Эксперты Dtex изучили особенности инсайдерской угрозы для современных организаций. Как выяснилось, за прошедший год корпоративные пользователи стали нарушать установленный порядок обращения с информацией в полтора раза чаще, и сегодня правилами защиты пренебрегает абсолютное большинство сотрудников.

Исследование охватило более 300 тыс. аккаунтов на рабочих компьютерах в Северной Америке, Европе и Азиатско-Тихоокеанском регионе. Нарушения обнаружились в 100% случаев — пользователи устанавливали недопустимое ПО, копировали конфиденциальную информацию на незащищенные носители, отправляли данные на личные электронные адреса. Многие сотрудники обеспечивали себе недопустимый уровень привилегий, чтобы установить торрент-клиент, скрыть нежелательную активность или обойти другие ограничения.

Еще год назад случаи недопустимого копирования информации были обнаружены на 60% корпоративных компьютеров. Сегодня эта цифра приблизилась к 95%, причем сотрудники стали использовать больше различных способов передачи данных. Конфиденциальные сведения выносят на флешках, заливают в облачные хранилища и на файлообменники, отправляют на личные адреса электронной почты.

Аналитики выделили три причины, по которым сотрудники нарушают существующие правила обращения с данными. Наиболее распространенный мотив — пренебрежительное отношение к ограничениям и рекомендациям отдела информационной безопасности, желание «срезать углы» и упростить свою работу. Эти причины спровоцировали 64% инцидентов.

В настоящий момент немногим организациям удается отслеживать выполнение установленных правил. Если пользователю неудобно работать должным образом, а наказание представляется маловероятным, он предпочитает простой, хотя и небезопасный путь.

Вторая по популярности причина — это осознанное желание причинить вред. Следы таких злоупотреблений обнаружились на 23% изученных компьютеров. Аналитики подчеркивают, что подобные случаи чаще всего связаны с установкой опасного ПО или такими серьезными нарушениями, как отключение корпоративного VPN. Наконец, 13% инсайдерских утечек происходят, когда злоумышленники взламывают аккаунт одного из сотрудников и действуют от его лица.

За прошедший год пользователи стали на 20% чаще публиковать корпоративную информацию на облачных сервисах вроде Google Drive, Dropbox и Sharepoint. В 98% случаев аналитикам удалось найти в открытом доступе самые разные конфиденциальные материалы, в том числе предложения для клиентов, данные финансовых и HR-отделов, включая конфиденциальные сведения сотрудников.

Примечательно, что три четверти нарушений так или иначе связаны с желанием сотрудников работать удаленно в удобное время. Для этого они копируют необходимые материалы, устанавливают системы удаленного доступа, меняют настройки компьютера. Эксперты указывают, что даже если такие действия объясняются желанием повысить свою продуктивность, за первым нарушением часто следуют другие, каждое из которых снижает уровень защищенности организации.

Почти на 100% изученных компьютеров обнаружились случаи выгрузки данных в преддверии увольнения сотрудников. Количество таких инцидентов за год выросло на 59 п. п. Чаще всего пользователи выгружают ценные материалы, подготавливая себе почву для перехода на новое место.

Нарушители правил безопасности, в особенности злонамеренные, чаще всего начинают с разведки, определяя ценность доступных им данных. На втором этапе атаки пользователи собирают нужную информацию в одном месте. Далее злоумышленник переносит материалы на личный носитель и заметает следы.

Авторы указывают, что злоупотребления с корпоративной информацией можно отслеживать по косвенным признакам и пресекать на раннем этапе. ИБ-специалистам стоит обращать внимание на сотрудников, которые начинают активно посещать сетевые хранилища или запускать новые приложения.

В 2018 году аналитики Positive Technologies провели 30 тестов на проникновение в корпоративную среду компаний. Как показали результаты, инсайдерской угрозе не могла противодействовать ни одна компания, и исследователи смогли получить неограниченный доступ к бизнес-данным.

Категории: Аналитика, Кибероборона