Суть проблемы
Даже простое разделение инсайдеров на лояльных и нелояльных далеко не отражает всей глубины этого явления и, таким образом, не может дать полной картины для понимания его действий. Цели и методы, например, лояльных инсайдеров, допускающих ошибки по незнанию, в корне отличаются от целей и методов нелояльных, совершающих преступление умышленно. Каждый тип инсайдера требует специфического учета, анализа, и уже на этой основе можно построить действительно эффективную систему защиты. Такую систему, которая знает врага в лицо и понимает каждый его шаг.
Классификация инсайдеров
Существует несколько подходов к классификации внутренних нарушителей. Одной из первых шаг в этом направлении сделала международная научно—исследовательская компания IDC, представившая свой взгляд на проблему в 2006 г. По версии IDC, экосистема инсайдеров имеет четыре уровня: «граждане», «нарушители», «отступники», «предатели».
Верхний уровень составляют «граждане» — лояльные служащие, которые очень редко (если вообще когда—нибудь) нарушают корпоративную политику и в основном не являются угрозой безопасности.
На втором уровне находятся «нарушители», составляющие большую часть «населения» корпорации. Эти сотрудники позволяют себе небольшие фамильярности, работают с персональной веб—почтой, играют в компьютерные игры и совершают онлайн—покупки. Представители данного уровня нарушителей создают угрозу ИТ—безопасности, но сопутствующие им инциденты являются случайными и неумышленными.
На следующем уровне находятся «отступники» — работники, которые большую часть рабочего времени делают то, что они делать не должны. Эти служащие злоупотребляют своими привилегиями по доступу к Интернету, самовольно устанавливают и используют P2P—клиенты и IM—приложения.Более того, такие сотрудники могут отсылать конфиденциальную информацию компании внешним адресатам, заинтересованным в ней. Таким образом, «отступники» представляют серьезную угрозу ИТ—безопасности.
Наконец, на самом нижнем уровне находятся «предатели». Это служащие, умышленно и регулярно подвергающие конфиденциальную информацию компании опасности — обычно за финансовое вознаграждение от заинтересованной стороны. Такие сотрудники представляют реальную угрозу, но их сложнее всего поймать.
В этой связи большую ценность имеет экосистема инсайдеров, представленная российской компанией InfoWatch. Специалисты компании фокусируют внимание исключительно на защите данных от утечки, искажения и уничтожения, и поэтому их взгляды отличаются большей глубиной анализа.
InfoWatch выделяет шесть типов инсайдеров: халатного и манипулируемого из группы лояльных, а также обиженного, нелояльного, подрабатывающего и внедренного из группы злонамеренных. Рассмотрим те виды инсайдеров которые используют высокие технологии для осуществления незаконных действий.
Подрабатывающие и внедренные инсайдеры
Подрабатывающие и внедренные внутренние нарушители — это сотрудники, цель которых определяет заказчик похищения информации. В обоих случаях инсайдеры стремятся как можно надежнее завуалировать свои действия (по крайней мере, до момента успешного хищения), однако мотивация их все же различается. «Подрабатывающий» тип охватывает весьма широкий пласт сотрудников, вступивших на стезю инсайдерства по различным причинам. К ним относят людей, решивших «подхалтурить» на пару тысяч, которых им не хватает для покупки автомобиля. Нередки случаи инсайдеров поневоле: шантаж, вымогательство извне буквально не оставляют им выбора и заставляют выполнять приказы третьих сторон. Именно поэтому подрабатывающие инсайдеры могут предпринимать самые разнообразные действия при невозможности выполнения поставленной задачи. В зависимости от условий они могут прекратить попытки, имитировать производственную необходимость, а в наиболее тяжелых случаях пойти на взлом, подкуп других сотрудников, чтобы получить доступ к информации.
Из шпионских фильмов времен холодной войны нам хорошо известен последний тип внутренних нарушителей — «внедренный». В современных условиях к внедрению агентов прибегают не только для государственного шпионажа, но и для промышленного. Типичный пример из практики. Системному администратору крупной компании поступает очень заманчивое предложение о переходе на другую работу. Много денег, превосходный социальный пакет, гибкий график работы. Отказаться невозможно. Одновременно в HR—службу поступает блестящее резюме похожего специалиста, от которого также невозможно отказаться, или этого специалиста предлагает системному администратору в качестве замены рекрутинговое агентство. Пока первый сдает дела, второй быстро получает доступ к конфиденциальной информации и «сливает» ее заказчику. После этого агентство и специалист просто испаряются и компания остается без корпоративных секретов, а системный администратор — без работы. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети «работодатели» могут снабдить его соответствующими устройствами или программами для обхода защиты и «внедренный» нарушитель пойдет до конца, чтобы получить данные. В его арсенале будут самые изощренные средства и большой профессиональный опыт взлома.
Итоги
Защита от тех, которые ниже – DLP-системы.
В эту классификацию не случайно не включены более мелкие группы инсайдеров, а также те внутренние нарушители, которые не пользуются корпоративной информационной системой. В этом смысле следует упомянуть распространенную группу экономических преступников — сотрудников, передающих внутреннюю корпоративную информацию с целью получения выгоды, потому что она, например, может повлиять на стоимость акций. Дело в том, что техническими и организационными мерами пресечь утечку такой информации практически невозможно, поскольку ее очень немного, часто всего несколько цифр или одно предложение, и может даже не существовать в электронном виде. Например, данные о прибыли компании за какой—то период, разведанных запасах нефти, информация о предстоящем поглощении компании и т. п. В отличие от прессы, проверяющих органов и др., клиентам инсайдеров не нужны подтверждения в электронном виде. С технической точки зрения пресечь вынос такой информации (названия компании и дату запуска) за пределы компании «в оперативной памяти человеческого мозга» невозможно. Для предотвращения таких утечек действует законодательно закрепленный запрет на использование инсайдерской информации при торговле ценными бумагами. Поэтому этот тип нарушителей не принимается в предложенной классификации во внимание.
В заключение необходимо отметить существующие тенденции. Чем крупнее компания, чем большими средствами она оперирует, тем агрессивнее и профессиональнее будут атаки с использованием внутренних нарушителей. Средний и малый бизнес вполне может устоять даже после очень серьезного инцидента — хищения клиентской базы, ноу—хау или финансового отчета. Крупные организации, в особенности «отягощенные» листингом на фондовых биржах, могут рассыпаться как колосс на глиняных ногах. Вспомните корпоративные скандалы с участием инсайдеров: банкротство британских корпораций PollyPeck и BankofCreditandCommerceInternational и американских гигантов Enron, HeathSouth, Adelphia, Tyco, WorldComm, QuestCommunications, CardSystemsSolutions и GlobalCrossing, мошенничество с пенсионным фондом фирмы MaxwellCommunications. Во всех этих случаях инвесторы потеряли десятки и сотни миллиардов долларов. Между тем проблема была именно в недостаточном контроле за собственными сотрудниками, в особенности топ—менеджментом, и непонимании экосистемы внутренних нарушителей. Чем больше информационные технологии будут развиваться и интегрироваться в бизнес—процессы, тем большую опасность будут представлять внутренние ИТ—угрозы [19].
Фишинг
Что такое «фишинг»
Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание и password — пароль) — вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.
Фишинг представляет собой пришедшие на почту поддельные уведомления от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать / обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и прочее.
Атаки фишеров становятся все более продуманными, применяются методы социальной инженерии. Но в любом случае клиента пытаются напугать, придумать критичную причину для того, чтобы он выдал свою личную информацию. Как правило, сообщения содержат угрозы, например, заблокировать счет в случае невыполнения получателем требований, изложенных в сообщении («если вы не сообщите ваши данные в течение недели, ваш счет будет заблокирован»). Часто в качестве причины, по которой пользователь должен выдать конфиденциальную информацию, фишеры называют необходимость улучшить антифишинговые системы («если хотите обезопасить себя от фишинга, пройдите по этой ссылке и введите свой логин и пароль»).На Рис 1 приведен пример фишингового письма с требованием пройти по ссылке и обновить свои данные в системе FederalCreditUnion.
Рис. 1. Пример фишингового письма в системе FederalCreditUnion.
Фишинговые сайты, как правило, живут недолго (в среднем — 5 дней). Так как анти-фишинговые фильтры довольно быстро получают информацию о новых угрозах, фишерам приходится регистрировать все новые и новые сайты. Внешний же вид их остается неизменен — он совпадает с официальным сайтом, под который пытаются подделать свой сайт мошенники.
Зайдя на поддельный сайт, пользователь вводит в соответствующие строки свой логин и пароль, а далее аферисты получают доступ в лучшем случае к его почтовому ящику, в худшем — к электронному счету. Но не все фишеры сами обналичивают счета жертв. Дело в том, что обналичивание счетов сложно осуществить практически, к тому же человека, который занимается обналичиванием, легче засечь и привлечь мошенников к ответственности. Поэтому, добыв персональные данные, некоторые фишеры продают их другим мошенникам, у которых, в свою очередь, есть отработанные схемы снятия денег со счетов.
Наиболее частые жертвы фишинга — банки, электронные платежные системы, аукционы. То есть мошенников интересуют те персональные данные, которые дают доступ к деньгам. Но не только. Также популярна кража личных данных от электронной почты — эти данные могут пригодиться тем, кто рассылает вирусы или создает зомби-сети.
Характерной особенностью фишинговых писем является очень высокое качество подделки. Адресат получает письмо с логотипами банка / сайта / провайдера, выглядящее в точности так же, как настоящее. Ничего не подозревающий пользователь переходит по ссыке «Перейти на сайт и залогиниться», но попадает на самом деле не на официальный сайт, а на фишерский его аналог, выполненный с высочайшей точностью.
Еще одной хитростью фишеров являются ссылки, очень похожие на URL оригинальных сайтов. Ведь достаточно наблюдательный пользователь может обратить внимание на то, что в командной строке браузера высвечивается ссылка, совершенно отличная от легитимного сайта. Такие «левые» ссылки тоже встречаются, но рассчитаны они на менее искушенного пользователя. Часто они начинаются с IP-адреса, хотя известно, что настоящие солидные компании давно не используют подобные ссылки.
Поэтому фишинговые URL часто похожи на настоящие. Они могут включать в себя название настоящего URL, дополненное другими словами (например, вместо www.examplebank.com стоит www.login-examplebank.com). Также в последнее время популярный фишинговый прием — ссылка с точками вместо слешей, внешне очень похожая на настоящую (вместо www.examplebank.com/personal/login стоит www.examplebank.com.personal.login). Можно привести еще такой фишерский вариант: www.examplebank.com-personal.login.
Также в самом теле письма может высвечиваться ссылка на легитимный сайт, но реальный URL, на который она ссылается, будет другим. Бдительность пользователя притупляется еще тем, что в письме может быть несколько второстепенных ссылок, ведущих на официальный сайт, но основная ссылка, по которой пользователю надо пройти и залогиниться, ведет на сайт мошенников.
Технологии фишеров совершенствуются. Так, появилось сопряженное с фишингом понятие — фарминг. Это тоже мошенничество, ставящее целью получить персональные данные пользователей, но не через почту, а прямо через официальные веб-сайты. Фармеры заменяют на серверах DNS цифровые адреса легитимных веб-сайтов на адреса поддельных, в результате чего пользователи перенаправляются на сайты мошенников. Этот вид мошенничества еще опасней, так как заметить подделку практически невозможно.
Наиболее популярные фишерские мишени — аукцион Ebay и платежная система PayPal. Также страдают различные банки по всему миру. Атаки фишеров бывают случайными и целевыми. В первом случае атака производится «наобум». Атакуются наиболее крупные и популярные объекты — такие как аукцион Ebay — так как вероятность того, что случайный получатель имеет там учетную запись, довольно высока. Во втором случае мошенники узнают, каким именно банком, платежной системой, провайдером, сайтом пользуется адресат. Этот способ более сложен и затратен для фишеров, зато больше шансов, что жертва купится на провокацию. На Рис 2 показано пример фишингового письма — фрагмент поддельного уведомления популярной платежной системы PayPal.
Рис. 2. Пример фишингового письма системы PayPal.
Воровство конфиденциальных данных — не единственная опасность, поджидающая пользователя при нажатии на фишерскую ссылку. Зачастую, следуя по ней, можно получить программу-шпиона, кейлоггер или троян. Так что если даже у вас нет счета, которым мошенники могли бы воспользоваться, нельзя чувствовать себя в полной безопасности.
Согласно данным Gartner, в США в 2006 году ущерб, нанесенный одной жертве фишинга, в среднем составил 1244 долларов США. В 2005 году эта сумма не превышала 257 долларов, что свидетельствует о невероятном успехе фишеров. В России ситуация несколько иная. Из-за того, что у нас электронные платежные системы пока не столь распространены, как на Западе, ущерб от фишинга не столь велик. Но с распространением в России электронных платежных систем доля фишинга в общем почтовом потоке возрастет, и, соответственно, возрастет и ущерб от него. Так что, хотя данная проблема в России не стоит еще столь остро, готовиться к ней надо уже сейчас.
Успеху фишинг-афер способствует низкий уровень осведомленности пользователей о правилах работы компаний, от имени которых действуют преступники. И хотя на многих сайтах, требующих конфиденциальной информации, опубликованы специальные предупреждения о том, что они никогда не просят сообщать свои конфиденциальные данные в письмах, пользователи продолжают слать свои пароли мошенникам. Поэтому несколько лет назад была создана Anti-PhishingWorkingGroup (APWG) — группа по борьбе с фишингом, в которую входят как компании-«мишени» фишеров, так и компании, разрабатывающие анти-фишинговый/анти-спамерский софт. В рамках деятельности APWG проводятся ознакомительные мероприятия для пользователей, также члены APWG информируют друг друга о новых фишерских сайтах и угрозах. Сейчас APWG насчитывает более 2500 участников, среди которых есть крупнейшие мировые банки и ведущие IT-компании. Так что, по оптимистическим прогнозам, через некоторое время пользователи научатся остерегаться фишерских сайтов, как в свое время научились с опаской относиться к письмам с вложениями от неизвестных адресатов. Пока же основной защитой от фишинга остаются спам-фильтры [20].