Колонки

Базы данных компаний все чаще воруют. Вот конкретные действия, которые помогут этого избежать

Колонки
Олег Деров
Олег Деров

Руководитель отдела исследования киберпреступности Threat Intelligence, Group-IB

Анастасия Удальцова

В мае и в начале июня в даркнет попали свыше 600 млн строк конфиденциальной информации российских компаний, а в июле очередная утечка данных затронула практически 25 млн человек. В открытом доступе оказались паспортные данные клиентов и даже результаты медицинских анализов. 

Этого можно бы было избежать, если бы бизнес уделял больше внимания безопасности собственных цифровых активов. О том, как компаниям защитить свои базы от кражи и сохранить доверие клиентов, рассказал Олег Деров, руководитель отдела исследования киберпреступности Threat Intelligence компании Group-IB.

Базы данных компаний все чаще воруют. Вот конкретные действия, которые помогут этого избежать

Злоумышленники поменяли тактику

Наши эксперты подсчитали: за два месяца на теневые форумы попало более полусотни баз данных различных компаний. Из 50 выложенных за последнее время особенно масштабными оказались 19, где суммарное число строк данных превысило 600 млн.

Пострадали компании в сфере интернет-торговли, логистики, онлайн-образования: стало известно, как зовут их клиентов, где они живут, какие у них интересы — в сеть попала самая личная информация.

Примечательно, что у злоумышленников в последнее время кардинально изменились мотивы. Если раньше они стремились заработать, продавая данные в даркнете, то сейчас выкладывают их для бесплатного скачивания.

Теперь интерес состоит в том, чтобы нанести максимальный ущерб компаниям и их клиентам, а не получить материальную выгоду.

С другой стороны, компрометация крупной компании прибавляет злоумышленникам веса, пополняя их криминальное «портфолио» новыми кейсами. Больше жертв среди крупных компаний — выше уровень мастерства, а значит, больше заказов в будущем. 

Еще одна тенденция — все больше утекших данных оказывается актуальными. Если раньше преступники пытались обмануть покупателей, выставляя под видом крупных утечек на продажу в даркнете старые неактуальные базы или доступную всем информацию, сейчас появляется все больше актуальных данных.

Снова саботаж, ничего личного. 

По данным IBM, в 2021 году примерная сумма ущерба компании от потери информации выросла с $3,86 млн до $4,24 млн.

 

Слабые места

Среди основных причин увеличения числа утечек данных можно выделить следующие: 

  • низкая защищенность цифровых активов; 
  • повышенная активность хакеров и хактивистов с конца февраля в целом;
  • действия инсайдеров — сотрудников, имеющих доступ к базам данных;
  • халатность руководства в отношении систем безопасности.

Весной наши специалисты выявили около 400 тыс. баз данных в публичном пространстве. 7 500 имели отношение к российским компаниям.

Основная проблема такого стремительного роста количества утечки данных, по мнению наших экспертов, заключается в легкой доступности к цифровым активам компаний.

Подавляющее большинство киберпреступных эпизодов, рассмотренных нами в 2021 году, стали возможны из-за низкой защищенности инфраструктуры.


Читайте по теме:

Защита от кибератак: как действовать компаниям?

«Средний размер выкупа — $247 000». Киберкриминалист — о мотивации хакеров и атаках на российские компании


Инциденты могли бы не случиться, если бы компании располагали инструментами проверки своих цифровых ресурсов на предмет возможных рисков и уделяли внимание разным внутренним аспектам безопасности.

Незащищенными корпоративными цифровыми активами можно назвать, например, забытые облачные сервисы с уязвимым софтом, некорректно настроенные базы данных, скачанные из сети, или веб-серверы, которые сотрудники развернули сами.

«Зацепившись» за такие активы, киберпреступники способны проникнуть внутрь системы и скопировать данные компании.

Стать востребованным специалистом по кибербезопасности можно, выбрав онлайн-курс в каталоге курсов по информационной безопасности.

Утечка данных происходит по весьма банальным причинам. Например, по неосторожности сотрудника, когда он открыл письмо с вредоносной программой. Именно поэтому доступ к конфиденциальной информации специалисты советуют доверять только самым надежным, ответственным сотрудникам, действующим по регламенту.

Проблема может заключаться и в халатности руководства, которое не уделяет должного внимания контролю за сохранностью данных.

Сегодня на рынке представлены доступные средства, позволяющие вовремя выявить угрозу и минимизировать риски. И именно руководство должно устанавливать четкие правила пользования базой данных и следить за их выполнением, но этого часто не происходит.

Такими упущениями зачасутю пользуются киберпреступники. 

 

Как компании защитить базы данных от злоумышленников

Вот набор простых правил, которые позволят сохранить уязвимую информацию. 

 

Ограничиваем доступ в систему

Важно ужесточить доступ сотрудников к базе данных. Они должны подключаться к ней только по «пригласительным» — вейтлистам (их IP-адрес должен быть в списке адресов, которым доступ разрешен).

Для всех остальных соединение должно прерываться моментально при попытке подключения. 

 

Ведем строгую парольную политику

Доступ должен предоставляться только по паролю, при этом обязательно изменять стандартные пароли, которые автоматически ставят после установки базы (root, toor, и т. д.).

Руководителям стоит внедрить «парольные политики» — требовать от всех сотрудников, которые имеют доступ к базе данных, устанавливать надежные пароли, причем менять их время от времени.

В это сложно поверить, но в условиях роста опасности утечек в мире существует огромное количество баз данных, вообще не защищенных паролем.

 

Ограничиваем возможности доступа

Все пользователи внутри базы данных должны иметь ограниченные возможности, касающиеся только их должностных задач — если сотруднику необходимо получить только информацию о совершенных покупках клиента, он не должен видеть остальные данные, например, его имя и фамилию.

Проблема нередко кроется в том, что в ИТ-сфере очень часто можно встретить переработки и задачи с максимально сжатыми сроками, что оборачивается разными проблемами.

Допустим, в компании появился новый проект, в котором необходимо получать данные о времени совершенной продажи для будущего анализа. Администратор базы данных вместо грамотной настройки ролей попросту создает нового пользователя и выдает ему права и на чтение, и на запись, причем не только для нужного параметра, а вообще для всех данных.

Если произойдет атака на компанию, и она придется именно на этот проект, злоумышленники сразу же смогут получить полную копию всей базы, перезаписать все данные в ней и остановить процесс работы компании.

В таких случаях злоумышленники вымогают деньги у компании за полученную информацию.

 

Резервные копии храним на отдельных серверах 


Нельзя хранить бэкапы базы данных и конфигурационные файлы в корневой папке. Их необходимо держать на отдельных серверах с ограниченным доступом.

В противном случае злоумышленники могут завладеть логином и паролем от аккаунта администратора. Получив права администратора, они способны причинить компании любой вред

 

Отслеживаем действия участников системы

Важно сохранять информацию о любых действиях пользователя в системе: кто, что и когда сделал тот или иной сотрудник.

Так можно заметить, что пользователь начал среди ночи или в выходной читать базу — что может быть признаком, что аккаунт взломан и по ночам хакеры копируют данные. 

 

Проверяем все, что устанавливаем 

Стоит тщательно проверять, какие плагины устанавливаются на сайт: они могут быть инфицированы.

Существует отдельный вектор атак, когда злоумышленники пытаются перехватить управление над популярными плагинами. Они изменяют исходный код и выпускают плагин под видом новой версии. После ее установки вредоносный код встраивается в сайт.

Далее внутрь сайта может быть встроен майнер или установлен вебшелл.

Такие «инородные» программы позволят злоумышленникам в будущем полностью перехватить контроль над всем сервером, а не только над сайтом.

 

Вовремя обновляем ПО

Не менее важно своевременно обновлять программное обеспечение.

Своевременное обновление ПО гарантирует, что компания использует наиболее актуальную версию без багов и уязвимостей.


Читайте также:

Как анализ данных поможет усилить позиции бизнеса в условиях хаоса

Как подружить разработку и безопасность в рамках одной компании?


 

Регулярно проверяем системы

Время от времени стоит проводить аудит безопасности всего сайта. Методы и техники атакующих постоянно совершенствуются, злоумышленники используют новые инструменты и векторы атак, которые не детектируются стандартными средствами защиты. 

 

Обращаемся к современным решениям

Для более качественного аудита необходимо обращаться к профессиональным компаниям, которые досконально исследуют сеть и оценивают степень ее защиты.

Сегодня на рынке существует ряд решений, с которыми можно вовремя выявить угрозу и минимизировать риски.

Есть продукты, которые обеспечивают полный мониторинг всех доступных извне цифровых активов организации, выявляют риски, ранжируют их, что экономит рабочие силы компании. 


Фото на обложке: Audio und werbung / Shutterstock

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Подписали госконтракт, а потом пришла повестка: что вы делаете не так? Основные ошибки при работе с госзаказчиком
  2. 2 Что делать, если заказчик отсеивает поставщиков
  3. 3 Недобросовестный заказчик хочет присвоить код? Вот несколько правил, чтобы этого не допустить
  4. 4 Защита от кибератак: как действовать компаниям?
  5. 5 3 темы, которые сейчас используют телефонные мошенники: как распознать злоумышленников