Іноді простіше підкупити співробітника, чим використати кибер-атаки для злому системи

 Іноді простіше підкупити співробітника, чим використати кибер-атаки для злому системи

Коли мова заходить про захист корпоративної інформаційної безпеки, існує декілька чинників, на які необхідно звернути увагу. Два з них, втім, особливо важливі: перший - це моніторинг людського чинника, який часто є головним тригером для кибер-атак і витоку даних. Другий - це застосування інтелекту для усіх процесів, щоб сучасна інформаційна безпека не спрацьовувала постфактум, а працювала на випередження.

Хосе Мануель Диас-Канех є експертом в області інтелектуального аналізу(intelligence analysis) і професором програми Cyberintelligence Master в кампусі інформаційної безпеки в UFV. Фахівцям Panda Security вдалося поговорити з експертом, щоб дізнатися про поточний стан справ у сфері корпоративної інформаційної безпеки, а також про проблеми, які ще належить вирішувати.

Публікованих для вас перекладений текст інтерв'ю :

Яку роль грає кібер-розвідка в сучасному інформаційній безпеці?

Термін «кібер-розвідка»(cyberintelligence) завжди з'являється в тих випадках, коли люди говорять про інформаційну безпеку. У більшості випадків він обмежується виключно технічним аналізом кибер-угроз з метою його використання для підвищення рівня інформаційної безпеки підприємства. Це повністю оборонна(реактивна) концепція.


Якби ми визначили кібер-розвідку як розвідку, здійснювану на основі інформації, отриманої в кибер-пространстве, і яка допомагає організаціям в процесі ухвалення рішень і планування, ми б побачили, що сфера її діяльності набагато ширша. В цьому випадку мета - це вже не просто сприяти захисту організації : вона також матиме більше наступальний і проактивний характер. Тоді було б простіше скористатися перевагами тих можливостей, які пропонує кібер-простір.

Кібер-розвідка повинна сприяти створенню стратегічних і предиктивных попереджень про кибер-угрозах на основі певних індикаторів. Мета - попередити і зупинити(чи, принаймні, пом'якшити) відповідні риски.

Внутрішні загрози є одними з головних ризиків, з якими стикаються організації. Які з них найбільш часті?

На даний момент найбільш частими є такі інциденти, як відправка інформації на не ту адресу електронної пошти, не своєчасне виявлення фішингових атак або помилки, викликані невірною конфігурацією в ИТ-системах. Втім, умисні шкідливі дії стають усе більш частими частково через те, що частенько легше підкупити співробітника, чим проводити складні і дорогі кибер-атаки для злому системи.

Приклад - підміна SIM- карт. Навіщо витрачати зусилля на атаки з використанням методик соціальної інженерії, коли простіше зламати співробітника підприємства в салоні стільникового зв'язку, щоб скопіювати особисті дані клієнтів і зробити дупликат його SIM- карти? Це також відноситься і до розкриття конфіденційної корпоративної інформації.

Проблема з умисними внутрішніми атаками полягає в тому, що організації часто не знають про те, скільки співробітників мають права доступу до конфіденційної інформації.

Які заходи повинні робити організації, щоб підготувати себе до боротьби з цими внутрішніми загрозами? Що конкретно спричиняє за собою корпоративна контррозвідка?

Передусім компанія повинна розглянути дещо украй важливих питань:

  • Що наша організація повинна захищати?
  • Що наші конкуренти/супротивники(чи іноземні урядові установи) намагаються дізнатися або виявити про нас і чому?
  • Як вони намагаються це зробити? Які можливості вони мають? Вони використовують технічний підхід або намагаються підкупити наших співробітників?
  • Що ми можемо зробити, і що ми робимо, щоб обмежити їх можливості в цьому напрямі? Які законні тактики ми могли б використати для захисту нашої інформації? Як щодо наших патентів і ідей НИОКР?

Якщо організація не може чітко і точно відповісти на перші два питання, то неможливо буде відповісти і на два останні питання. В цьому випадку це приведе до того, що компанія робитиме неефективні заходи для свого захисту.

Щоб уникнути цього, організації повинні застосовувати підхід контррозвідки. З цією метою вони повинні працювати в трьох конкретних напрямах: набір персоналу; підготовка кадрів і підвищення їх обізнаності, спостереження і контроль. Перший, фундаментальний крок - це набрати правильних людей, чиї профілі відповідають правам доступу, які вони матимуть. По-друге, їх навчання і підвищення їх обізнаності з питань безпеки є ключовими не лише в таких питаннях як ідентифікація кибер-атаки, але також і у виявленні підозрілої поведінки у своїх колег, які можуть почати дивно поводитися. Усе це припускає впровадження максимально обережних процедур, дозволяючих співробітників підприємства повідомляти про будь-кого, імовірно незвичайній активності.

Нарешті, організації повинні здійснювати програму моніторингу і розслідувань, щоб діяти в стримуючому ключі. Але вона не має бути зосереджена виключно на технічних аспектах: вона також повинна використовуватися для того, щоб якомога більше знати про людей, що обіймають ключові посади в організації. Важливо усвідомлювати той факт, що інсайдер частенько не є високопоставленим співробітником організації, а швидше навпаки. Інсайдерами частіше стають співробітники середньої і нижчої ланки, які з різних причин є нещасливими.

Ми звикли чути, як люди говорять про процеси розвідки стосовно урядових спецслужб. Які переваги вона дає при її застосуванні в інших організаціях?

Мета розвідки, в найширшому сенсі, полягає в тому, щоб зменшити невизначеність і генерувати знання, надаючи ті, що відповідають, релевантні і, де це застосовно, предиктивные продукти і рішення. Таким чином, вони можуть надавати підтримку для процесів ухвалення рішень і планування. Це процеси, які вимагають проактивного підходу і можливості прогнозування, щоб захистити організацію від непередбачених сюрпризів.

Розвідка - це не те, щоб все робити правильно. Швидше, це можливість скоротити шанси того, щоб щось зробити неправильно. Вона повинна повністю пронизувати усю організацію. Часто буває так, що її єдиним результатом є реорганізація обміну внутрішньою інформацією і процесів ухвалення рішення. Також важливо підкреслити той факт, що для того, щоб усе це працювало, необхідно залучати кожного співробітника підприємства.

Які, на Ваш погляд, основні загрози, з якими стикаються компанії на даний момент?

Перефразовуючи те, що говориться в Національній стратегії безпеці 2017, шпигунство є однією з головних загроз для багатьох компаній. Його мета полягає в тому, щоб регулярно отримувати інформацію про конкурентів, яка допомагала б дешевшим способом отримувати переваги на ринку. Якщо ми подивимося на компанії, чия робота пов'язана з проектами, що мають відношення до національної безпеки, то ми побачимо, що шпигунська діяльність може виявити стратегічні можливості, пов'язані, наприклад, із захистом критичної інфраструктури.


Поточний рік добігає кінця. Які тенденції інформаційної безпеки, на Ваш погляд, визначатимуть наступне десятиліття?

Використання кибер-пространства для виконання різного роду діяльності - це вже серйозно і надовго. А це означає, що тенденції в інформаційній безпеці полягатимуть в тому, щоб продовжувати розвивати ті розробки, які дозволять нам ще ефективніше захищати домашніх і корпоративних користувачів.

Проте немає сенсу будувати захисні стіни, засновані виключно на апаратному і програмному забезпеченні. Історія показує, що усі стіни або мають «задні двері», або їх можна зламати. Ось чому нам вимагається надавати безпеку на 360º. Але перш ніж це станеться, необхідно додати оригінальніші технологічні пропозиції, які зупинятимуть або перешкоджатимуть кибер-атакам і, передусім, поліпшать роботу систем раннього виявлення.

Слід враховувати той факт, що позаду кожного комп'ютера(будь то зловмисник або захищається) стоїть людина, дії якої мають певний вплив на реальний зовнішній світ.

Ось чому зв'язувати виявлення кибер-угроз виключно з роботою кибер-разведки не цілком реально. Інформацію, яку ми повинні мати, щоб ідентифікувати кібер-атаку, не завжди можна отримати тільки з кибер-пространства, а тому ми повинні отримувати її ще і по інших розвідувальних каналах.