Инсайд – скрытая брешь в информационной безопасности

Максим Пушкарь 22 Июня 2012 - 00:19

...

Как известно, в любой организации, независимо от ее размеров и рода деятельности, существуют конфиденциальные данные. Это могут быть финансовые показатели, номера кредитных карт, номера социального страхования, производственные планы, прогнозы; для медицинских учреждений – любые данные о состоянии здоровья пациентов. Что бы это ни было, необходимо максимально обезопасить конфиденциальную информацию.

Организации, сосредотачивающиеся на безопасности информационных сетей, зачастую выпускают из виду внутренние угрозы, становясь жертвами инсайдеров. На сегодняшний день обеспечить конфиденциальность информации, не защитив ее от инсайдеров, невозможно. Практика показывает, что необходимо максимально защищать информацию даже в процессе обработки, например, информацию, отображающуюся на экране монитора.

Обязанности большинства специалистов, обеспечивающих информационную безопасность различных организаций, зачастую ограничиваются лишь предотвращением и устранением последствий хакерских атак на информационные сети организаций, что, безусловно, важно, однако, все же не дает 100% гарантии сохранности конфиденциальной информации. Для современного инсайдера офис - самая благотворная среда для реализации планов. Зачастую ему достаточно знать, на чьем компьютере находится интересующая его информация и, выбрав момент, когда сотрудник, работающий с этой информацией, будет ее обрабатывать, подойти и завести с ним непринужденную беседу на отвлеченные темы: футбол, погода и прочее. Это, как правило, притупляет бдительность собеседника и позволяет инсайдеру считывать информацию просто из-за спины оператора, не вызывая при этом излишних подозрений.

По словам Билла Андерсона, основателя и президента компании Oculis Labs, статистика указывает на то, что причиной большинства утечек (от 30% до 50%) являются действия инсайдеров. При этом источником таких утечек часто становятся недовольные сотрудники, имеющие возможность выкрасть практически любую информацию, не вызывая излишних подозрений.

Исследования показывают, что в результате действий инсайдеров компании теряют в среднем $750 000 в год. Столь неутешительные показатели вынудили правительство США изменить юридическое определение, несанкционированного доступа к компьютерным системам, дополнив его фразой: «несанкционированное заглядывание на экран монитора». Новое юридическое определение, несанкционированного проникновения в компьютерные системы, безусловно, упрощает процесс уголовного преследования инсайдеров, однако, задача предотвращения такого рода действий остается нерешенной. Так как технических средств, позволяющих защитить информацию, отображающуюся на мониторе, от несанкционированного просмотра на данный момент не существует, организациям, желающим сохранить конфиденциальную информацию, следует проявлять максимальную бдительность.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 24 Апреля 2025 - 11:37

Эксплойты Атаки на сайты Уязвимости сайтов Взлом сайтов Уязвимости программ Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Новая атака Lazarus: вредонос через новостные сайты и баги в софте

Эксперты из команды GReAT обнаружили новую целевую атаку, которую провела группа Lazarus. В этот раз пострадали южнокорейские компании — минимум шесть организаций из разных сфер: от ИТ и финансов до производства и телекоммуникаций. Атака получила название Операция SyncHole.

Сначала злоумышленники заразили популярные новостные сайты — с помощью тактики watering hole.

Это когда вредоносный код размещают на легитимных ресурсах, которые часто посещают нужные хакерам пользователи. Потом фильтровали трафик: не всех, а только «интересных» посетителей перенаправляли на свои серверы, где уже запускалась цепочка заражения.

Один из ключевых элементов атаки — использование уязвимости в Innorix Agent. Это местное ПО, которое применяется для передачи файлов и требуется для работы на многих южнокорейских веб-сайтах, особенно в финансовой и госструктуре. Уязвимость позволяла злоумышленникам попасть во внутреннюю сеть и устанавливать туда свои инструменты — например, бэкдор ThreatNeedle и загрузчик LPEClient.

При анализе атаки специалисты обнаружили в Innorix Agent ещё одну, ранее неизвестную уязвимость. Её не успели использовать, но она могла дать возможность загружать произвольные файлы. Об этом оперативно сообщили местному киберрегулятору и производителю ПО. После чего вышло обновление, а уязвимости присвоили идентификатор KVE-2025-0014.

Интересно, что первый тревожный сигнал пришёл ещё до этого: вредоносные программы ThreatNeedle и SIGNBT заметили в корпоративной сети одной из компаний. Они запускались в памяти обычных процессов, например, SyncHost.exe, и маскировались под вспомогательные компоненты браузеров.

Похоже, что во многих случаях начальная точка заражения была связана с программой Cross EX — она используется для работы защитных решений в браузерах. Её уязвимость также была подтверждена и устранена после публикации соответствующего уведомления южнокорейским агентством по кибербезопасности.

Этот случай снова показывает, насколько опасными могут быть сторонние плагины и вспомогательный софт, особенно если оно с региональной спецификой, устаревшее или имеет повышенные права. Такие компоненты часто менее защищены, но при этом глубоко интегрированы в систему, что делает их удобной мишенью.

Проактивный подход к анализу атак, как в этом случае, помогает выявлять уязвимости до того, как они станут активно использоваться.