Мессенджеры — самая простая и удобная площадка для реализации атак при помощи социальной инженерии и вредоносных программ. ПО для коммуникаций также является «слабым звеном» в том случае, если на устройстве пользователя применяется сомнительное программное обеспечение или бесплатный VPN-сервис. Как же создать защищённую среду общения в компании: использовать готовые специализированные решения, пользоваться обычными «гражданскими» мессенджерами или разрабатывать собственную систему?
- Введение
- Кто и как атакует корпоративные мессенджеры
- Как создать защищённую среду общения в компании
- Выводы
Введение
2 млн долларов за две ошибки в коде. Это сумма, которую израильский криптопроект Aurora Labs выплатил «белым хакерам» — специалистам по кибербезопасности, которые тестируют надёжность ИТ-контуров. Именно благодаря «белым шляпам» в июне 2022 года компания сумела обнаружить в инфраструктуре два критических бага, которые грозили её клиентам убытками, а самому бизнесу — крахом репутации.
Aurora Labs — не единственная компания, которая в 2022 году не пожалела денег на то, чтобы взломать собственные системы. Рынок проектов «bug bounty», в ходе которых бизнес привлекает сторонних специалистов для тестирования и поиска уязвимостей ПО, бурно растёт. Этот рост (с 223 млн долларов США в 2020 году к предполагаемым 5,5 млрд долларов в 2027 году) — ответ на проблемы кибербезопасности, с которыми бизнес сегодня оказался лицом к лицу.
По данным исследования Positive Technologies, в 2020-2021 годах в 62 % российских веб-приложений были выявлены уязвимости критического уровня опасности. Среди общего количества атак только 18 % были направлены на частные лица, остальные затрагивали государственные организации, промышленность, ИТ, медучреждения. По итогам III квартала 2022 года каждая вторая атака заканчивалась утечкой конфиденциальной информации.
Атаки стали более изощрёнными, сложными и непредсказуемыми, что вполне объясняет бум платформ для баг-баунти. Анализаторы кода и культура безопасной разработки по-прежнему важны, но сегодня их становится недостаточно, особенно если дело касается поиска критических уязвимостей, связанных с контролем доступа.
Среди самых распространённых инструментов атак — социальная инженерия и вредоносные программы, как, например, нашумевший Pegasus. А самая простая и удобная площадка для их применения — мессенджеры.
В этой статье мы разберём, как обезопасить каналы общения в компании и защититься от случайного или намеренного «слива» данных.
Кто и как атакует корпоративные мессенджеры
Мессенджеры и почтовые сервисы — самые привычные и понятные для любого пользователя инструменты. Они заранее располагают кредитом доверия: это пространство, в котором мы привыкли общаться свободно, не ожидая от собеседника подвоха.
Именно поэтому преступники так часто и успешно пользуются социальной инженерией, в том числе для проникновения в инфраструктуры компаний. Письма и сообщения с фишинговыми ссылками и запросом персональных данных, приглашение к переписке с якобы «контрагентом» — всё это открывает злоумышленникам доступ к конфиденциальным и персональным данным, а значит, ведёт к компрометации бизнес-информации.
Изменения, которые произошли в социальном и информационном поле в 2022 году, привели к тому, что к классическим угрозам — фишингу, социальной инженерии — стали добавляться новые векторы атак.
Активное использование бесплатных VPN-сервисов
VPN-сервисы переживают бум популярности в России: их активно используют для того, чтобы получить доступ к заблокированным соцсетям и ресурсам.
Но большинство бесплатных программ для обхода ограничений являются «брешью» в безопасности пользователя. В июле 2022 года специалисты Института кибербезопасности и цифровых технологий РТУ МИРЭА проанализировали 72 бесплатных сервиса, доступных в магазинах приложений. Оказалось, что 90 % этих программ передают данные о пользователях третьим лицам, а почти 20 % не скрывают реальные IP-адреса клиентов.
В результате использование неизвестных VPN-сервисов не просто бесполезно — приложения фактически не выполняют свою функцию анонимизации, — но и опасно. Трафик с важными метаданными или аутентификационной информацией перенаправляется на неизвестный сервер и может попасть в любые руки — сторонней компании или киберпреступника.
Использование ПО двойного назначения
Мессенджеры и ПО для коммуникаций могут не представлять угрозы сами по себе, но быть «слабым звеном» в том случае, если на устройстве пользователя применяется сомнительное программное обеспечение.
Простой пример — когда на телефон, где хранятся рабочие файлы, контакты и переписка, устанавливается программа способная получить доступ к телефонной книге пользователя или хранилищу данных. Классика — GetContact, который устанавливали себе на телефоны тысячи пользователей, несмотря на то что их личные данные беспрепятственно утекали в Сеть.
Атаки «нулевого дня»
Уязвимость «нулевого дня» — брешь в программе, которую злоумышленники обнаружили до того, как о ней узнали разработчики. На первый взгляд эта угроза не связана с программами для коммуникаций и зависит только от корректности самого кода. Однако это не так: чтобы эксплуатировать уязвимость и получить доступ к системе, злоумышленники часто пользуются методами социальной инженерии и сначала атакуют пользователей через мессенджеры и почту, рассылая письма с заражёнными файлами.
Как создать защищённую среду общения в компании
Чаще всего для организации корпоративных коммуникаций бизнес выбирает одну из трёх траекторий: применять готовые специализированные решения, пользоваться обычными «гражданскими» мессенджерами или разрабатывать собственную систему.
Самый сомнительный путь — популярные мессенджеры. Telegram, WhatsApp, Viber и другие платформы не всегда соответствуют стандартам безопасности в части качества протоколов и инструментов защиты.
Сознавая это, многие компании решаются на компромисс: пользуются облачными приложениями с расширенными функциями, подходящими для корпоративного использования: Slack, Discord, Wickr.
Помимо того что сегодня у российских пользователей часто возникают проблемы с продлением подписки на эти сервисы, такие мессенджеры тоже не всегда отличаются высоким уровнем безопасности. Например, распространённый в бизнес-среде Slack в августе 2022 г. объявил о наличии критической уязвимости, которая позволяла хакерам похищать cookie-файлы с данными пользователей и перехватывать учётные записи.
Другая категория специализированного ПО — решения разрабатываемые специально для корпоративных коммуникаций и поставляемые в формате «on-premise». Часто такие решения создаются с учётом основных требований по безопасности и включают в себя функции и возможности, которые обязательны для защищённых приложений:
- сквозное и асимметричное шифрование,
- двухфакторную аутентификацию,
- автоудаление истории сообщений,
- защиту от снятия скриншотов,
- проверенные алгоритмы шифрования и протоколы защиты.
Но важно понимать, что даже в таких программах могут содержаться уязвимости, неочевидные для разработчиков, но крайне удобные для злоумышленников.
Например, большинство мессенджеров — даже относящихся к категории защищённых — запрашивают при регистрации личные данные или номер телефона. Такие метаданные хранятся на серверах, часто в незашифрованном виде, и при необходимости позволяют идентифицировать конкретных пользователей и восстановить всю цепочку коммуникаций.
Поэтому при выборе ПО важно обращать внимание не только на его возможности, но и на дизайн архитектуры: программа должна обеспечивать возможность общения в закрытом, зашифрованном канале для обмена данными и не запрашивать никаких персональных данных, включая номер телефона.
Другая важная функция мессенджера — отсутствие классического сервера для хранения данных. Риски компании, которая размещает данные на сторонних серверах, очевидны. Достаточно вспомнить громкую утечку в «Яндекс.Еде», от которой пострадали около 7 млн человек. Злоумышленники атаковали сторонний хостинг, где были размещены виртуальные машины компании с доступом во внутреннюю систему. В результате инфраструктура не была скомпрометирована, но компания столкнулась со штрафами, уголовным делом в свой адрес, а также с коллективным иском от 2000 пользователей. Суммарный штраф для ИТ-гиганта, скорее всего, не стал серьёзной проблемой, чего не скажешь о репутационном ущербе, исправить который, как правило, не так легко.
Степень проработки риска, связанного с хранением конфиденциальных данных на сервере, зависит от уровня безопасности мессенджера. В защищённом ПО все персональные данные должны храниться на устройстве пользователя. В программах с максимальным уровнем безопасности нередко есть встроенная функция автоудаления: полученная и отправленная очередь сообщений самоуничтожается через 14 дней. Таким образом сохраняется полная конфиденциальность обмена данными и невозможность перехвата критической бизнес-информации.
Выводы
Зачем бизнесу защищённая среда общения? Несмотря на стремительное развитие технологий, количество атак на бизнес постоянно растёт, а методы нападения становятся всё более интеллектуальными или изощрёнными. Для бизнеса эта проблема стоит особенно остро: утрата критической информации может стоить компании жизни. И от этой утраты невозможно защититься стандартными способами, поскольку в перспективе самый стремительно развивающийся сценарий — тот, при котором пользователь вовлекается в добровольную, но неосознанную передачу всех секретов компании.
Поэтому важно не просто серьёзно относиться к информационной безопасности, но и принимать превентивные меры. Это значит — постараться создать максимально защищённую среду общения:
- Не использовать для корпоративных коммуникаций «гражданские» мессенджеры — WhatsApp, Telegram и т. д. Свести к минимуму использование на корпоративных устройствах потенциально опасных сервисов: VPN, приложений для очистки памяти телефона и т. п.
- Работать над культурой безопасного общения: менять подход к обучению сотрудников. Лекции и тренинги по информационной безопасности не должны проводиться «для галочки»: важно, чтобы они действительно готовили пользователей к нестандартным ситуациям. В качестве ориентира можно использовать методички и рекомендации крупных ИТ-компаний, например Verizon.
- Переходить на специализированное ПО для корпоративных коммуникаций с защищённым контуром. В основе решения должны лежать функции, которые обеспечат защиту данных компании — сквозное и асимметричное шифрование, проверенные протоколы защиты, отсутствие сервера для хранения данных, — а само оно не должно запрашивать доступа к пользовательским данным. Этот шаг можно называть ключевым: без него все усилия по защите от непредвиденных утечек и убытков можно свести к нулю.
