Атаки и мошенничество в сфере идентификации в 2018 году

Утечки идентификационной информации затронули, по мнению экспертов, треть пользователей Интернета. Каковы причины этих инцидентов? Как минимизировать риски компрометации или проведения атаки на системы идентификации? На эти и другие вопросы ответил Алексей Лукацкий, бизнес-консультант по безопасности компании Сisco.

В: Известны ли вам случаи компрометации идентификационной информации пользователей каких-либо ресурсов, произошедшие в 2018 г. в России, в мире?

О: Компрометация идентификационной информации – это одно из самых популярных преступлений в сфере высоких технологий. Только в 2018 г. было зафиксировано 1138 случаев утечки идентификационных данных. А одной из самых крупных утечек за этот период стал инцидент с компанией Starwood Hotels & Resorts Worldwide (группа компаний Marriott International), у которой "утекли" идентификационные данные полумиллиарда постояльцев. По сути, речь идет о 1/8 всех пользователей Интернета в мире. На этом фоне утечка 50 млн учетных записей пользователей Facebook (хотя сколько утекло данных на самом деле, официально неизвестно) выглядит просто смешно. Всего же в 2018 г. утекло 562 млн идентификационных записей, и причина этого кроется в несоблюдении простых мер безопасности – разграничение доступа и сегментация сети, оперативное устранение уязвимостей, реализация принципа минимума привилегий и контроль привилегированных пользователей. В целом с 1 января 2005 г. в мире было зафиксировано 9668 инцидентов с утечкой идентификационных параметров 1,642 млрд человек, что составляет больше трети всего Интернета.

В: В чем основные причины возникновения инцидентов в вопросах управления идентификацией?

О: Из года в год растет число утечек идентификационных данных по причине хакерских атак. В 2017 г. 59% всех утечек было связано именно с действиями внешних нарушителей. На действия внутренних нарушителей приходилось всего 5% утечек. 10% инцидентов было связано с ошибками пользователей. Еще 7,5% утечек произошло по вине третьих лиц.

Самой популярной причиной утечек (21%) стал банальный фишинг, который является причиной чуть ли не 95% всех атак. Стоит получить письмо с вредоносным вложением или ссылкой на вредоносный сайт и, при отсутствии здорового скепсиса в работе с электронной почтой и технических мер контроля, мы сталкиваемся с утечкой данных. Но так бывает не всегда. Например, в случае с кредитным бюро Equifax, детали взлома которого стали известны в августе 2018 г., причиной утечки стала банальная уязвимость, найденная хакерами на внешнем портале компании и не устраненная вовремя. Через нее преступники проникли во внутренние базы данных и похитили идентификационные данные 145 млн человек. А в инциденте с British Airways в сентябре 2018 г. злоумышленники атаковали не саму компанию, а сайт подрядчика, подменив JavaScript, который подгружался на сайт авиакомпании и затем крал идентификационные данные клиентов, включая и номера кредитных карт. По схожему сценарию была взломана и компания Ticketmaster.

Alexey Lukatskiy

В: Какие способы минимизации риска компрометации или проведения атаки на системы идентификации вы можете назвать?

О: Достаточно соблюдать простые правила – разграничение доступа и сегментация сети, оперативное устранение уязвимостей, реализация принципа минимума привилегий и контроль привилегированных пользователей, повышение осведомленности персонала в области ИБ, постоянный мониторинг изменений в системе и отсутствие доверия к кому/чему бы-то ни было.

В: Какие из известных вам и применяемых в настоящее время мер защиты неэффективные или неоправданно дорогие/избыточные и почему?

О: Как это ни парадоксально, но самым неэффективным способом борьбы с утечками данных будут… средства борьбы с утечками данных, в простонародье называемые DLP. Именно они призваны защищать от утечек информации и именно они этого не делают, так как неспособны контролировать те каналы, по которым утекает информация. Например, в случае с Equifax данные утекали через зашифрованный канал. В случае с British Airways данные утекали с сайта, а DLP никто не ставит перед своими интернет-витринами.

В 2017 г. в 4,6% случаев данные выносились или терялись на материальных носителях, и DLP тут вновь бессильны. Наверное, поэтому многие производители DLP-решений сегодня позиционируют их не как продукты для борьбы с утечками, а как инструмент слежения за работниками -- выявления людей с нетрадиционной ориентацией, обнаружения сговоров, контроль нелояльных сотрудников, поиск неформальных лидеров и т.д. Не умея бороться с реальными утечками, число которых только растет, они начинают применять свои продукты для совершенно иных задач. Это не хорошо и не плохо – это реальность, которую надо просто признать и отталкиваться от нее.

В: Опишите известный вам и наиболее запомнившийся синергетический эффект от внедрения IdM-решения в организации в 2018 г. Почему именно он вам запомнился?

О: У нас был проект, в котором стояла задача обеспечить сегментацию сети и разграничение доступа внутри организации на сетевом уровне. Выбранное решение справлялось с этой задачей, но обладало и рядом дополнительных преимуществ, среди которых можно назвать динамическую и программно-определяемую сегментацию, интегрированную с Active Directory, и транслирующие политики безопасности на каждое сетевое устройство (коммутатор, точку доступа, маршрутизатор и т.д.). Это позволило сотрудникам компании быть мобильными и динамично менять свое местоположение, получая доступ к запрашиваемым ресурсам. При этом существенно снизилась нагрузка на ИТ-службу в части формирования правил контроля доступа (ACL) и поддержания их в актуальном состоянии, а служба ИБ смогла реализовать принцип "минимум привилегий" еще и на сетевом уровне. Когда летом компания столкнулась с появлением внутри сети (в обход всех периметровых средств защиты) зараженного WannaCry домашнего ноутбука генерального директора, внутренняя инфраструктура совершенно не пострадала, так как используемое решение локализовало проблему на уровне беспроводной точки доступа, к которой подключился зараженный ноутбук, и не дало вредоносной программе выйти за пределы этой точки.

* Присоединяйтесь к началу подготовки смотра технологий и конференций ТБ Форума 2020.

Сюжеты: День эксперта