Нашли еще одно интересное интервью в подкасте Darknetdiaries и перевели его для вас. Тема выпуска – инсайдерские риски. Героиня – Лиза Форте, партнер Red Goat Cyber Security. Она профессионально проводит учения по информационной безопасности и занимается разработкой программ защиты от инсайдерских угроз. В свободное время занимается скалолазаньем, по образованию – юрист.
Эта справка и дальше звучала бы сухо, если не уточнение, что в ИБ Лиза Форте шла как героиня приключенческой книжки про пиратов, буквально.
История борьбы с пиратством
После окончания обучения праву Лиза Форте устроилась работать в частную охранную компанию, защищавшую корабли от пиратов в водах вблизи Сомали. Задачей Лизы было обеспечить работу охранников юридически. Но вскоре она заинтересовалась тем, как делать корабли более защищенными перед лицом пиратов, разрабатывала сценарии того, что может пойти не так в открытых водах. Это оказалось интереснее, чем морское право.
«Все началось в 90-е, сомалийские пираты были тогда такими же изощренными, как сейчас хакеры-вымогатели. Пираты имели доступ к инсайдерам в крупных страховых компаниях в Европе, они проводили OSINT-разведку, управляли флотом из атакующих катеров. У них было очень хорошее финансирование. В какой-то момент они зарабатывали около 13 миллиардов долларов в год. Это была гигантская индустрия», – рассказывает Лиза.
Пираты знали, какой корабль будет проходить мимо и посылали несколько быстрых моторных лодок, чтобы догнать его. Катера подходили к нему, забрасывали крюки и лезли на борт с автоматами.
Задачей команды Лизы было защитить корабли от таких атак, и в частности ее решением было размещать водометы по бортам и акустические устройства LRAD. LRAD – это, по сути, MP3-плеер с огромными динамиками, которые можно направить на противника на расстоянии до двух миль. Некоторые называют это устройство звуковой пушкой, она способна издавать звуки до 160 децибел, что можно сравнить с громкостью гудка поезда, который направлен прямо вам в уши.
Кстати, само устройство LRAD было изобретено после атаки на американский военный корабль – эсминец USS Cole. В 2000 году он стоял в порту Йемена для пополнения запасов. Проходящая рядом баржа взорвала бомбу прямо рядом с эсминцем, образовав в корпусе большую дыру. Ответственность за нападение взяла «Аль-Каида», это было за 11 месяцев до 11 сентября. Вооруженный корабль мог бы себя защитить, но не открывает огонь по любой шхуне, которая подошла слишком близко. ВМС США нуждались в нелетальном оружии на случай таких неоднозначных ситуаций, уточняет ведущий подкаста.
Итак, после защиты кораблей от пиратских нападений, Лиза решила заняться чем-то другим.
Переход в информационную безопасность
После работы на британскую контртеррористическую разведку, где Лиза ознакомилась с методами борьбы с онлайн-преступностью, и службы в полиции в качестве офицера по киберзащите, Лиза основала свою компанию Red Goat. «То, чем я занимаюсь, немного похоже на то, что я делала с кораблями. Я продумываю, что нужно сделать, если бы произошла атака». Только теперь Лиза сфокусировалась на защите от внутренних угроз.
«Иногда атаки исходят от тех, кто сам работает в компании – в бухгалтерии или в научной лаборатории. Это опасно, поскольку сотрудники имеют доверенный доступ к инфраструктуре. Но зачем кому-то нападать на компанию, в которой он работает? И как компании вообще могут защитить себя от этого?» Лиза рассказала пару историй, которые показывают, почему нельзя недооценивать инсайдерские риски.
Фишинг через LinkedIn
Первая история про лабораторного сотрудника компании (назовем его Ник), который любил поговорить с незнакомцами. Однажды у него завязался разговор в LinkedIn. Это произошло, когда Ник опубликовал длинный пост на научную тему. Под постом появился провокационный комментарий от какой-то женщины. Ник перешел в ее профиль – и увидел, что она тоже ученый. Завязалось общение, нашлись общие интересы, они узнали больше друг о друге больше. А дальше продолжили разговор в электронной почте. Ник писал с корпоративного ящика.
Дальше больше. Собеседница ученого спросила, не хочет ли тот приехать к ней в гости (а жила она в Казахстане). Билет стоил около 500 фунтов, он позволить себе такой расход не мог. Он также упомянул, что едва может позволить себе обслуживать машину, т.е. явно испытывал сложности с деньгами. Тогда она сообщила, что может помочь ему получить работу в России (там, мол, ее компания тоже ведет бизнес), только надо будет подтвердить опыт. Он заинтересовался и для «подтверждения опыта» выслал ей множество документов, расчетов, над которыми работал. Все они были конфиденциальны.
Эта женщина тоже отправляла ученому какие-то свои исследования неустановленной ценности. Зато следующий документ от «кадровиков» оказался по-настоящему значимым – он содержал вирус.
До сих пор ИБ-служба компании-работодателя Ника никак не обнаруживала нарушение политик безопасности. Но к счастью появление вируса в ИТ-инфраструктуре все же привлекло ее внимание.
Ученого тут же отстранили от работы (правда забыв закрыть доступ к учетке, к счастью у сотрудника не было намерения этим злоупотреблять) и привлекли к расследованию команду Лизы. У нее было 2 версии, кто бы мог пытаться получить доступ к документам: компания-конкурент и разведка другой страны.
В пользу того, что иностранные шпионы могут использовать соцсеть для выхода на инсайдера, говорит еще одна история. Она случилась в марте 2022 – кто-то взломал криптокомпанию Axie Infinity и украл валюту на сумму 540 миллионов долларов. Расследователи посчитали, что это было делом рук правительства Северной Кореи. Считается, что хакеры получили доступ к инфраструктуре компании через инсайдеров. Они искали сотрудников Axie Infinity через LinkedIn, соблазняли их отличными предложениями о работе. И когда сотрудники открывали документ, на их рабочий компьютер устанавливалось вредоносное ПО. Оно и открывало доступ северокорейским хакерам в корпоративную сеть.
LinkedIn – очень удобный способ найти сотрудников интересующей компании, ведь соцсеть и создана для корпоративного общения, там можно быстро найти компанию и увидеть полный список людей, которые в ней работают.
«Развод» в соцсети
Еще одна история Лизы – о молодой англичанке, которая работала в нефтегазовой компании. Завязка этой истории похожа на предыдущую. В одной запрещенной в России социальной сети с сотрудницей (допустим, ее звали Хелен) связалась какая-то девушка из Перу. Она сообщила, что работает в той же компании, в филиале. Сказала, что заинтересована в изучении и в практике английского языка, британской культуре и что вообще было бы здорово подружиться.
Мягкий и нежный подход.
Нет смысла утаивать, что в итоге эта перуанка оказалась мошенницей, которая втерлась в доверие к жертве, манипулируя известной о ней информацией. Расследователям было очевидно, как мошенница узнала, на что давить. Профиль Хелен в соцсети был открыт, фотографии из ее путешествий по Латинской Америке, из гуманитарных проектов были тоже открыты. Из репостов и другой информации было легко понять, каковы ее идеологические взгляды. Профиль точно отражал почти все из них.
Отношения со временем укреплялись, формировалось больше доверия и даже дружбы. И вот однажды эта «перуанская женщина» с поддельным профилем сказала, что очень огорчена. Якобы компания, на которую они обе работают, заставляет людей в Перу трудиться в небезопасных для здоровья условиях. Это вызывает болезни – а у людей банально нет денег ни на лечение, ни на юридическую помощь.
Англичанку история впечатлила, да так, что она предложила им обеим бросить работу в этой компании. Перуанская мошенница сказала: нет, мы не собираемся уходить, мы собираемся разоблачить плохого работодателя. Она сказала, что знает хорошего журналиста, который живет в Перу и ранее работал над историей Wikileaks, разоблачал коррупцию в правительстве, корпорациях и т.д.
Итак, волшебным образом этот журналист появился в чате соцсети.
У него сразу появились идеи о том, какие доказательства понадобятся для разоблачения компании, он дал распоряжение девушкам, какие документы ему потребуются. Сказал: найдите их, скопируйте, сфотографируйте на телефон и пришлите их мне на этот адрес электронной почты. В представлении Хелен, они приступили к делу вместе с подругой из Перу. Единственное, что удивило англичанку, что в перечне необходимой информации была и такая, которая, казалось бы, не имеет отношения к решению экологических вопросов. Но она доверилась «профессионалу-журналисту».
Лиза сообщает, что весь сбор информации занял около 9 месяцев. Нужно было получить доступ к ней или попросить коллег распечатать что-то, попросив не делать никаких отметок о распечатке.
Спустя какое-то время журналист заявил, что теперь у него есть все необходимое для работы над статьей и ему нужно время. Он предупредил, что уйдет на время из соцсети, чтобы сосредоточиться на написании текста. Затем и перуанская девушка решила, что испытывает огромный стресс и собирается провести время с семьей.
Это последнее, что сотрудница-англичанка слышала о «коллеге» и «журналисте». Информация о жестоком обращении с сотрудниками оказалась фикцией. Вся история была ложью.
Лиза, расследовавшая дело, говорит, что история тянулась так долго из-за грамотного поведения мошенников. Они все время повторяли: никому ничего не рассказывай, это расследование должно оставаться в секрете.
Лиза не раскрывает все свои выводы, но в данном случае, говорит она, аферу скорее всего провернула организованная преступная группа, которая затем перепродала полученные данные конкуренту.
Как компания может защитить себя от атак на инсайдеров
У любого человека есть слабости, на которые может давить злоумышленник. Сообщение, отправленное в нужное время и содержащее какую-то важную для конкретного человека информацию, ломает барьер недоверия.
Помимо мер адекватного контроля при разработке программы защиты от инсайдерских угроз Лиза предлагает обращать внимание на три аспекта.
Первое – это обучение сотрудников. Они должны знать, что злоумышленники могут атаковать самыми разными способами, в том числе так, как в истории про соцсети.
Второе – работать над улучшением условий труда. Недовольные сотрудники с большей вероятностью станут внутренней угрозой, чем счастливые. Важно выявлять сотрудников с проблемами и помогать им с ними справиться. На языке ИБ это исправление уязвимости.
Третья мера – это сдерживать чужаков за периметром, подобно тому, как LRAD не дает пиратам проникнуть на борт корабля. А уж если они проникли – иметь достаточные средства, чтобы провести расследование: понять, что было скомпрометировано, оценить ущерб и исправить ситуацию, сделав уроки над ошибками. К сожалению, говорит Лиза, компании не всегда инвестируют в это.