Виявлення та захист від внутрішніх атак
Що таке внутрішні атаки?
Внутрішні атаки виникають, коли співробітники, підрядники чи партнери зловживають своїм доступом для завдання шкоди організації. На відміну від зовнішніх хакерів, такі особи вже мають легітимні облікові дані та знання систем, що робить їхні дії складнішими для виявлення і потенційно більш руйнівними.
Ключові характеристики внутрішніх атак:
- Легітимний доступ — атака відбувається не шляхом злому, а через зловживання довіреними правами.
- Складність виявлення — дії часто виглядають як звичайна робота.
- Високий ризик — атакують чутливі дані, що може призвести до фінансових та репутаційних втрат.
Чому внутрішні атаки такі небезпечні?
Вони відрізняються від звичних кібератак тим, що виходять із середини організації. Зловмисник вже має довіру та доступ до критично важливих систем.
Основні фактори небезпеки:
- Довірений доступ. Інсайдер може обходити периметрові захисні системи, адже вже має дійсні облікові дані. Приклад: у 2020 році колишній співробітник Cisco, використовуючи активні облікові дані, видалив 456 віртуальних машин у хмарному середовищі компанії.
- Складність виявлення. Дії часто схожі на рутинні завдання (копіювання файлів, запити в БД), тому системи моніторингу не завжди сигналізують про загрозу. Приклад: Едвард Сноуден протягом місяців копіював документи NSA під виглядом звичайної роботи.
- Висока вартість інцидентів. Інсайдери зазвичай цілеспрямовано атакують критичні дані: фінансові записи, вихідний код, клієнтські бази. Приклад: у 2019 році через інсайдера у Capital One було викрадено дані понад 100 млн клієнтів, що призвело до сотень мільйонів доларів штрафів.
- Зростання ризиків. Віддалена робота та залучення підрядників розширюють коло осіб із доступом. Приклад: у Target (2013) зловмисники отримали доступ через облікові дані HVAC-підрядника.
Поширені типи внутрішніх загроз
Внутрішні загрози можуть мати різні форми, і далеко не завжди вони пов’язані зі свідомими діями. Частина співробітників чи партнерів цілеспрямовано шкодить компанії, інші ж — створюють ризики через необачність або компрометацію їхніх облікових записів. Розуміння цих відмінностей допомагає будувати правильну стратегію захисту.
Інсайдери зловмисники
Інсайдерами зловмисниками називають тих, хто навмисно використовує свої повноваження для завдання шкоди організації. Це можуть бути співробітники, підрядники чи партнери, які з різних причин — помста за звільнення, фінансова вигода, промислове шпигунство або бажання допомогти конкурентам — вирішують атакувати компанію. Небезпека полягає в тому, що вони чудово знають внутрішні процеси, знайомі з вразливостями й мають легальний доступ до систем. Тому їхні дії майже завжди цілеспрямовані та націлені на максимально болісні удари: викрадення інтелектуальної власності, продаж комерційних таємниць, видалення або модифікація важливих даних.
Класичним прикладом є ситуація, коли співробітник фармацевтичної компанії перед звільненням злив конкурентам дослідження нової формули препарату. Він мав повний доступ до R&D-систем, тому передача даних не викликала жодних технічних підозр.
Недбалі інсайдери
Недбалі інсайдери — це не зловмисники, а радше слабка ланка в системі безпеки. Їхня необізнаність або неуважність часто стає причиною інцидентів, і статистика свідчить, що саме вони становлять більшість випадків (понад 60%). Проблема полягає в тому, що такі співробітники можуть відкрити доступ зовнішнім хакерам, самі того не усвідомлюючи. Вони клікають на фішингові посилання, завантажують шкідливі вкладення, повторно використовують слабкі паролі або передають робочі файли на особисті поштові скриньки. Ці дії не виглядають злочинними, але створюють серйозні діри в захисті.
Показовим прикладом є випадок 2017 року, коли одна з найбільших судноплавних компаній постраждала від атаки NotPetya: співробітник відкрив заражене вкладення у листі, і вірус миттєво поширився мережею, зупинивши операційну діяльність на тижні та завдавши компанії сотні мільйонів збитків.
Скомпрометовані інсайдери
Окрему категорію становлять скомпрометовані інсайдери. У таких випадках сам співробітник не планує завдати шкоди, проте його обліковий запис або пристрій потрапляє під контроль зловмисників. Для системи це все ще виглядає як авторизована діяльність легального користувача, тому атаки виявити надзвичайно важко. Кібершахраї часто використовують фішинг для викрадення паролів, атаки credential stuffing, засновані на даних із даркнету, або ж встановлюють шкідливе ПЗ на пристрої працівників, щоб отримати віддалений доступ. Далі вони підвищують привілеї, переміщуються мережею й організовують масштабні кампанії з ransomware чи витоку даних.
Прикладом є численні атаки, коли зловмисники купували логіни працівників на підпільних форумах, входили у корпоративні VPN чи RDP, після чого встановлювали шкідливе ПЗ, залишаючись непоміченими в системі.
Про соціальну інженерію, її методи, загрозу, та способи захисту читайте в наших статтях:
Соціальна інженерія з точки зору бізнесу - персонал як вразлива ланка
Фішинг та Ентерпрайз: Як обрати технологічні рішення та надійного вендора
Фішинг та ентерпрайз: Як навчати співробітників протидії складним атакам.
Як захиститися від внутрішніх атак
Захист від внутрішніх загроз — це завжди поєднання технологій, політик і культури безпеки всередині організації. Тут не можна обмежитися лише одним інструментом: потрібно створювати багаторівневу систему, де кожен рівень компенсує слабкості іншого.
Першим фундаментальним кроком є принцип мінімальних привілеїв. Працівник повинен мати доступ лише до тих систем і ресурсів, які необхідні для виконання його посадових обов’язків. У разі, якщо людині випадково залишають надмірні права, виникає ризик зловживання або несанкціонованого доступу до чутливих даних. Існують численні приклади, коли через відсутність контролю за привілеями співробітники, що звільнялися, могли безперешкодно заходити до внутрішніх систем і переглядати конфіденційні матеріали. У сфері охорони здоров’я був випадок, коли працівник із широкими правами доступу після звільнення зміг переглянути записи пацієнтів. Якби компанія впровадила політику мінімальних привілеїв, витоку вдалося б уникнути.
Другим важливим елементом є багатофакторна автентифікація. Навіть якщо пароль співробітника потрапив до рук зловмисників, додатковий рівень перевірки — SMS-код, push-сповіщення чи біометрія — стане бар’єром для несанкціонованого входу. Це особливо актуально для облікових записів адміністраторів та віддалених доступів. У багатьох кампаніях з ransomware саме викрадений пароль був точкою входу. Компанії, які мали налаштовану багатофакторну автентифікацію, в більшості випадків змогли заблокувати ці спроби ще на старті.
Ще одним критичним елементом є системи запобігання витоку даних (DLP). Вони відстежують переміщення файлів за межі корпоративного середовища: через електронну пошту, хмарні сервіси чи USB-носії. Якщо хтось намагається надіслати клієнтську базу на особисту пошту або завантажити її у сторонній сервіс, система блокує дію або принаймні створює сповіщення. У фінансовій галузі був зафіксований випадок, коли співробітники регулярно пересилали конфіденційні звіти на приватні адреси. Правильно налаштована DLP-платформа змогла б виявити й заблокувати таку активність.
Не можна недооцінювати й фактор людської обізнаності. Часто інсайдерські інциденти стаються через недбалість, а не через злі наміри. Тому регулярне навчання співробітників щодо розпізнавання фішингових атак, соціальної інженерії та правил роботи з даними має ключове значення. Показовим є випадок 2017 року, коли одна з найбільших транспортних компаній зазнала величезних збитків через те, що працівник відкрив шкідливий файл у листі. Навчання могло б запобігти цьому кроку.
Особливої уваги потребує управління привілейованим доступом (PAM). Адміністратори та IT-фахівці мають «ключі від королівства», адже саме вони керують найчутливішими системами. Тому їхні дії мають бути під ретельним контролем: доступ видається тільки за потреби, усі сесії записуються, а права автоматично відкликаються після завершення завдання. У відомому інциденті 2020 року колишній співробітник Cisco, використавши привілейовані облікові дані, зміг знищити сотні віртуальних машин. Система PAM дозволила б компанії відразу заблокувати цей акаунт після звільнення.
Більше про PAM, коли впровадити та як правильно обрати вендора читайте в нашій статті: Коли компанії варто впровадити PAM: тригери впровадження, вибір рішення та особливості інтеграції.
Коли компанії варто впровадити PAM: тригери впровадження, вибір рішення та особливості інтеграції
Ще одним важливим механізмом є централізоване управління ідентичностями та доступами (Identity and Access Management - IAM). Воно дозволяє швидко надавати або відкликати права, інтегрувати HR-процеси з IT-безпекою та чітко контролювати, хто до чого має доступ. Саме відсутність належного IAM стала однією з причин легендарного витоку Target у 2013 році, коли зловмисники використали облікові дані підрядника для входу у внутрішню мережу.
Зрештою, навіть найсильніші системи можуть дати збій, тому необхідно мати чіткі плейбуки реагування на інциденти (Incident Response Plan). Це покрокові інструкції: кого повідомити, які акаунти відключити, як ізолювати загрозу та мінімізувати наслідки. У випадку Capital One у 2019 році, де інсайдер використав знання про хмарну інфраструктуру для викрадення даних понад 100 мільйонів клієнтів, швидке реагування могло б суттєво зменшити масштаби збитків.
Як забезпечити безперервне функціонування організації в умовах будь-яких можливих небезпек та інцидентів та створити план дій, спрямований на забезпечення швидкого відновлення систем після критичних подій читайте в нашій статті від експерта: BCP (Business Continuity Plan) та DRP (Disaster Recovery Plan) - Сучасні підходи до Кібербезпеки та Бізнес-Захисту
Таким чином, ефективний захист від внутрішніх атак будується не лише на технологіях, а й на поєднанні управлінських процесів, дисципліни доступу та культури безпеки. Це постійний процес, який вимагає регулярного перегляду та вдосконалення.
Реальні приклади внутрішніх атак
Edward Snowden (2013) — як інсайдер створив глобальну кризу довіри
Едвард Сноуден працював контрактником (Booz Allen Hamilton) для АНБ і мав легітимний доступ до систем із документами під грифом «таємно». Скориставшись цим доступом, він копіював великі масиви матеріалів про програми масового спостереження (зокрема PRISM та збирання телеметаданих телефонних дзвінків) і передав їх журналістам The Guardian та The Washington Post. Публікації спричинили міжнародний резонанс і дискусію про баланс безпеки та приватності; сам Сноуден виїхав до Гонконгу, а згодом — до Росії. Ключовий провал контролів: недостатній моніторинг дій привілейованих користувачів і відсутність ефективної сегментації/журналювання доступу до надтаємних репозитаріїв.
Capital One (2019) — поєднання внутрішніх знань і хмарної помилки
Екс-інженерка з досвідом роботи в AWS, Пейдж Томпсон, знайшла й експлуатувала помилкову конфігурацію веб-додаткового екрана (WAF) у хмарному середовищі Capital One. Через вразливість типу SSRF вона отримала тимчасові облікові дані з AWS Metadata Service для ролі IAM, після чого проіндексувала й завантажила дані з S3-бакетів: заявки на кредитні картки, особисту та фінансову інформацію понад 100 млн осіб. Інцидент став можливим через комбінацію хибної конфігурації, недостатніх обмежень для ролей IAM та відсутності своєчасних аномалійних детекцій при доступі до сховищ даних.
Cisco (2018/2020) — саботаж після звільнення через незнятий доступ
Колишній інженер Cisco (Судхіш Касаба Рамеш) через пів року після звільнення зберіг можливість підключатися до хмарної інфраструктури компанії на AWS і 24 вересня 2018 року запустив код, що видалив 456 віртуальних машин, які підтримували сервіс WebEx Teams. Це призвело до відключення понад 16 000 облікових записів на термін до двох тижнів і до мільйонних витрат на відновлення та компенсації. Хоча дані клієнтів не було скомпрометовано, інцидент наочно показав критичність негайного відкликання привілеїв під час офбордингу та контролю за доступами колишніх працівників.
Tesla (2020) — спроба підкупу інсайдера для впровадження шкідника
Російський громадянин Єгор Крючков приїхав до США та неодноразово зустрічався з працівником Gigafactory Nevada, пропонуючи $1 млн за встановлення шкідливого ПЗ у внутрішню мережу Tesla, щоб викрасти дані та шантажувати компанію. Він видав «палений» телефон і інструкції з конспірації, але працівник повідомив ФБР, і змову зірвали. Цей випадок показує, що інсайдери можуть стати вектором атаки не лише через недбалість чи образу — інколи їх намагаються «купити». Розвинені програми етики, захисту викривачів і канали безпечного повідомлення відіграють не меншу роль, ніж технічні засоби.
Target (2013) — «інсайдер за сумісництвом»: підрядник як точка входу
Зловмисники спершу скомпрометували облікові дані HVAC-підрядника (Fazio Mechanical), що мав доступ до мережі Target. Далі — бічний рух у середовищі ритейлера до сегменту POS, встановлення RAM-скрейпінг малварі (варіант BlackPOS) на касові термінали, та автоматичне вивантаження номерів платіжних карт. Попри те, що система виявлення (FireEye) генерувала тривоги, реагування було запізнілим. У підсумку викрадено дані 40 млн карт і PII близько 70 млн клієнтів; інцидент оголив проблеми з сегментацією мережі, керуванням підрядниками та операційною дисципліною реагування на алерти.
Послуги ESKA із захисту від внутрішніх загроз
Ми допомагаємо компаніям будувати багаторівневий захист від інсайдерських атак:
- SIEM та UEBA для виявлення аномалій у режимі реального часу.
- PAM та IAM-рішення для захисту ідентичностей та привілейованих акаунтів.
- Red Team-симуляції для перевірки сценаріїв внутрішніх атак.
- Симуляція фішингових атак для перевірки обізнаності ваших співробітників щодо фішингу.
- vCISO-послуги для управління ризиками та відповідності (SOC 2, ISO 27001, GDPR).