Эксперты по информационной безопасности неоднократно повторяют о важности оперативного реагирования на кибератаку и таким образом значительного снижения ее последствий. Прямое тому подтверждение – взлом Национального казначейства Бразилии, при котором, согласно официальному заявлению внутренних аналитиков, оперативными мерами сдерживания распространения атаки удалось спасти от отключения одну из ключевых для страны систем Бразильской фондовой биржи.

В этой связи хотелось бы поговорить о еще одном эффективном подходе сдерживания вымогательских атак, шквал которых продолжает усиливаться. И упомянуть о взломе активов компании Accenture группировкой LockBit, когда злоумышленники похитили 6 Тб данных, по их утверждению, и потребовали 50 миллионов долларов США выкупа. В качестве доказательства хакерами были опубликованы 2384 файла данных, в основном маркетинговые документы и кейс-стадис. 


Команда Accenture восстановила пострадавшие ресурсы из бэкапов и утверждает, что опасности для клиентов нет.

«Этот случай привлек наше внимание как экспертов по информационной безопасности. Во-первых, компания Accenture – это консалтинговая компания в сфере ИТ и ИБ, и ее инфраструктура вполне очевидно достаточно хорошо защищена. Но это не помешало киберинциденту случится. Впрочем, согласно сообщениям аналитиков Accenture и взломавших их хакеров, взлом был успешен благодаря инсайдеру. Выявить его экспертам удалось благодаря замеченной аномальной активности на пострадавшем сервере», – отмечает менеджер по развитию бизнеса группы компаний Angara Анна Михайлова.

Использование в атаках инсайдеров больше ассоциируется с утечками данных, хотя данный канал задействован и в более губительных кибератаках, в частности, для занесения разного рода вредоносного ПО в инфраструктуру. Например, эпизод с подготовкой кибератаки на Tesla, где потенциальному инсайдеру был предложен 1 миллион долларов США за внос в системы вредоносного ПО. И даже легендарный Stuxnet на территорию пронес внутренний сотрудник.

Гигантские суммы возможных выкупов, иллюзорная легкость и безнаказанность проведения вредоносных действий и значительного легкого заработка могут сподвигнуть больше сотрудников к переходу на темную сторону. К слову сказать, группировка LockBit сразу выдала личность инсайдера экспертам Accenture, и вряд ли ему удастся выйти сухим из воды.

Однако вопрос защиты данных от внутренних злоумышленников становится год от года все более актуальным, в то время как хранение данных – неструктурированным и разобщенным. В данном контексте работает модель Data-Centric Security и внедрение решения класса Data-Centric Audit and Protection (DCAP). 

Суть подхода Data-Centric Security Model заключается именно в защите разобщенных данных, их обнаружении и категоризации, построении поведенческих моделей использования и отслеживании аномальных операций со структурированными, неструктурированными и полуструктурированными данными. В базовый функционал DCAP-решений входят:

  • обнаружение и классификация данных (лингвистический анализ),

  • мониторинг прав доступа (включая высоко привилегированных пользователей),

  • отслеживание операций с данными,

  • обеспечение защиты данных, запрет нежелательных операций с ними (разрешения/запреты для разных пользователей и разных видов данных),

  • автоматическое уведомление о нарушениях и предотвращение инцидентов (шифрование, токенизация, маскирование данных),

  • детальная отчетность.

На российском рынке эксперты группы компаний Angara выделяют несколько решений класса DCAP:

  • Makves DCAP,

  • СерчИнформ FileAuditor,

  • Infowatch DAT.

По всем вопросам можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.