Вылетят с «птичкой»: для промышленных шпионов создали новые ловушки | Статьи

Инсайдера в компании или хакера, который атакует сайт извне, можно выявить при помощи так называемых канареек — маленьких закладок, которые размещают в определенных файлах. Об этом «Известиям» рассказали в «Лаборатории Касперского». Как только кто-то заходит на страницу с закладкой, «птичка» сигнализирует об этом службе безопасности, которая получает подробную информацию о пользователе. Существуют сайты-конструкторы, где можно самостоятельно собрать целую «стаю птиц». На сегодняшний день «канарейки» являются самым дешевым методом информационной защиты.

По цифровым следам: в РФ раскрывается лишь четверть киберпреступлений

К 2023 году 30% нарушений Уголовного кодекса может перетечь в Сеть

По ком поет «канарейка»

В информационной безопасности появилось большое направление, позволяющее обнаружить злоумышленников с помощью специальных приманок, которые размещают в определенных файлах абсолютно разной направленности. Их применение позволяет эффективно вычислять инсайдеров и блокировать атаки хакеров извне.

Эти закладки принято называть канарейками (canary). Ассоциация с птичкой обусловлена тем, что по размеру они очень малы, то есть представляют собой не полноценные ловушки, а просто метки на документах. Если же нарушитель обнаружен, то они «звонко поют», сообщая об опасности. Одно из первых упоминаний о данном методе было в романе Тома Клэнси «Игры патриотов».Также в нем рассказывалось о «ловушках для канареек» как о способе выявления утечек информации путем распространения разных версий конфиденциального документа. Подобный метод поиска еще называют тестом бариевой каши (barium meal test).

— В любой компании, которая заботится о безопасности своих документов, таких «канареек» может быть несколько сотен, — сообщил «Известиям» ведущий антивирусный эксперт «Лаборатории Касперского» Сергей Голованов. — Их закладывают в списки клиентов, номера счетов, в сетевые хранилища и т.д.

Фото: Depositphotos

Канарейка может быть ссылкой в интернете, ее можно вставить в документ (Word, PDF), изображение, email-адрес, сетевую папку или внедрить в имена и пароли пользователей или специальные программы, например, *.exe файл. Секретные «птицы» могут охранять серверы, базы данных, облачные хранилища и т.д.

Форекс для утекающих: данные о валютных торговцах ушли в интернет

В слитой из мобильного приложения базе нашлись сведения о 56 тыс. россиян

Служба безопасности организации в онлайн-режиме получает информацию от ловушек. Как только запрашивается подставной файл, запускается помеченная программа или идет запрос на имя определенного пользователя, служба безопасности тут же получает уведомление по электронной почте или в мессенджер. После этого инцидент считается зарегистрированным и начинается сбор дополнительной информации.

Птичий конструктор

В интернете существуют платформы, где любой желающий может сконструировать такую «птичку» для своих надобностей.

— Суть их в том, чтобы правильным образом сгенерировать детектирующие компоненты, используемые на конечных ПК или серверах, — пояснил Алексей Парфентьев, руководитель отдела аналитики компании «СёрчИнформ», специализирующейся на информационнной безопасности. — То есть подготовить программу под специфику в зависимости от того, что ей предстоит делать: определять обращение к базе данных, к определенной папке и т.д.

Однако к данном способу прибегают только небольшие компании, и крайне редко — банки. Там для обнаружения утечек и хакерских атак используют куда более технологичные инструменты: DLP (для детектирования работы с конфиденциальными данными) и SIEM (для обработки логов безопасности) — таковы рекомендации регулятора, Центрального банка. Кроме того, банковские ИБ-системы должны быть сертифицированы, чего об облачных цифровых конструкторах сказать нельзя.

Фото: РИА Новости/Сергей Кузнецов

— «Канарейки» больше полезны небольшим компаниям, ограниченным в развертывании средств киберзащиты и мониторинга угроз, — пояснил руководитель отдела аналитики и спецпроектов ГК Infowatch Андрей Арсентьев. — Если проводить аналогию с защитой частного дома, явно недостаточно посадить при входе в него чуткую «птичку», которая криками станет сигнализировать владельцу о приближении чужаков. Для надежной безопасности нужны еще хорошие замки, системы охраны и сторожевая собака.

Всё про спам: в РФ распространяется новый метод воровства персональных данных

Маркетологи научились определять номера пользователей, заходящих на сайт со смартфона

Поэтому для борьбы со шпионами-инсайдерами, считает эксперт, правильнее всего использовать развитые DLP-системы, у которых, например, есть модули, предназначенные для изучения поведенческих характеристик сотен и тысяч сотрудников и для выявления аномалий в их поведении. Такими аномалиями могут быть внезапно изменившееся время прихода-ухода с работы, резко участившиеся контакты с теми людьми, с которыми раньше их было мало, и др.

Хакер не дремлет

Кроме того, квалифицированный хакер может легко поймать подставную «птичку». Ведь сервисы-конструкторы доступны как специалистам по информационной безопасности, так и злоумышленникам — никакого секрета в их работе нет ни для одной из сторон. Впрочем, злоумышленник обычно понимает, что за обращением к чувствительной информации всегда ведется пристальное наблюдение.

Фото: Depositphotos

— Хакер может или удалить, или временно блокировать такую «канарейку», — отметил Алексей Парфентьев. — В ряде случаев они просто разрывают связь с сервером, пересылающим уведомление, то есть система сработает, но служба информационной безопасности не получит «алерт» — уведомление о сработавшем капкане.

Впрочем, «система птичек» остается эффективным средством борьбы с утечками и обнаружением хакерских атак, а также самым дешевым инструментом, которым может воспользоваться практически любая компания.