DeviceLock® Data Breach Intelligence. Разведка уязвимостей хранения данных

Высокотехнологичные компании в последние годы активно переводят свои базы данных во внешние системы хранения, в частности, для организации интерактивных информационных систем. Однако, владельцы таких облачных хранилищ часто попросту забывают корректно выставить разрешения, оставляя публичный доступ к данным - администраторы и инженеры далеко не всегда учитывают все правила информационной безопасности при работе с облачными серверами и хранилищами данных. Получив доступ к учетным записям, данным о банковских картах и счетах, другим хранимым данным, злоумышленники могут похитить деньги граждан, промышленные секреты и тайны предприятий. В рубрике "День эксперта" - Сергей Вахонин, директор по решениям DeviceLock, Inc. (“Смарт Лайн Инк”).

Не удивительно, что в последнее время очень заметен поток новостей про обнаружение в открытом доступе различной конфиденциальной информации. В подавляющем большинстве случаев это инциденты, связанные с неправильно сконфигурированными облачными серверами Amazon S3 (AWS), MongoDB, ElasticSearch, когда некорректная конфигурация серверов приводит к возникновению уязвимости хранения данных.

Особо привлекательной является информация, которая хорошо монетизируется. Чаще всего фиксируются утечки данных из медицинских учреждений, организаций сферы транспорта, промышленности, банков и финансовых учреждений, крупных интернет-магазинов, ресторанов. От утечки данных также могут пострадать компании сегмента высоких технологий, потеряв уникальные разработки и другую интеллектуальную собственность.

Существуют преступные группы, намеренно исследующие облачные ресурсы на предмет уязвимостей с помощью специальных скриптов и специализированных поисковых серверов. Злоумышленники обнаруживают незащищенные базы данных, копируют данные для дальнейшего использования и монетизации, или удаляют их из найденного хранилища, предъявляя затем требование о выкупе.

По информации из открытых источников и прессы, в 2018 г. в мире было зафиксировано более 70 крупных утечек конфиденциальных данных через облачные серверы и другие незащищенные хранилища информации с доступом через интернет. Это в полтора раза больше, чем в 2017 году.

Уже за первые 4 месяца 2019 года силами аналитиков DeviceLock в рамках этической разведки уязвимостей данных в РФ с помощью автоматизированной системы DeviceLock Data Breach Intelligence было обнаружено 55 незащищенных баз данных MongoDB, Elasticsearch и хранилищ Amazon AWS, которые в любой момент могли быть атакованы злоумышленниками. Во всех случаях владельцы данных были незамедлительно уведомлены о выявленной проблеме.

Утечка с незащищенного сервера — яркий пример того, как долгую работу целой корпорации может перечеркнуть одна ошибка. Чтобы избежать утечек корпоративных данных из незащищенных информационных систем, компании должны не только повышать уровень квалификации системных администраторов и пользователей, но также проводить регулярную ревизию своих информационных активов. Чем раньше будет обнаружена уязвимость организации и реализации систем хранения данных в облаках и других хранилищах данных, доступных извне, тем ниже риск обнаружения данных злоумышленниками и последующей утечки.

DeviceLock Data Breach Intelligence

Обнаружение незащищенных хранилищ: примеры работы DeviceLock Data Breach Intelligence

  • Апрель 2019: обнаружена уязвимость API-механизма внутренней системы Бинбанка с заявками на выпуск карт Elixir. Эта же уязвимость была обнаружена злоумышленниками, которые получили доступ к более чем 90 000 анкет с персональными данными.
  • Май 2019: обнаружен принадлежащий компании FESCO незащищенный сервер Elasticsearch с индексами (логами) специализированного ПО CyberLines, общим размером более 52 Гб. В логах системы содержались сотни тысяч записей с адресами электронной почты, номерами телефонов, паспортными данными, и более 1200 записей с парами логин/пароль в текстовом виде для личных кабинетов на портале my.fesco.com, откуда можно было выгрузить сканы таможенных деклараций, счетов-фактур и актов с печатями.
  • Июнь 2019: обнаружен принадлежащий компании Inventive Retail Group, управляющей сетями restore, Samsung, Sony Centre, Nike, Street Beat и др., сервер Elasticsearch с индексами общим размером более 28 Гб. В логах системы содержались миллионы адресов и телефонов покупателей магазинов, а также десятки тысяч учетных записей от личных кабинетов и другая информация. Данный сервер к моменту обнаружения уже был поражен одним из зловредов-вымогателей.

Другие примеры обнаружения незащищенных хранилищ данных можно прочитать в телеграм-канале «Утечки информации» (@dataleak).

Разведка уязвимостей хранения данных как инструмент превентивного решения проблемы

Специализированное сервисное подразделение DeviceLock предоставляет услугу DeviceLock Data Breach Intelligence, или Разведки уязвимостей хранения данных, а также мониторинга мошеннических ресурсов в DarkNet в целях обнаружения активностей, имеющих отношение к Заказчику. Такая работа выполняется на регулярной основе по модели подписки, при этом используется автоматизированная система собственной разработки с элементами искусственного интеллекта, а также ручной анализ данных силами аналитиков.

Сервис DeviceLock Data Breach Intelligence включает в себя следующие услуги:

  • Разведка уязвимостей хранения данных - анализ внешней серверной инфраструктуры Заказчика с выявлением недостатков реализации хранения, в целях обнаружения незащищенных чувствительных данных организации. В частности, проводится выявление и анализ серверов с текущими или архивными данными, журналами ИС и анализ обнаруженных данных на наличие в них чувствительной информации Заказчика (персональные данные, информация с признаками коммерческой тайны, др.).
  • Мониторинг предложений о продаже чувствительных данных Заказчика на различных закрытых площадках, группах Telegram и других мошеннических ресурсах в DarkNet.

По итогам выполнения работ предоставляется детализированный отчёт с указанием выявленных уязвимостей и фактов компрометации данных, а также рекомендации по их устранению. Также возможно оперативное уведомление непосредственно в момент обнаружения любым удобным для Заказчика способом (по электронной почте, через любой мессенджер).

Источник: Журнал "Information Security/ Информационная безопасность" #3, 2019

Сюжеты: Защита информации и связи День эксперта