Кибератаки на ПО для корпоративных коммуникаций: что с ними делать бизнесу

Кибератаки на ПО для корпоративных коммуникаций: что с ними делать бизнесу

Кибератаки на ПО для корпоративных коммуникаций: что с ними делать бизнесу

Мессенджеры — самая простая и удобная площадка для реализации атак при помощи социальной инженерии и вредоносных программ. ПО для коммуникаций также является «слабым звеном» в том случае, если на устройстве пользователя применяется сомнительное программное обеспечение или бесплатный VPN-сервис. Как же создать защищённую среду общения в компании: использовать готовые специализированные решения, пользоваться обычными «гражданскими» мессенджерами или разрабатывать собственную систему?

 

 

 

 

  1. Введение
  2. Кто и как атакует корпоративные мессенджеры
    1. 2.1. Активное использование бесплатных VPN-сервисов
    2. 2.2. Использование ПО двойного назначения
    3. 2.3 Атаки «нулевого дня»
  3. Как создать защищённую среду общения в компании
  4. Выводы

Введение

2 млн долларов за две ошибки в коде. Это сумма, которую израильский криптопроект Aurora Labs выплатил «белым хакерам» — специалистам по кибербезопасности, которые тестируют надёжность ИТ-контуров. Именно благодаря «белым шляпам» в июне 2022 года компания сумела обнаружить в инфраструктуре два критических бага, которые грозили её клиентам убытками, а самому бизнесу — крахом репутации.

Aurora Labs — не единственная компания, которая в 2022 году не пожалела денег на то, чтобы взломать собственные системы. Рынок проектов «bug bounty», в ходе которых бизнес привлекает сторонних специалистов для тестирования и поиска уязвимостей ПО, бурно растёт. Этот рост (с 223 млн долларов США в 2020 году к предполагаемым 5,5 млрд долларов в 2027 году) — ответ на проблемы кибербезопасности, с которыми бизнес сегодня оказался лицом к лицу.

По данным исследования Positive Technologies, в 2020-2021 годах в 62 % российских веб-приложений были выявлены уязвимости критического уровня опасности. Среди общего количества атак только 18 % были направлены на частные лица, остальные затрагивали государственные организации, промышленность, ИТ, медучреждения. По итогам III квартала 2022 года каждая вторая атака заканчивалась утечкой конфиденциальной информации.

Атаки стали более изощрёнными, сложными и непредсказуемыми, что вполне объясняет бум платформ для баг-баунти. Анализаторы кода и культура безопасной разработки по-прежнему важны, но сегодня их становится недостаточно, особенно если дело касается поиска критических уязвимостей, связанных с контролем доступа.

Среди самых распространённых инструментов атак — социальная инженерия и вредоносные программы, как, например, нашумевший Pegasus. А самая простая и удобная площадка для их применения — мессенджеры.

В этой статье мы разберём, как обезопасить каналы общения в компании и защититься от случайного или намеренного «слива» данных.

Кто и как атакует корпоративные мессенджеры

Мессенджеры и почтовые сервисы — самые привычные и понятные для любого пользователя инструменты. Они заранее располагают кредитом доверия: это пространство, в котором мы привыкли общаться свободно, не ожидая от собеседника подвоха.

Именно поэтому преступники так часто и успешно пользуются социальной инженерией, в том числе для проникновения в инфраструктуры компаний. Письма и сообщения с фишинговыми ссылками и запросом персональных данных, приглашение к переписке с якобы «контрагентом» — всё это открывает злоумышленникам доступ к конфиденциальным и персональным данным, а значит, ведёт к компрометации бизнес-информации.

Изменения, которые произошли в социальном и информационном поле в 2022 году, привели к тому, что к классическим угрозам — фишингу, социальной инженерии — стали добавляться новые векторы атак.

Активное использование бесплатных VPN-сервисов

VPN-сервисы переживают бум популярности в России: их активно используют для того, чтобы получить доступ к заблокированным соцсетям и ресурсам.

Но большинство бесплатных программ для обхода ограничений являются «брешью» в безопасности пользователя. В июле 2022 года специалисты Института кибербезопасности и цифровых технологий РТУ МИРЭА проанализировали 72 бесплатных сервиса, доступных в магазинах приложений. Оказалось, что 90 % этих программ передают данные о пользователях третьим лицам, а почти 20 % не скрывают реальные IP-адреса клиентов.

В результате использование неизвестных VPN-сервисов не просто бесполезно — приложения фактически не выполняют свою функцию анонимизации, — но и опасно. Трафик с важными метаданными или аутентификационной информацией перенаправляется на неизвестный сервер и может попасть в любые руки — сторонней компании или киберпреступника.

Использование ПО двойного назначения

Мессенджеры и ПО для коммуникаций могут не представлять угрозы сами по себе, но быть «слабым звеном» в том случае, если на устройстве пользователя применяется сомнительное программное обеспечение.

Простой пример — когда на телефон, где хранятся рабочие файлы, контакты и переписка, устанавливается программа способная получить доступ к телефонной книге пользователя или хранилищу данных. Классика — GetContact, который устанавливали себе на телефоны тысячи пользователей, несмотря на то что их личные данные беспрепятственно утекали в Сеть.

Атаки «нулевого дня» 

Уязвимость «нулевого дня» — брешь в программе, которую злоумышленники обнаружили до того, как о ней узнали разработчики. На первый взгляд эта угроза не связана с программами для коммуникаций и зависит только от корректности самого кода. Однако это не так: чтобы эксплуатировать уязвимость и получить доступ к системе, злоумышленники часто пользуются методами социальной инженерии и сначала атакуют пользователей через мессенджеры и почту, рассылая письма с заражёнными файлами.

Как создать защищённую среду общения в компании

Чаще всего для организации корпоративных коммуникаций бизнес выбирает одну из трёх траекторий: применять готовые специализированные решения, пользоваться обычными «гражданскими» мессенджерами или разрабатывать собственную систему.

Самый сомнительный путь — популярные мессенджеры. Telegram, WhatsApp, Viber и другие платформы не всегда соответствуют стандартам безопасности в части качества протоколов и инструментов защиты.

Сознавая это, многие компании решаются на компромисс: пользуются облачными приложениями с расширенными функциями, подходящими для корпоративного использования: Slack, Discord, Wickr.

Помимо того что сегодня у российских пользователей часто возникают проблемы с продлением подписки на эти сервисы, такие мессенджеры тоже не всегда отличаются высоким уровнем безопасности. Например, распространённый в бизнес-среде Slack в августе 2022 г. объявил о наличии критической уязвимости, которая позволяла хакерам похищать cookie-файлы с данными пользователей и перехватывать учётные записи.

Другая категория специализированного ПО — решения разрабатываемые специально для корпоративных коммуникаций и поставляемые в формате «on-premise». Часто такие решения создаются с учётом основных требований по безопасности и включают в себя функции и возможности, которые обязательны для защищённых приложений:

  • сквозное и асимметричное шифрование,
  • двухфакторную аутентификацию,
  • автоудаление истории сообщений,
  • защиту от снятия скриншотов,
  • проверенные алгоритмы шифрования и протоколы защиты.

Но важно понимать, что даже в таких программах могут содержаться уязвимости, неочевидные для разработчиков, но крайне удобные для злоумышленников.

Например, большинство мессенджеров — даже относящихся к категории защищённых — запрашивают при регистрации личные данные или номер телефона. Такие метаданные хранятся на серверах, часто в незашифрованном виде, и при необходимости позволяют идентифицировать конкретных пользователей и восстановить всю цепочку коммуникаций.

Поэтому при выборе ПО важно обращать внимание не только на его возможности, но и на дизайн архитектуры: программа должна обеспечивать возможность общения в закрытом, зашифрованном канале для обмена данными и не запрашивать никаких персональных данных, включая номер телефона.

Другая важная функция мессенджера — отсутствие классического сервера для хранения данных. Риски компании, которая размещает данные на сторонних серверах, очевидны. Достаточно вспомнить громкую утечку в «Яндекс.Еде», от которой пострадали около 7 млн человек. Злоумышленники атаковали сторонний хостинг, где были размещены виртуальные машины компании с доступом во внутреннюю систему. В результате инфраструктура не была скомпрометирована, но компания столкнулась со штрафами, уголовным делом в свой адрес, а также с коллективным иском от 2000 пользователей. Суммарный штраф для ИТ-гиганта, скорее всего, не стал серьёзной проблемой, чего не скажешь о репутационном ущербе, исправить который, как правило, не так легко.

Степень проработки риска, связанного с хранением конфиденциальных данных на сервере, зависит от уровня безопасности мессенджера. В защищённом ПО все персональные данные должны храниться на устройстве пользователя. В программах с максимальным уровнем безопасности нередко есть встроенная функция автоудаления: полученная и отправленная очередь сообщений самоуничтожается через 14 дней. Таким образом сохраняется полная конфиденциальность обмена данными и невозможность перехвата критической бизнес-информации.

Выводы

Зачем бизнесу защищённая среда общения? Несмотря на стремительное развитие технологий, количество атак на бизнес постоянно растёт, а методы нападения становятся всё более интеллектуальными или изощрёнными. Для бизнеса эта проблема стоит особенно остро: утрата критической информации может стоить компании жизни. И от этой утраты невозможно защититься стандартными способами, поскольку в перспективе самый стремительно развивающийся сценарий — тот, при котором пользователь вовлекается в добровольную, но неосознанную передачу всех секретов компании.

Поэтому важно не просто серьёзно относиться к информационной безопасности, но и принимать превентивные меры. Это значит — постараться создать максимально защищённую среду общения:

  • Не использовать для корпоративных коммуникаций «гражданские» мессенджеры — WhatsApp, Telegram и т. д. Свести к минимуму использование на корпоративных устройствах потенциально опасных сервисов: VPN, приложений для очистки памяти телефона и т. п.
  • Работать над культурой безопасного общения: менять подход к обучению сотрудников. Лекции и тренинги по информационной безопасности не должны проводиться «для галочки»: важно, чтобы они действительно готовили пользователей к нестандартным ситуациям. В качестве ориентира можно использовать методички и рекомендации крупных ИТ-компаний, например Verizon.
  • Переходить на специализированное ПО для корпоративных коммуникаций с защищённым контуром. В основе решения должны лежать функции, которые обеспечат защиту данных компании — сквозное и асимметричное шифрование, проверенные протоколы защиты, отсутствие сервера для хранения данных, — а само оно не должно запрашивать доступа к пользовательским данным. Этот шаг можно называть ключевым: без него все усилия по защите от непредвиденных утечек и убытков можно свести к нулю.
Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru