Одна из наиболее опасных и сложно поддающихся обнаружению угроз для бизнеса — преднамеренная утечка данных. Такие утечки случаются по вине недобросовестных сотрудников, которые разрушают компанию изнутри, «сливая» информацию конкурентам или в веб. Жертвами такой утечки могут стать как сама организация, так и ее клиенты. При этом обнаружить утечку на ранних этапах можно, если знать, где и что искать.
Одна из самых громких утечек прошлого года в России произошла в крупной российской интернет-компании. Ее обнаружила внутренняя служба безопасности: выяснилось, что один из администраторов предоставляемого компанией сервиса предоставлял несанкционированный доступ к аккаунтам пользователей. Тогда было скомпрометировано почти 5 тысяч аккаунтов, их владельцам были разосланы уведомления о необходимости смены пароля. Об этом сообщила сама компания и приняла меры по усилению безопасности.
Но еще чаще из организаций «утекают» данные сотрудников, и об этом никто не узнает. По данным «Лаборатории Касперского», каждая четвертая организация в России сталкивалась с утечкой данных о сотрудниках в результате киберинцидентов. При этом лишь каждая пятая из этих компаний рассказала о случившемся до того, как о нем узнали СМИ, а 74% вообще это не комментировало.
Крупные утечки данных, информация о которых достается журналистам, — лишь верхушка айсберга, подчеркивают эксперты. Гораздо чаще информация утекает постепенно и незаметно — прямиком к заказчикам из дарквеба. Так называемый дарквеб — это «скрытая часть» интернета — закрытые площадки, магазины, форумы, где продаются данные и ведется незаконный оборот запрещенных товаров. На таких площадках, например, люди ищут исполнителей для целевой кибератаки на конкурентов или предлагают вознаграждение за добычу определенных данных.
Так, сотрудник одной из российских страховых компаний в течение долгого времени продавал данные клиентов в дарквебе, пока информация об этой активности не была обнаружена сотрудниками «Лаборатории Касперского» и передана в службу безопасности компании. По словам менеджера по развитию направления Threat Intelligence «Лаборатории Касперского» Александра Мазикина, пресекать утечки данных «вручную» на сегодняшний день достаточно сложно, поэтому компании все чаще обращаются к техническим средствам защиты.
«Один из сервисов, который мы оказываем в рамках нашего портфеля Threat Intelligence, называется Digital Footprint Intelligence. В рамках этого сервиса оказывается довольно большой спектр услуг. Одна из них — мониторинг дарквеба», — рассказал эксперт.
Именно это решение помогло сотрудникам «Лаборатории Касперского» обнаружить на «скрытых» ресурсах предложение о продаже данных страховой компании.
«Благодаря совместной работе со службой безопасности клиента и позднее с правоохранительными органами мы смогли получить информацию о том, какой именно сотрудник продает эти данные. Доступ на закрытые площадки мы получили в полуавтоматическом режиме, затем собрали информацию в нашу единую систему и отправили эти данные нашему заказчику», — поделился Александр Мазикин.
Представители бизнеса зачастую осведомлены о возможности тех или иных утечек и заинтересованы в их расследовании — в этом случае решение Kaspersky Digital Footprint Intelligence позволяет найти нужную информацию в дарквебе. Сервис покрывает множество «подпольных» ресурсов. При этом данные сканируются в автоматическом и полуавтоматическом режиме, а вся полученная информация попадает в единую базу данных. Уже в ней конкретная компания может искать релевантные данные и таким образом находить утечки, объявления о продаже информации, выявлять инсайдеров.
В следующем материале мы расскажем, как информационная разведка позволяет на ранних этапах выявлять проникновения злоумышленников внутрь информационного периметра предприятий и минимизировать последствия кибератак.