Вылетят с «птичкой»: для промышленных шпионов создали новые ловушки
Инсайдера в компании или хакера, который атакует сайт извне, можно выявить при помощи так называемых канареек — маленьких закладок, которые размещают в определенных файлах. Об этом «Известиям» рассказали в «Лаборатории Касперского». Как только кто-то заходит на страницу с закладкой, «птичка» сигнализирует об этом службе безопасности, которая получает подробную информацию о пользователе. Существуют сайты-конструкторы, где можно самостоятельно собрать целую «стаю птиц». На сегодняшний день «канарейки» являются самым дешевым методом информационной защиты.
По ком поет «канарейка»
В информационной безопасности появилось большое направление, позволяющее обнаружить злоумышленников с помощью специальных приманок, которые размещают в определенных файлах абсолютно разной направленности. Их применение позволяет эффективно вычислять инсайдеров и блокировать атаки хакеров извне.
Эти закладки принято называть канарейками (canary). Ассоциация с птичкой обусловлена тем, что по размеру они очень малы, то есть представляют собой не полноценные ловушки, а просто метки на документах. Если же нарушитель обнаружен, то они «звонко поют», сообщая об опасности. Одно из первых упоминаний о данном методе было в романе Тома Клэнси «Игры патриотов».Также в нем рассказывалось о «ловушках для канареек» как о способе выявления утечек информации путем распространения разных версий конфиденциального документа. Подобный метод поиска еще называют тестом бариевой каши (barium meal test).
— В любой компании, которая заботится о безопасности своих документов, таких «канареек» может быть несколько сотен, — сообщил «Известиям» ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. — Их закладывают в списки клиентов, номера счетов, в сетевые хранилища и т.д.
Канарейка может быть ссылкой в интернете, ее можно вставить в документ (Word, PDF), изображение, email-адрес, сетевую папку или внедрить в имена и пароли пользователей или специальные программы, например, *.exe файл. Секретные «птицы» могут охранять серверы, базы данных, облачные хранилища и т.д.
Служба безопасности организации в онлайн-режиме получает информацию от ловушек. Как только запрашивается подставной файл, запускается помеченная программа или идет запрос на имя определенного пользователя, служба безопасности тут же получает уведомление по электронной почте или в мессенджер. После этого инцидент считается зарегистрированным и начинается сбор дополнительной информации.
Птичий конструктор
В интернете существуют платформы, где любой желающий может сконструировать такую «птичку» для своих надобностей.
— Суть их в том, чтобы правильным образом сгенерировать детектирующие компоненты, используемые на конечных ПК или серверах, — пояснил Алексей Парфентьев, руководитель отдела аналитики компании «СёрчИнформ», специализирующейся на информационнной безопасности. — То есть подготовить программу под специфику в зависимости от того, что ей предстоит делать: определять обращение к базе данных, к определенной папке и т.д.
Однако к данном способу прибегают только небольшие компании, и крайне редко — банки. Там для обнаружения утечек и хакерских атак используют куда более технологичные инструменты: DLP (для детектирования работы с конфиденциальными данными) и SIEM (для обработки логов безопасности) — таковы рекомендации регулятора, Центрального банка. Кроме того, банковские ИБ-системы должны быть сертифицированы, чего об облачных цифровых конструкторах сказать нельзя.
— «Канарейки» больше полезны небольшим компаниям, ограниченным в развертывании средств киберзащиты и мониторинга угроз, — пояснил руководитель отдела аналитики и спецпроектов ГК Infowatch Андрей Арсентьев. — Если проводить аналогию с защитой частного дома, явно недостаточно посадить при входе в него чуткую «птичку», которая криками станет сигнализировать владельцу о приближении чужаков. Для надежной безопасности нужны еще хорошие замки, системы охраны и сторожевая собака.
Поэтому для борьбы со шпионами-инсайдерами, считает эксперт, правильнее всего использовать развитые DLP-системы, у которых, например, есть модули, предназначенные для изучения поведенческих характеристик сотен и тысяч сотрудников и для выявления аномалий в их поведении. Такими аномалиями могут быть внезапно изменившееся время прихода-ухода с работы, резко участившиеся контакты с теми людьми, с которыми раньше их было мало, и др.
Хакер не дремлет
Кроме того, квалифицированный хакер может легко поймать подставную «птичку». Ведь сервисы-конструкторы доступны как специалистам по информационной безопасности, так и злоумышленникам — никакого секрета в их работе нет ни для одной из сторон. Впрочем, злоумышленник обычно понимает, что за обращением к чувствительной информации всегда ведется пристальное наблюдение.
— Хакер может или удалить, или временно блокировать такую «канарейку», — отметил Алексей Парфентьев. — В ряде случаев они просто разрывают связь с сервером, пересылающим уведомление, то есть система сработает, но служба информационной безопасности не получит «алерт» — уведомление о сработавшем капкане.
Впрочем, «система птичек» остается эффективным средством борьбы с утечками и обнаружением хакерских атак, а также самым дешевым инструментом, которым может воспользоваться практически любая компания.