Утекай, если не под замком: разнообразие каналов утечки информации

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.877
Репутация
11.595
Реакции
61.773
RUB
50
Каналы утечки информации (КУИ) представляют собой скрытые пути, по которым конфиденциальные данные могут покинуть организацию, не привлекая внимания.


Это может быть внутренний нарушитель, Wi-Fi-роутер или непроверенная флешка главного бухгалтера.

Но каким бы ни был канал утечки, главное одно — бесконтрольное распространение чувствительной информации может привести к катастрофическим последствиям для бизнеса: ущербу репутации, финансовым потерям и даже к судебным искам. В статье рассказываем про основные каналы утечки информации и ихи классификацию.

ofqidhftrf3m9btog3t0cblas7cdsoec.jpg


Каналы утечки информации: классификация и виды

Единственной классификации каналов утечки информации, принятой на законодательном уровне, не существует. Поэтому расскажем о наиболее распространенных вариантах классификации и каналах утечки информации.

Прямые и косвенные каналы​

Самая общая классификация — это разделение каналов на прямые и косвенные. Утечка по прямым каналам подразумевает, что у злоумышленника или виновника есть доступ к аппаратному оборудованию. Например, копирование документов или утечка по причине несоблюдения сотрудником правил ИБ. Фактически этот канал с легкостью можно было бы назвать человеческим.

Есть огромное количество кейсов, когда критические данные фотографировали на телефон, переписывали от руки или даже запоминали. С этим классические DLP-решения справиться не смогут. Здесь нужна работа именно с пользователями — выявление аномалий в их поведении еще до того, как утечка уже произошла.

Основные производители решений для предотвращения утечек данных сейчас нацелены на выявление аномалий в работе пользователей. Если раньше всех интересовало, с какими каналами передачи данных работают те или иные решения, то сейчас идет соревнование решений на базе ИИ, который сам выявляет коммерческую тайну в письмах или веб-трафике, а заодно анализирует действия пользователей и выявляет любую подозрительную активность. Это особенно актуально, учитывая, что огромная доля утечек происходит без злого умысла, просто по невнимательности пользователей.

Многие эксперты сходятся во мнении, что прямые каналы утечки информации не только самые распространенные, но и наиболее трудно выявляемые.

Основной и самой трудно контролируемой причиной утечки конфиденциальной информации по-прежнему остается человеческий фактор. Зачастую несмотря на внедрение большого количества СЗИ для противодействия внешним угрозам, компании упускают из виду самого пользователя, его полномочия и влияние на ИБ. Для минимизации этих рисков необходимо выстраивать многоступенчатую систему контроля над тем, кто, когда, для чего и к какой информации имеет доступ и какие действия в ИТ-инфраструктуре совершает.

Раньше пользователи просто беспрепятственно копировали и отсылали данные, но сейчас способы реализации утечек становятся гораздо изощреннее. Основной предпосылкой для этого является сложность ИТ-инфраструктуры: в многообразии АРМов, серверов, баз данных, операционных систем, общесистемного и прикладного ПО, средств защиты и т. п., неминуемо появляются малозаметные бреши, теневые пользователи, запасные входы и т. д.

Иногда эти бреши создаются целенаправленно, но чаще всего они образуются из-за недосмотра или ошибок в настройке ресурсов. В ходе эксплуатации информационных систем пользователями и администраторами ежедневно осуществляются сотни изменений в настройках, отсутствие контроля за которыми может стать причиной кибератак и утечек критически важных данных.

Косвенными каналами утечки информации считаются цепочки, которые не запрашивают доступ к специальной аппаратуре информационной системы. Например, кража информационного накопителя, прослушивание, перехват электромагнитных устройств. То есть злоумышленники получают доступ к закрытой информации, но косвенно. Зачастую источником информации становятся партнеры компаний и организаций.

По нашим наблюдениям, нередко утечки данных происходят из-за недостаточного ограничения действий подрядчиков, имеющих доступ в инфраструктуру, в которой хранятся данные. Или, например, из-за недостаточного маскирования данных, передаваемых подрядным организациям.

Разделение каналов на прямые и косвенные носит общий характер. Чтобы точнее понять, как утекает информация, нужно вводить дополнительные критерии.

Физические КУИ

Физические каналы утечки информации — это способы, которыми конфиденциальная информация может быть получена или распространена без использования электронных или цифровых средств.

Украденные или утерянные устройства. Ноутбуки, смартфоны и другие мобильные устройства часто содержат конфиденциальные данные, такие как файлы, электронная почта и пароли. Если эти устройства украдены или утеряны, информация может попасть в чужие руки. Пример: Сотрудник теряет свой ноутбук, на котором хранятся конфиденциальные финансовые данные компании.

Бумажные документы. Контракты, отчеты, сметы и заметки, по-прежнему печатаются на бумаге во многих организациях. Эти документы могут быть украдены, скопированы или сфотографированы неавторизованными лицами. Пример: Контракт с конфиденциальными условиями был оставлен на столе без присмотра и скопирован сотрудником-конкурентом.

Несанкционированный доступ к хранилищам. Архивные хранилища, серверные комнаты и другие физические помещения могут содержать конфиденциальные данные. Несанкционированный доступ к этим помещениям может позволить злоумышленникам получить доступ к информации или украсть ее. Пример: Подрядчик, работающий в серверной комнате, использует доступ для копирования конфиденциальных данных с серверов компании.

Устройства наблюдения. Устройства наблюдения, такие как камеры и микрофоны, могут использоваться для перехвата конфиденциальных разговоров или получения изображений конфиденциальных документов. Пример: Злоумышленник устанавливает скрытую камеру в конференц-зале, чтобы записывать конфиденциальные переговоры.

Некоторые из физических каналов утечки на первый взгляд кажутся устаревшими. Поэтому появляется соблазн не принимать их во внимание.

Какими бы устаревшими ни казались некоторые каналы утечки, всегда найдется ситуация, при которой они смогут быть использованы злоумышленниками, поэтому их нельзя «сбрасывать со счетов» и нужно в обязательном порядке закрывать современными средствами защиты. К примеру, даже с учетом широкого применения электронного документооборота у сотрудников есть возможность распечатать конфиденциальную информацию, поэтому отказ от системы контроля печати будет преждевременным.

Это в корне неверная позиция. Нельзя недооценивать соперника — среди злоумышленников много нестандартно мыслящих людей, которые для достижения цели будут использовать даже забытые варианты. Например, в 2013 году из штаб-квартиры АНБ были украдены секретные документы подрядчиком Эдвардом Сноуденом. В 2015 году хакеры украли 198 миллионов учетных записей клиентов у Anthem, Inc., крупнейшей американской компании по страхованию здоровья. Утечка произошла через украденные серверы. В 2017 году из штаб-квартиры PwC были украдены файлы с конфиденциальной информацией о клиентах. Утечка произошла через сотрудника, который украл документы.

Высказывать подобные утверждения весьма рискованно, поскольку указание на то, что какой-то инструмент устарел или не используется, может привести к возрождению интереса со стороны злоумышленников. Это сравнимо с ситуацией, когда современная стелс-технология может быть обнаружена старым радаром. Отчасти поэтому заказчики по-прежнему, просят защитить ICQ и CD-диск. Хотя существует статистика, по которой большинство утечек происходит через почту из-за того, что она широко используется и отлично зарекомендовала себя как надежный способ передачи информации, мы не можем себе позволить перестать контролировать любые аспекты безопасности.

Физические каналы утечки информации по-прежнему широко используются несмотря на рост цифровых угроз. По данным , почти половина (48%) всех утечек данных связана с физическими каналами.

Технические каналы утечки информации и их классификация

Технические каналы утечки информации (ТКУИ) возникают при обработке и передаче данных в технической среде и по каналам связи, при несанкционированном доступе к ним с помощью устройств, программного обеспечения либо аппаратно-программных комплексов для скрытого получения информации. Это самая большая группа каналов для утечки баз данных или иной чувствительной информации. Хотя многие ИБ-специалисты забывают про ТКУИ, считая, что их используют только спецслужбы в погоне за государственными тайнами.

В последние годы многие стали забывать про технические каналы утечки. Не будем говорить о ПЭМИН, акустоэлектронике, «жучках» — это целенаправленные мероприятия, их в модель угроз вносят либо в связи с требованиями нормативных документов, либо при наличии реальных конкурентов, которые могут применять методы промышленного шпионажа, в том числе из арсенала технических разведок. Но не стоит забывать просто о безопасности переговоров, проводить их в местах, где хотя бы исключено случайное прослушивание, предупреждать участников, что темы конфиденциальные и огласке не подлежат. И на стыке ИТ и речи — безопасность переговоров через конференц-связь, здесь не только «традиционные» каналы — перехват речи (акустика) и информации с каналов связи, но и возможность подключения к самой системе.

ТКУИ делятся на несколько видов:
  1. Акустические — в акустическом канале переносчиком информации выступают звуковые волны. Пример: прослушивающие устройства, запись, подслушивание, сигналы, которые появляются в результате преобразования звуковых волн при их воздействии на элементы строительных конструкций или инженерных систем.
  2. Оптические — производится перехват видовой информации с помощью оптических приборов. Пример: фото- и видеосъемка, визуальное наблюдение.
  3. Радиоэлектронные — средой переноса сигналов бывает электрический ток или электромагнитные поля с частотами в радиодиапазоне. Пример: устройства передачи радиочастотных сигналов, установленные в функциональных каналах связи, побочные электромагнитные излучения и наводки (ПЭМИН), аппараты, испускающие тепловые электромагнитные волны, объекты, способные отражать радиосигналы.
Технические каналы перехвата информации используются часто, поскольку они могут обеспечить злоумышленникам несанкционированный доступ к конфиденциальной информации.

Информационные КУИ

Информационные каналы утечек связаны с доступом злоумышленников к самой информации и ее носителям, программному обеспечению, элементам IT-инфраструктуры, линиям связи. Информационные каналы разнообразны и способны пропустить через себя значительные объемы данных. Традиционными каналами считаются утечки через электронную почту, рабочие мессенджеры, мобильные устройства сотрудников.

Помимо традиционных каналов утечки информации, таких как электронная почта, USB-накопители и облачные сервисы, существуют и нестандартные:

  • Социальные сети и мессенджеры. Личные сообщения и публикации сотрудников могут содержать конфиденциальную информацию.
  • Устройства Интернета вещей (IoT). Умные устройства, подключенные к корпоративной сети, могут иметь уязвимости и использоваться для передачи конфиденциальной информации.
  • Виртуальные ассистенты (например, Алиса). Такие устройства могут записывать конфиденциальные разговоры.
  • Публичные Wi-Fi сети. Сотрудники, подключающиеся к публичным сетям с корпоративных устройств, подвергают данные риску перехвата.
  • Общедоступные зарядные станции. При подключении к таким станциям устройства могут стать уязвимыми для атак типа «juice jacking», когда данные копируются через USB-порт.
  • Социальная инженерия и фишинг через нетипичные каналы. Например, атаки через личные SMS-сообщения или звонки на мобильные телефоны сотрудников.

Информационные КУИ часто трудно обнаружить, поскольку утечки могут происходить постепенно и не оставлять очевидных следов. Полностью предотвратить утечки по информационным каналам бывает сложно, поскольку они часто связаны с человеческим фактором. При этом злоумышленники не сидят на месте — постоянно разрабатывают новые методы и технологии для использования информационных каналов утечки.

Информационные КУИ включают каналы утечек через устройства Интернета вещей (IoT), которые могут быть уязвимыми для атак, а также через социальные сети, где сотрудники могут неосознанно раскрывать конфиденциальную информацию. Один из громких скандалов, который мы всегда приводим как пример социальной инженерии своим сотрудникам, который может недооцениваться. В октябре 2015 года хакеры из группировки Crackas With Attitude взломали личный почтовый аккаунт директора ЦРУ Джона Бреннана через социальную инженерию. В результате взлома была обнаружена личная информация высокопоставленных сотрудников американской разведки, включая номера социального страхования (SSN). Также было найдено 47-страничное заявление на доступ к абсолютно секретной информации, принадлежащей Бреннану.

Стоит отметить, что через информационные каналы происходят наиболее массовые и масштабные утечки. Например, в 2014 году произошла утечка данных компании Sony Pictures Entertainment, в результате которой были украдены конфиденциальные электронные письма, сценарии фильмов и другая чувствительная информация. Утечка была вызвана атакой на серверы компании. В 2017 году из-за уязвимости в программном обеспечении веб-сайта пострадала компания Equifax. У нее были украдены личные данные 147 миллионов американцев. В 2021 году произошла утечка данных компании SolarWinds, в результате которой были взломаны серверы нескольких федеральных агентств США. Утечка была вызвана уязвимостью в программном обеспечении компании SolarWinds.

Подводим итог

Не так важно правильно классифицировать каналы утечки данных, как предотвратить бесконтрольное их распространение. Важно выявить все возможные пути, по которым данные могут попасть в третьи руки, и принять эффективные меры к предотвращению таких инцидентов. При этом не стоит забывать, что периодически появляются новые каналы утечек.

Как показывает практика, новые каналы утечки появляются на постоянной основе, так как организации регулярно обновляют, заменяют и добавляют новые приложения и службы для своих сотрудников. В результате защита от утечек с помощью систем DLP превращается буквально в гонку вооружений, в которой защищающаяся сторона всегда в проигрывающем положении: на рынке не существует какого-то единого универсального решения, которое бы закрывало все используемые приложения каждой компании, да и добавление поддержки новых версий приложений всегда занимает какое-то время у разработчиков. Поэтому без сдвига в парадигме защиты данных становится всё сложнее противостоять утечкам информации.

И если появляются новые или нетипичные каналы утечки информации, то нужно внедрять нестандартные методы защиты.

Что касается последних тенденций и передовых практик в области предотвращения утечки данных, то сейчас активно используются технологии искусственного интеллекта и машинного обучения для выявления аномалий и предсказания потенциальных угроз. Архитектура Zero Trust, которая предполагает проверку всех пользователей и устройств без доверия по умолчанию, также становится все более популярной. Шифрование данных, как в движении, так и в покое, становится обязательным стандартом. Важным элементом информационной безопасности является постоянный мониторинг и анализ сетевой активности для быстрого реагирования на инциденты. Обучение сотрудников и повышение их осведомленности по вопросам кибербезопасности играют ключевую роль в предотвращении утечек данных. Многофакторная аутентификация (MFA) также широко используется для усиления защиты учетных записей.

Понимая особенности каналов утечек информации и принимая соответствующие меры по предотвращению, организации могут защитить свои конфиденциальные данные и снизить риск утечек.


 
  • Теги
    доступ к аппаратному оборудованию каналы утечки информации утечки информации
  • Сверху Снизу