Выдвинуть диверсию: как растет число инсайдерских атак от рядовых пользователей
С начала года количество атак инсайдеров, то есть тех, кто использует данные, выполняя должностные обязанности, выросло в 1,5 раза, а спрос на информацию, добытую таким образом, увеличился на четверть, следует из отчета компании «Инфосистемы Джет». В даркнете уже несколько лет популярны объявления о поиске и «найме» работников различных компаний, замечают участники рынка. Так, вместо поиска уязвимостей, рассылки фишинговых писем и запуска троянов атакующие готовы заплатить относительно небольшую сумму нелояльному работнику, который сообщит злоумышленникам внутреннюю информацию, передаст свои учетные данные или запустит ПО для удаленного доступа атакующих в сеть компании
Внутренний враг
С января по октябрь 2023 года число инсайдерских атак от рядовых пользователей увеличилось в 1,5 раза по сравнению с аналогичным периодом прошлого года, а спрос на инсайдерскую информацию за первую половину 2023 года вырос на 25%. Такие выводы содержатся в исследовании «Атаки инсайдеров: угроза внутри периметра» компании «Инфосистемы Джет» (есть в распоряжении Forbes).
Кроме того, при мониторинге форумов даркнета и Telegram-каналов аналитики «Инфосистем Джет» отмечают постоянный спрос на покупку и продажу инсайдерской информации. Объявления такой направленности составляют около трети всех предложений на теневом рынке. К ним относятся покупка/продажа корпоративных доступов, а также поиск действующих работников компаний, готовых сотрудничать со злоумышленниками. «Растут цены, но это скорее связано с общей инфляцией и политической ситуацией в стране. Цены зависят от разных факторов — таких как актуальность и уникальность информации, объем данных и т. д. — и могут варьироваться от нескольких тысяч рублей до сотен тысяч долларов», — говорится в отчете.
По данным исследования, у 70% компаний обнаруживаются критичные недостатки в процессе управления доступом. По этой причине в подавляющем большинстве случаев (83%) в рамках работ по внутреннему тестированию на проникновение удается получить доступ к критичной информации с правами обычного пользователя, не прибегая к повышению привилегий, — под учетными записями рядовых работников, для которых такой доступ является избыточным.
Эксперты делят инсайдеров на три типа: нарушители «по незнанию» (приносят вред из-за невнимательности/незнания корпоративных политик кибербезопасности), нелояльные инсайдеры (действуют намеренно и с полным пониманием последствий, основной мотив — желание навредить компании) и инсайдеры, нацеленные на собственную выгоду (скачивают конфиденциальную информацию для развития собственного бизнеса, получения материальных выплат от третьих лиц, заинтересованных в конкурентном преимуществе, или хищения денежных средств).
К наиболее опасным для компании инсайдерам относятся текущие работники, сотрудники, имеющие привилегированные права доступа, и подрядчики, имеющие доступ к корпоративным ресурсам. Основные причины успешной реализации несанкционированных действий инсайдеров, по результатам опроса, в котором приняли участие более 80 компаний (представители крупного бизнеса, малые и средние предприятия и организации госсектора), — отсутствие или недостаточность контроля за несанкционированными действиями (78%), несвоевременное реагирование на инциденты (62%) и наличие избыточных прав доступа (59%). При этом почти половина опрошенных (43%) не применяет мер усиленного контроля в отношении сотрудников из групп риска (работники, которые скоро уволятся, и работники подрядчика, договор с которым вскоре закончится).