кібербезпека забезпечує захист даних усіх категорій від крадіжки та пошкоджень: конфіденційні дані, інформація, що ідентифікує особистість (PII), особиста медична інформація (PHI), особиста інформація, інтелектуальна власність, дані, державні та корпоративні інформаційні системи. Відсутність системи кібербезпеки збільшує ризик для компанії стати мішенню для кіберзлочинців.

Глобальне використання хмарних сервісів як сховища конфіденційних даних також збільшує ризики. Неправильна конфігурація хмарних сервісів і витончені методи кіберзлочинців призводить до успішної кібератаки та витоку даних. Готові рішення такі, як антивірусне програмне забезпечення та брандмауери не є надійним захистом даних. Кіберзлочинці використовують розумніші тактики і більш стійкі до традиційних засобів кіберзахисту методи.

Кіберзагрози можуть виходити від будь-якого рівня організації. Важливо забезпечити навчання персоналу всіх рівнів з питань кібербезпеки, інформувати про поширені кіберзагрози (шахрайство з використанням соціальної інженерії, фішинг, атаки програмами-вимагачами та інші шкідливі програми для крадіжки інтелектуальної власності та/або особистих даних), навчити розпізнавати їх та ознайомити з планом дій у разі виникнення інциденту.

Кібербезпека – це стан або процес захисту та відновлення комп’ютерних систем, мереж, пристроїв та програм від будь-якого типу кібератак. Небезпека для даних висока, оскільки кіберзлочинці використовують нові методи, засновані на соціальній інженерії та штучному інтелекті і легко обходять традиційні методи захисту даних. Забезпечити захист даних можна завдяки впровадженню інтелектуальних рішень для безпеки у поєднанні з надійними політиками паролів (наприклад, багатофакторна автентифікація для запобігання несанкціонованому доступу).

Сучасне суспільство сильно залежить від технологій, і така тенденція лише зростатиме. Дані, які можуть сприяти великим крадіжкам даних, публікуються в облікових записах соціальних мереж, конфіденційна інформація (номер соціального страхування, інформація про банківські картки та рахунки тощо) зберігається в хмарних сховищах (Dropbox, Google Drive тощо). Щодня чи то велика корпорація, чи звичайна людина використовує технології та комп’ютерні системи. Якщо зіставити це з недостатньою безпекою хмарних сервісів, смартфонів та Інтернету речей, виникає безліч потенційних вразливостей безпеки, яких не існувало ще кілька років тому.

Загальний регламент захисту даних (GDPR), а саме репутаційні збитки та відповідальність перед клієнтом, мотивував організації переглянути систему кібербезпеки. Відповідно до GDPR організації, які ведуть свою діяльність у Європі зобов’язані:

Повідомляти про витік даних;
Призначити відповідального за захист даних;
Вимагати згоди користувача на обробку інформації;
Анонімізувати дані для забезпечення конфіденційності;

У США працюють закони про витік даних і передбачають:

Повідомлення постраждалих про витік даних якнайшвидше;
Повідомлення уряд;
Виплату штрафів

У 2003 році Каліфорнія стала першим штатом, який регулював розкриття інформації про витік даних. Жертви можуть подати до суду на суму 750 доларів США, а компаніям може бути призначений штраф у розмірі до 7500 доларів США за кожну жертву.

Це зі свого боку сприяло розробці фреймворків для розуміння ризиків безпеки, покращення заходів кібербезпеки та запобігання кібератакам.

Крадіжка інформації є найдорожчим та швидкозростаючим сегментом кіберзлочинності. Багато в чому це викликано розкриттям ідентифікуючої інформації в Інтернеті через хмарні сервіси. Також, мішенню є промислові та урядові об’єкти з метою порушити цілісність даних (знищення або зміну даних) та викликати недовіру до організації чи уряду.

Соціальна інженерія залишається найпростішою формою кібератаки, а програми-вимагачі, фішинг та шпигунське програмне забезпечення – найпростішим методом проникнення в систему. Важливо враховувати, що атаку можна зробити за допомогою третіх осіб, які використовують ненадійні методи кібербезпеки.

Згідно з дослідженнями, середня вартість кіберзлочинності для організації збільшилася на 1,4 мільйона доларів за останній рік, середня кількість витоків даних зросла на 11%.

Чинники, що сприяють зростанню кіберзлочинності:

Розподілений Інтернет;
Здатність кіберзлочинців атакувати цілі за межами їхньої юрисдикції, що ускладнює роботу поліції;
Підвищення прибутковості та простота комерції в даркнеті;
Розповсюдження мобільних пристроїв та Інтернету речей (IoT).

Наслідки нехтування кібербезпекою:

Економічні витрати (крадіжка інтелектуальної власності, корпоративної інформації, збої у торгівлі, відновлення та ремонт пошкоджених систем);
Репутація (втрата довіри, втрата поточних та потенційних клієнтів, антиреклама у ЗМІ);
Регулятивні витрати (штрафи, санкції органів, що регулюють).

Безпека даних являє собою процес захисту файлів, баз даних, облікових записів за допомогою елементів управління, додатків та методів, що визначають важливість даних, їхню конфіденційність, а також відповідність нормативним вимогам.

Основними елементами безпеки даних є конфіденційність, цілісність та доступність. Модель, заснована на цих трьох складових, дозволяє забезпечити безпеку та захист даних від несанкціонованого доступу та крадіжки даних.

Конфіденційність – доступ до даних лише для авторизованих осіб;
Цілісність – надійність та точність інформації;
Доступність – доступність даних для задоволення бізнес-потреб.

Основні моменти, на які необхідно звернути увагу для забезпечення безпеки даних:

Місце знаходження даних. Щоб забезпечити достатній рівень захисту даних, необхідно знати, де вони зберігаються;
Доступ до даних. Неконтрольований доступ та нечасті перевірки дозволів наражає компанію на ризик несанкціонованого використання даних та крадіжки;
Безперервний моніторинг та оповіщення про зміни даних у режимі реального часу. Такий підхід дозволить відстежувати відповідність нормативним вимогам, а також вчасно виявити незвичайну активність, підозрілі облікові записи, зміни роботи комп’ютерів тощо.

Технології для запобігання витоку, зниження ризиків та забезпечення надійного захисту:

Аудит даних дозволяє перевірити роботу всіх компонентів, вчасно виявити помилки та усунути їх;
Оповіщення про дані в режимі реального часу дозволяють відслідковувати активність даних, швидше виявляти підозрілу поведінку, порушення безпеки, що призводять до випадкового руйнування даних, їх втрати, зміни, несанкціонованого розголошення та доступу до персональних даних;
Оцінка загроз даним допомагає виявляти найбільш уразливі конфіденційні дані, надає детальне пояснення кожної вразливості, а також пропонує способи та рекомендації щодо усунення загроз безпеці;
Мінімізація даних дозволяє збирати та зберігати лише цільові дані для бізнесу, які покривають його потреби. Велика кількість непотрібних даних не дасть конкурентної переваги, але може зашкодити репутації у разі їх витоку. Важливо аналізувати бізнес-потреби у даних та мінімізувати обсяги даних;
Видалення застарілих даних. Якщо даних немає в мережі, вони не можуть бути скомпрометовані. Варто встановити системи, які можуть відстежувати доступ до файлів і автоматично архівувати файли, що не використовуються.

Забезпечення безпеки даних:

Ізоляція файлу конфіденційних даних. Не слід розміщувати конфіденційний файл у папці з відкритим доступом. Програмне забезпечення безпеки даних дозволяє класифікувати конфіденційні дані та переміщувати їх у безпечне місце;
Відстеження поведінки користувачів. Поширеною проблемою є надмірний доступ та дозвіл. Тобто більше, ніж необхідно для виконання своїх обов’язків відповідно до ролі у компанії. ПЗ, яке відстежує поведінку користувачів і автоматично встановлює відповідні дозволи, дозволяє зменшити користувальницькі збитки.

Правила безпеки даних

Існують певні правила безпеки даних, наприклад HIPAA (Health Insurance Portability and Accountability Act), SOX (Sarbanes-Oxley Act), GDPR (General Data Protection Regulation) тощо. Вони передбачають:

відстеження, якими конфіденційними даними володіє компанія;
надання цих даних за запитом;
підтвердження застосування відповідних заходів для захисту даних.

Health Insurance Portability and Accountability Act (HIPAA)

Закон про мобільність та підзвітність медичного страхування. Він був схвалений Конгресом США та прийнятий 21 серпня 1996 року для модернізації потоку медичної інформації та захисту особистої інформації, що зберігається в медичних установах та медичних страхових галузях, від шахрайства та крадіжок. Закон зобов’язує відповідні організації прийняти стандарти безпеки, які враховують технічні можливості систем запису для зберігання медичної інформації, витрати на забезпечення заходів безпеки та цінності комп’ютеризованих систем записів.

Основні вимоги:

Безперервний моніторинг активності файлів та доступу до конфіденційної інформації;
Контроль доступу;
Ведення письмового запису.

Sarbanes-Oxley (SOX)

Закон США передбачає запровадження жорсткіших вимог до фінансової звітності та процесу її підготовки. Відповідно до цього закону, публічні компанії повинні надавати щорічну оцінку ефективності внутрішнього фінансового аудиту.

Основні вимоги:

Безперервний моніторинг та аудит, що вимагає від компаній включати до річних звітів оцінку внутрішнього контролю для забезпечення достовірності фінансової звітності та атестацію аудиту;
Контроль доступу, особливо до критично важливих комп’ютерних систем, є найважливішим аспектом відповідності до закону. Необхідно знати, які адміністратори внесли зміни в налаштування безпеки та права доступу до файлових серверів та їх вмісту, а також деталізувати історію доступу та будь-яких змін даних користувачів;
Звітність. Для надання доказів відповідності необхідно сформувати докладний звіт, де необхідно вказати використання даних, кожну взаємодію користувачів із файлом та конфіденційними даними, зміни дозволів, що впливають на права доступу до інформації.

General Data Protection Regulation (GDPR)

Це регламент ЄС, який визначає порядок опрацювання персональних даних організаціями. Він охоплює захист персональних даних громадян ЄС, таких як страховий номер, дата народження, адреса електронної пошти, IP-адреса, номер телефону, номери рахунків тощо.

Основні вимоги:

Класифікація даних: розуміння, де зберігаються дані, захист даних, виконання запитів на виправлення та видалення персональних даних;
Безперервний моніторинг: повідомлення про порушення протягом 72 годин;
Метадані: встановлення обмежень на зберігання даних (збирання та зберігання тільки цільових даних), визначення необхідності архівування даних;
Управління даними: розуміння, хто має доступ, і хто повинен мати доступ до даних у корпоративній системі, обмеження прав доступу в залежності від ролі бізнес-користувачів.

З кожним зломом та витоком інформації питання про кібербезпеку організації стає все більш актуальним. Будь-який бізнес насамперед має подбати про інформаційну безпеку. Далі приклади гучних витоків за останні місяці, які доводять важливість цього питання.

Лютий 2022 – GiveSendGo

Християнський сайт зі збору коштів був захоплений у відповідь на протести далекобійників з Оттави. Хакери використовували DDoS-атаку (відмова в обслуговуванні) та перенаправили сайт зі збору коштів на іншу сторінку. Внаслідок цієї атаки були скомпрометовані персональні дані людей, які пожертвували кошти. Усього було опубліковано особистої інформації 90 000 донаторів.

Цей випадок ще раз наголошує на важливості використання безпечних платформ та способів оплати, щоб дані клієнтів залишалися в безпеці та не були скомпрометовані. Якщо компанія вже зіткнулася з такою неприємністю – варто вжити правильних заходів щодо усунення самого витоку, а також причини його виникнення.

Січень 2022 – Crypto.com

Блокчейн є новітньою технологією, яка використовується у фінансовій сфері. Така модель досить довго вважалася однією з найбезпечніших форм обробки транзакцій. Але розвиток технологій породжує та розвитку методів кіберзлочинності. Так, 17 січня 2022 року було здійснено атаку на додаток для обміну криптовалютою. Атака була націлена на гаманці 483 користувачів програми.

Внаслідок злому було вкрадено BTC на суму близько 18 мільйонів доларів, ETH – на суму 15 мільйонів доларів, а також інші криптовалюти. Хакери навчилися обходити двофакторну автентифікацію та отримувати доступ до гаманців користувачів, що уможливило організацію злому. Для зниження ризиків такого виду атак важливо використовувати менеджер паролів. Підприємства повинні усвідомлювати всі ризики, пов’язані з крадіжкою криптовалюти. Тому всі конфіденційні дані мають бути зашифровані.

Грудень 2021 – FlexBooker

FlexBooker – це інструмент планування зустрічей. Перед новорічними святами стали жертвою кіберзлочинців, внаслідок якої постраждали приблизно 3 мільйони користувачів. Зловмисники отримали доступ до конфіденційних даних (права водія, фотографії та інша інформація, що засвідчує особу) і розмістили її на різних хакерських форумах. Для цих цілей хакери використовували FlexBooker конфігурацію AWS, встановили шкідливе програмне забезпечення на серверах, що дозволило їм отримати повний контроль над системою.

Листопад 2021 – Robinhood

Robinhood – американська компанія, яка надає фінансові послуги та пропонує можливість безкомісійної торгівлі акціями та біржовими фондами через мобільний додаток. Атаку на компанію було здійснено 16 листопада 2021 року. Використовуючи соціальну інженерію (метод ґрунтується на використанні соціальної психології), були зламані внутрішні системи. За даними компанії, злочинці отримали доступ до адрес електронної пошти майже 5 мільйонів користувачів та іншої особистої інформації. За нерозголошення будь-яких даних зловмисники вимагали викуп.

Жовтень 2021 – Twitch

Twitch – сервіс для відеостримінгу, який спеціалізується на тематиці комп’ютерних ігор. У жовтні стало відомо, що невідомий зловмисник проник у вихідний код, внаслідок чого було скомпрометовано набори даних, зокрема про виплати розробникам сервісу. Витік містив дані щодо виплат за 3 роки, інформація про діяльність twitch.tv, вихідний код клієнтів, пропрієтарний код тощо.

Дані надають великі можливості бізнесу та водночас потребують великої відповідальності. Ефективна система управління даними, яка включає процеси збору, зберігання, обробки, доступу та безпеки даних, необхідна будь-якій компанії. Виділення тільки одного процесу та інвестування коштів на його налаштування – є помилковим рішенням. Вся система і кожний її процес повинні бути коректно налаштовані та виконувати свої функції для отримання максимального результату.

Не виникає сумніву, що всі дані повинні бути захищеними, інакше інші бізнес-процеси можуть втратити сенс. Досить часто можна почути новини про витік інформації різних компаній. Наприклад, атака на Yahoo у 2013 році, коли у кінцевому результаті було скомпрометовано 3 млрд ідентифікаційних даних користувачів; витік персональних даних 5,2 млн клієнтів готельної мережі Marriott; витік інформації клієнтів парфумерно-косметичних магазинів Sephora.

Такі ситуації негативно впливають на весь бізнес-простір: на «постраждалий» бізнес у вигляді падіння вартості акцій, недовіри клієнтів, погіршення репутації та ін., та на бізнес, який став спостерігачем та свідком цієї ситуації. Менеджмент компаній (особливо після чергової новини про витік) активно займається питаннями кібербезпеки. Проте, страх та брак знань породжує помилкову думку менеджменту (наприклад, впровадження технологій штучного інтелекту гарантує захист від кібератак).

Проте, перш ніж впроваджувати технології у бізнес-процеси, необхідно приділити увагу наступним пунктам:

IT-відділ компанії

Досить часто можна спостерігати ситуацію, коли один IT-спеціаліст виконує декілька ролей у компанії (від обслуговування робочих комп’ютерів до забезпечення захисту конфіденційних даних). Неукомплектованість IT-відділу та недостатній рівень його навчання тягне за собою негативні наслідки, зокрема пов’язані з безпекою даних. Наразі не існує єдиного «правильного» розміру IT-відділу. Його розмір повинен бути таким, щоб усі запити компанії були якісно задоволені.

Фінансові обмеження

Будь-який бізнес прагне збільшити прибуток та зменшити витрати. Менеджмент компаній неохоче погоджується на введення нової статті витрат на набір спеціалістів з кібербезпеки або на навчання існуючих співробітників. Намагаючись зекономити, вибір припадає на більш дешевий варіант – придбання низькоякісних рішень, що наражає на небезпеку весь бізнес.

Витрати на неефективні методи

Для вибору ефективного методу захисту даних необхідно повністю розуміти якими даними володіє компанія, яка інформація конфіденційна, де вона обробляється та ін. Не розуміючи це та хаотично скуповуючи інструменти для захисту даних, можна виявити, що придбані інструменти зовсім не підходять та не задовольняють потреби бізнесу. Гроші витрачені – результат відсутній.

Процес вибору та впровадження системи управління даними повинен бути без поспіху, «економії» та хаотичності. Організовуючи IT-відділ всередині компанії, необхідно чітко розуміти які функції повинні виконувати IT-спеціалісти, які потреби бізнесу необхідно покрити, які цілі необхідно досягти. Тільки розуміючи це, можна сформувати ефективний відділ і досягти результату. Якщо завдання з впровадження системи управління даними буде делеговано підряднику – важливо прийняти зважене рішення. Довіряйте свій бізнес надійним партнерам, які допоможуть досягти встановлені цілі та підвищити ефективність компанії.

Життєвий цикл атаки програмою-вимагачем та способи захисту

Важливість кібербезпеки для сучасного бізнесу

Основні складові процесу забезпечення безпеки даних

Найгучніші витоки даних 2021 – 2022

Дані потребують захисту