В последнее время со страничек новостных изданий и профильных ресурсов по кибербезопасности не пойдут оглушительные заголовки об утечках информации: систематически замечаемые в открытом доступе базы индивидуальных данных, «сливы» внешних бумаг и email-архивов больших организаций, применение похищенных паспортных данных в жульнических действиях. Стало быть, разрабатывая модель опасностей и правонарушителя для компании, квалифицированный эксперт по кибербезопасности не должен терять из виду опасности, формируемые инсайдерами — внешними правонарушителями, и должен призадуматься о использовании DLP-систем для устранения утечек данных (DLP — Data Leak/Leakage/Лосс Prevention), подробнее на https://crimea-news.com/other/2023/09/14/1182736.html.

Внешние правонарушители (инсайдеры) — это работники и начальники компании, и лица, имеющие с ней серьезные условные отношения: компаньоны, продавцы, аутсорсеры, поставщики, клиенты и другие контрагенты. Инсайдеры различаются отличными познаниями о работе компании, имеют либо без проблем могут получить организованный и часто увеличенный доступ к ИТ-активам. Акционеры, начальники высочайшего звена, даже линейные консультанты, воспользовавшись собственным официальным расположением и доказывая неотложной должностной потребностью, могут стараться приобретать высокопривилегированный доступ в осмотр обычных операций справочной безопасности, и могут активно мешать мерам обороны (к примеру, DLP-системам) либо процедуре следствия в случае обнаруженных нарушений.

Юридические лица (поставщики, аутсорсеры, продавцы и т.д.) могут представлять опасность кибербезопасности для компании из-за возможности выполнения предумышленных атак: кражи умной собственности и другой интересующей их секретной информации, отработки «заказа» соперников, проведения задания по приказу правительства собственной юрисдикции. Также, такие юридические лица могут нечаянно предлагать собственную ИТ-инфраструктуру в роли плацдарма для атак внутренних мошенников: к примеру, хакеры часто тайно укрепляются в системах развороченной компании для того, чтобы нападать не менее интересные для них задачи. Так, взломав IT-компании SolarWinds и Kaseya, нападающие приобрели доступ к инфраструктурам заказчиков данных организаций, после чего атакованными были очень многие компании, которые, вероятно, были предохранены лучше, чем их провайдеры ИТ-услуг, которые были «слабым звеном».

Не менее часто встречаемым методом попадания, но, остаются настроенные между фирмами VPN-туннели, которые дают возможность взломщикам, находясь в инфраструктуре развороченной компании, нападать ее контрагентов через это VPN-соединение. Установлены ситуации, когда основаниями утечек оказывались продавцы IT-сервисов, изготовители дополнительного оборудования и работники компании-подрядчика. Аналогичным «посредником» для атаки будет и ничего не подозревающий работник компании, по небрежности запустивший вредный документ на собственном компьютере, который он потом присоединил к общему VPN для работы из дома. Вирус, получив контроль над инфицированным компьютером, может дать управление нападающему, который, осознав, что это далеко не простой бытовой ноутбук, а коллективное устройство, вероятнее всего раскрутит атаку: украдет учетные данные работника (название сайта клиента и пароль), потом попробует пробраться в инфраструктуру компании для хищения секретной информации, старта вируса-шифровальщика, майнинга криптовалюты и т.д.

Так вот, инсайдерами можно назвать как лиц, которые злостно проводят неразрешенный доступ к обороняемой информацией с разными деструктивными задачами, так и тех, чьи аккаунты и действующие установки были скомпрометированы злодеями. Вредное ПО, угодив в инфраструктуру целевой атакуемой компании, будет изначально работать от имени украденной учетной записи, с будущими попытками получить доступ к самым высокопривилегированным аккаунтам (к примеру, администратора домена/предприятия) и отключением всех защитных систем (в т.ч. антивируса, фаирволла, DLP системы). Именно на данном раунде кибератаки, когда неразрешенные действия выполняются из-под учетных записей стандартных, низкопривилегированных клиентов, мы и можем осуществить реагирование и предупредить отрицательные результаты взлома при помощи систем класса DLP (Data Leak/Leakage/Лосс Prevention, системы устранения утечек/издержки данных). Этот класс решений проводит контроль за работой служащих с обороняемой информацией, за струями конфиденциальных данных в инфраструктуре компании и методами их обработки. Контролируемые телеканалы возможной утечки информации у различных изготовителей DLP-систем могут различаться, а, обычно, главными методами хищения данных считаются:

копирование документов на сменные накопители (флеш-карты, DVD/DVD-диски) и мобильные телефоны (телефоны, микропланшеты)
передача по e-mail
передача через веб-сервисы (мессенджеры, социальные сети, пасмурные хранилища)
передача через сервисы синхронизации данных (к примеру, OneDrive, Dropbox)
передача через AirDrop и Bluetooth-соединения
передача через буфер размена (вероятность переписать данные через удаленное RDP-подключение)

печатание, фотографирование и исследование бумаг.
В случае хакерской атаки при помощи скомпрометированных учетных записей телеканалы вывода (эксфильтрации) информации могут быть не менее утонченными: к примеру, через многообразные Web API с передачей данных через предохраненный HTTPS-протокол, через акт выключенной синхронизации данных (rsync), через SFTP/SCP/SSH-соединение, методом образования тайных телеканалов передачи данных (к примеру, с инкапсуляцией похищаемой информации в DNS/ICMP-трафике), с использованием способов стеганографии (замалчивание передаваемых данных внутри файлового бака, к примеру, безвредной иллюстрации).

По механизму работы системы DLP можно символически поделить на агентные и безагентные, с вероятностью быстрой блокады неразрешенных действий «на лету» либо которые позволяют лишь производить пост-мониторинг сделанных действий. Также DLP-решения различаются по многофункциональным полномочиям обнаружения секретной (обороняемой) информации в струях данных, по числу поддерживаемых файловых форматов и сетевых протоколов, по присутствию перечня возможностей поиска и систематизации секретной информации на сетевых хранилищах и на локальных дисках, и по присутствию особых модулей (модули механического обучения, компьютерного зрения, обнаружения странностей в действии клиентов и систем и т.д.).