Эксперты по информационной безопасности неоднократно повторяют о важности оперативного реагирования на кибератаку и таким образом значительного снижения ее последствий. Прямое тому подтверждение – взлом Национального казначейства Бразилии, при котором, согласно официальному заявлению внутренних аналитиков, оперативными мерами сдерживания распространения атаки удалось спасти от отключения одну из ключевых для страны систем Бразильской фондовой биржи.
В этой связи хотелось бы поговорить о еще одном эффективном подходе сдерживания вымогательских атак, шквал которых продолжает усиливаться. И упомянуть о взломе активов компании Accenture группировкой LockBit, когда злоумышленники похитили 6 Тб данных, по их утверждению, и потребовали 50 миллионов долларов США выкупа. В качестве доказательства хакерами были опубликованы 2384 файла данных, в основном маркетинговые документы и кейс-стадис.
Команда Accenture восстановила пострадавшие ресурсы из бэкапов и утверждает, что опасности для клиентов нет.
«Этот случай привлек наше внимание как экспертов по информационной безопасности. Во-первых, компания Accenture – это консалтинговая компания в сфере ИТ и ИБ, и ее инфраструктура вполне очевидно достаточно хорошо защищена. Но это не помешало киберинциденту случится. Впрочем, согласно сообщениям аналитиков Accenture и взломавших их хакеров, взлом был успешен благодаря инсайдеру. Выявить его экспертам удалось благодаря замеченной аномальной активности на пострадавшем сервере», – отмечает менеджер по развитию бизнеса группы компаний Angara Анна Михайлова.
Использование в атаках инсайдеров больше ассоциируется с утечками данных, хотя данный канал задействован и в более губительных кибератаках, в частности, для занесения разного рода вредоносного ПО в инфраструктуру. Например, эпизод с подготовкой кибератаки на Tesla, где потенциальному инсайдеру был предложен 1 миллион долларов США за внос в системы вредоносного ПО. И даже легендарный Stuxnet на территорию пронес внутренний сотрудник.
Гигантские суммы возможных выкупов, иллюзорная легкость и безнаказанность проведения вредоносных действий и значительного легкого заработка могут сподвигнуть больше сотрудников к переходу на темную сторону. К слову сказать, группировка LockBit сразу выдала личность инсайдера экспертам Accenture, и вряд ли ему удастся выйти сухим из воды.
Однако вопрос защиты данных от внутренних злоумышленников становится год от года все более актуальным, в то время как хранение данных – неструктурированным и разобщенным. В данном контексте работает модель Data-Centric Security и внедрение решения класса Data-Centric Audit and Protection (DCAP).
Суть подхода Data-Centric Security Model заключается именно в защите разобщенных данных, их обнаружении и категоризации, построении поведенческих моделей использования и отслеживании аномальных операций со структурированными, неструктурированными и полуструктурированными данными. В базовый функционал DCAP-решений входят:
-
обнаружение и классификация данных (лингвистический анализ),
-
мониторинг прав доступа (включая высоко привилегированных пользователей),
-
отслеживание операций с данными,
-
обеспечение защиты данных, запрет нежелательных операций с ними (разрешения/запреты для разных пользователей и разных видов данных),
-
автоматическое уведомление о нарушениях и предотвращение инцидентов (шифрование, токенизация, маскирование данных),
-
детальная отчетность.
На российском рынке эксперты группы компаний Angara выделяют несколько решений класса DCAP:
-
Makves DCAP,
-
СерчИнформ FileAuditor,
-
Infowatch DAT.