Небрежное или злонамеренное поведение тех, кто имеет законный доступ к вашим системам, может быть более разрушительным для вашей компании, чем усилия внешних злоумышленников. Глобальный отчет о стоимости инсайдерского риска за 2023 год, подготовленный Ponemon Institute, показывает, что инциденты кибербезопасности, вызванные инсайдерами из-за халатности, кражи учетных данных и злонамеренных действий, в среднем стоили $505 113, $679 621 и $701 500 на инцидент соответственно.

Хорошая новость заключается в том, что вы можете избежать инсайдерских рисков. Один из способов сделать это — научиться на реальных примерах кибератак, произошедших с другими организациями. В этой статье мы рассмотрим 10 недавних инцидентов в сфере кибербезопасности, которые повлияли на всемирно известные организации. Читайте дальше, чтобы узнать, как защитить свою компанию от различных типов инцидентов информационной безопасности, возникающих в результате фишинга, злоупотребления привилегиями, кражи инсайдерских данных и атак сторонних поставщиков.

10 самых известных инцидентов в сфере кибербезопасности

Ниже мы рассмотрим примеры инцидентов информационной безопасности, которые заслуживают особого внимания. Изучение этих реальных случаев может быть очень полезным для укрепления вашей системы кибербезопасности от внутренних угроз.

Атаки социальной инженерии: Mailchimp и Cisco

Злоумышленники могут легко замаскироваться под человека, которому вы доверяете.
Согласно отчету Data Breach Investigations Report за 2023 год от Verizon, на атаки социальной инженерии приходится 17% всех утечек данных и 10% инцидентов кибербезопасности, что делает социальную инженерию одним из трех самых распространенных векторов кибератак. Такие атаки нацелены на сотрудников организации, чтобы обманом заставить их раскрыть личную информацию. Если злоумышленникам удается взломать пароли сотрудников, защищающих корпоративные ресурсы, они могут получить несанкционированный доступ к критически важным данным и системам организации.

Mailchimp
В январе 2023 года Mailchimp, известная платформа для email-маркетинга и рассылок, обнаружила неавторизованного пользователя в своей инфраструктуре. Они заявили, что злоумышленник получил доступ к одному из инструментов, которые Mailchimp использует для администрирования учетных записей пользователей и поддержки клиентов.
Ранее злоумышленник нацелился на сотрудников Mailchimp и получил их учетные данные с помощью методов социальной инженерии. Впоследствии злоумышленник использовал скомпрометированные учетные данные для доступа к данным 133 аккаунтов Mailchimp. Mailchimp утверждает, что никакой конфиденциальной информации не было похищено, но взлом мог привести к утечке имен клиентов и адресов электронной почты.
Cisco 
В мае 2022 года Cisco, международная компания, занимающаяся цифровыми коммуникациями, узнала о злоумышленнике в своей сети. Внутреннее расследование показало, что злоумышленник провел серию сложных голосовых фишинговых атак, чтобы получить доступ к учетной записи Google сотрудника Cisco. Поскольку учетные данные сотрудника были синхронизированы в браузере, злоумышленник мог легко получить доступ к внутренним системам Cisco.
Получив первоначальный доступ, злоумышленник пытался остаться в сети Cisco как можно дольше и повысить свой уровень доступа. Однако команда безопасности Cisco успешно удалила злоумышленника из сети. Позже группировка злоумышленников Yanluowang разместила похищенные файлы на своем сайте. По словам представителей Cisco, этот взлом не повлиял на их деятельность.

Что мы можем узнать из этих инцидентов IT-безопасности?

Крайне важно обеспечить своевременное обнаружение и предотвращение злонамеренной активности для привилегированных учетных записей. Рассмотрите возможность внедрения решений, которые обеспечивают многофакторную аутентификацию (MFA), аналитику поведения пользователей и организаций (UEBA) и непрерывный мониторинг активности пользователей на различных виртуальных конечных точках, например Microsoft Hyper-V, Citrix и VMware Horizon.

Злоупотребление привилегиями: Международный Комитет Красного Креста (ICRC)

Иногда люди злоупотребляют предоставленными им привилегиями.
В организациях обычно есть много пользователей с повышенными привилегиями, таких как администраторы, технические специалисты и менеджеры. Некоторые из них имеют доступ только к определенным критически важным ресурсам, таким как конкретные базы данных или программы. Другие могут иметь полный доступ к каждой системе в сети и даже создавать новые привилегированные учетные записи, не привлекая ничьего внимания. Если привилегированные пользователи имеют зловредные намерения или были скомпрометированы, это может привести к утечке данных, финансовому мошенничеству, саботажу и другим серьезным последствиям.
К сожалению, трудно выявить, злоупотребляет ли пользователь с повышенными правами доступа своими привилегиями, поскольку злоумышленники часто умело скрывают свои действия.
Международный комитет Красного Креста (ICRC)
В январе 2022 года ICRC подвергся кибератаке и массовой утечке данных. По словам бывшего советника ICRC по вопросам кибервойны Лукаша Олейника, это был, вероятно, "самый большой и самый чувствительный взлом в истории ICRC и, возможно, учитывая чувствительность, всех гуманитарных организаций". В результате утечки были скомпрометированы данные более 515 000 уязвимых людей, разлученных со своими семьями из-за конфликтов, миграции и других катастроф.

Изначально было сделано предположение, что утечка данных произошла в результате атаки на одного из субподрядчиков организации. Однако расследование показало, что атака была направлена именно на серверы ICRC. Злоумышленники скомпрометировали привилегированные учетные записи, использовали методы перемещения по периметру для повышения своих привилегий и действовали под видом администраторов, чтобы получить конфиденциальные данные.
Что мы можем узнать из этого случая злоупотребления привилегиями?
Существуют различные способы, которыми организации могут успешно предотвращать инциденты, подобные кейсу Красного Креста. В частности, вы можете защитить привилегированные учетные записи вашей организации, включив MFA и требуя ручного утверждения запросов на доступ к наиболее важным активам.

Многие организации также имеют привилегированные учетные записи, которыми пользуются несколько человек, например аккаунты администратора или службы управления услугами. В этом случае вы можете использовать вторичную аутентификацию, чтобы различать отдельных пользователей учетных записей и их действия.

Детальная запись активности пользователей и тщательный аудит могут еще больше упростить процессы реагирования на нарушения данных и расследования инцидентов.

Утечка данных: Microsoft и авиакомпания Pegasus Airlines

Делать вещи частными — дорого; делать их публичными — бесплатно.
Организации прилагают много усилий и ресурсов для защиты данных. Однако иногда ошибка, небрежное поведение или недостаток внимания может означать, что все эти усилия были напрасными.

Непреднамеренные небрежные действия сотрудников - такие, как использование незащищенных устройств, неправильные настройки безопасности или непреднамеренный обмен данными - часто приводят к утечке данных. Если такое поведение заметить на ранней стадии, оно может не нанести вреда. Однако, когда ошибки обнаруживают злоумышленники, они имеют больше шансов проложить путь к утечке данных.
Microsoft
В сентябре 2023 года стало известно, что исследователи искусственного интеллекта Microsoft случайно выложили 38 терабайт частных данных во время публикации учебных данных с открытым кодом на GitHub. Обнародованные данные содержали конфиденциальную корпоративную информацию с рабочих станций двух сотрудников, такую как секреты, приватные ключи, пароли и более 30 000 внутренних сообщений Microsoft Teams.

Исследователи обменивались файлами с помощью токенов SAS от Azure, но они неправильно настроили систему и предоставили доступ ко всей учетной записи хранилища, а не к конкретным файлам.
Pegasus Airlines
В июне 2022 года авиакомпания Pegasus Airlines обнаружила ошибку в конфигурации одной из своих баз данных. Оказалось, что сотрудник авиакомпании неправильно настроил параметры безопасности и сделал доступными 6,5 терабайта ценных данных компании.

В результате неправильной конфигурации AWS-бакета 23 миллиона файлов с картами полетов, навигационными материалами и личной информацией экипажа стали доступными для публичного просмотра и изменения.
Что мы можем узнать из этих случаев утечки данных?
Чтобы ваши сотрудники не допускали подобных ошибок, обязательно проводите постоянные тренинги по кибербезопасности, а также разработайте политику безопасности в вашей компании. Убедитесь, что сотрудники, работающие с чувствительными конфигурациями, знают, как это делать правильно, и знакомы с лучшими практиками, чтобы избежать утечки данных.

Регулярный аудит безопасности может помочь вашей организации быстро выявить и устранить неправильные конфигурации или уязвимости в базах данных и системах. Регулярно проверяя безопасность своей инфраструктуры, вы можете предотвратить использование злоумышленниками пробелов в защите или ошибок сотрудников.

Включение мониторинга активности пользователей в облачных средах (таких как AWS или Microsoft Azure) также может помочь вам оперативно выявлять подозрительные события и реагировать на них, уменьшая риск похищения критически важных данных.

Кража данных инсайдерами: Tesla

Инсайдеры — это люди, которым мы склонны доверять.
В отличие от внешних хакеров, инсайдеры могут получить доступ к конфиденциальным данным организации и похитить их почти без усилий, если они имеют соответствующие разрешения. К таким инсайдерам могут относиться нынешние или бывшие работники, сторонние поставщики, партнеры и скомпрометированные пользователи.
Согласно отчету Data Breach Investigations Report от Verizon за 2023 год, инсайдеры могут воровать данные ради финансовой выгоды, с целью шпионажа, по идеологическим соображениям или из-за обиды. Для организаций кража инсайдерских данных может повлечь финансовые убытки, ущерб репутации, потерю доверия клиентов и юридические обязательства.
Tesla 
В мае 2023 года двое бывших сотрудников похитили и слили конфиденциальные данные компании Tesla немецкому изданию Handelsblatt. Расследование показало, что злоумышленники нарушили политику компании по IT-безопасности и защите данных, чтобы незаконно получить и разгласить 23 000 внутренних документов Tesla, что составляет почти 100 гигабайт конфиденциальной информации.
В результате произошла утечка личной информации 75 735 нынешних и бывших сотрудников Tesla, а компания оказалась под угрозой штрафа в размере 3,3 миллиарда долларов за недостаточную защиту данных.
Что мы можем узнать из этого примера кражи инсайдерских данных?

Первым шагом к защите конфиденциальных данных вашей организации является ограничение доступа к ним. Рассмотрите возможность внедрения принципа наименьших привилегий, чтобы установить надежное управление доступом и защитить ваши критические системы и ценные данные от возможной компрометации.
Мониторинг и аудит активности пользователей может помочь вашей команде кибербезопасности выявить подозрительное поведение сотрудников, например доступ к данным или услугам, не соответствующим их должности, использование общедоступных облачных хранилищ и приложений для передачи данных или отправку электронных писем с вложениями на частные аккаунты. Мониторинг активности пользователей также может помочь вам отслеживать загрузки, выгрузки файлов и операции с буфером обмена.
С помощью управления USB-устройствами вы можете регулировать использование внешних устройств в вашей организации и убедиться, что сотрудники не используют их для кражи конфиденциальной информации.

Кража интеллектуальной собственности: Apple, Yahoo

Коммерческая тайна является ключевой мишенью для киберпреступников.
Интеллектуальная собственность является одним из самых ценных видов данных, которыми владеет организация. Яркие идеи, инновационные технологии и сложные формулы дают бизнесу конкурентное преимущество. Неудивительно, что злоумышленники часто охотятся на коммерческую тайну своих жертв.
Apple
В мае 2022 года Apple подала в суд на Rivos, стартап по разработке микросхем, за якобы кражу коммерческой тайны после того, как Rivos уволила более 40 бывших сотрудников Apple. Apple утверждала, что по меньшей мере двое ее бывших инженеров забрали с собой гигабайты конфиденциальной информации перед тем, как присоединиться к Rivos.
Apple предполагает, что Rivos наняла бывших сотрудников Apple для работы над конкурирующей технологией "система на кристалле" (SoC). Apple потратила миллиарды долларов и более десяти лет исследований на создание дизайна SoC, который сейчас используется в iPhone, iPad и MacBook. Доступ к коммерческой тайне, связанной с SoC, существенно помог бы Rivos в конкурентной борьбе с Apple.
Yahoo
В феврале 2022 года старший научный сотрудник Yahoo Цянь Сан похитил интеллектуальную собственность компании через 45 минут после того, как получил предложение о работе от конкурента Yahoo — компании The Trade Desk. Через две недели после инцидента во время судебной экспертизы Yahoo обнаружила, что печально известный сотрудник загрузил 570 000 файлов со своего служебного ноутбука на два личных внешних накопителя.
Похищенные файлы содержали исходный код AdLearn - собственной технологии Yahoo для оптимизации рекламы на основе машинного обучения - а также другие файлы из репозиториев Yahoo на Github.
Что мы можем узнать из этих случаев кражи интеллектуальной собственности?
Защита интеллектуальной собственности начинается прежде всего с определения самой ценной такой собственности для вас, ее местонахождения, а также того, кто действительно нуждается в доступе к ней.
Если речь идет о технических специалистах, вы не можете не предоставить им доступ к соответствующим ресурсам. Однако это должны быть только те права доступа, которые необходимы для выполнения их работы. Рассмотрите возможность использования современных решений для управления доступом, чтобы предотвратить доступ неавторизованного персонала к вашей интеллектуальной собственности.

Вы можете обратиться к надежным инструментам мониторинга активности и анализа поведения пользователей и организаций (UEBA), чтобы усилить защиту интеллектуальной собственности вашей организации. Такие решения помогут вам выявить подозрительную активность в вашей сети, обеспечить быстрое реагирование на инциденты безопасности и собрать подробные доказательства для дальнейших расследований.
Рассмотрите возможность внедрения решений для предотвращения копирования или управления USB-устройствами, которые сделают невозможным копирование сотрудниками конфиденциальных данных или использование несанкционированных USB-устройств.

Атаки сторонних поставщиков: American Express, T-Mobile

Субподрядчики часто имеют такие же права доступа, как и внутренние пользователи.
Наличие сложной цепочки поставок с многочисленными субподрядчиками, поставщиками и сторонними услугами является нормой для организаций в наше время. Однако предоставление доступа третьим лицам к вашей сети связано с рисками для кибербезопасности. Одной из причин является то, что ваши третьи стороны не всегда соблюдают все необходимые процедуры безопасности. Таким образом, нет гарантии, что хакеры не воспользуются уязвимостями ваших поставщиков, чтобы получить доступ к активам вашей организации.
American Express
В марте 2024 года American Express сообщила своим клиентам, что сторонние лица получили доступ к конфиденциальной информации о клиентах из-за взлома в их торговом процессоре. Нарушение было вызвано успешной атакой на точки продаж.
American Express подчеркнула, что ее внутренние системы не были скомпрометированы во время инцидента. Однако, из-за взлома в торговом процессоре произошла утечка конфиденциальных данных клиентов American Express, таких как имена, текущие и прежние номера счетов, а также даты окончания срока действия карт.
T-Mobile
В январе 2023 года телекоммуникационный провайдер T-Mobile обнаружил опасную активность в своих системах. Оказалось, что злоумышленник злоупотреблял одним из API, который был частью цепочки поставок T-Mobile. В период с 25 ноября 2022 года по 5 января 2023 года злоумышленник смог похитить персональные данные из 37 миллионов учетных записей клиентов.
Представители T-Mobile заявили, что похищенная информация не содержала идентификационных номеров, налоговых идентификаторов, паролей и PIN-кодов, информации о платежных картах или каких-либо других финансовых данных. Однако инцидент все же скомпрометировал платежные адреса, электронные адреса, номера телефонов, даты рождения и номера счетов абонентов T-Mobile.
Что мы можем узнать из этих примеров нарушений кибербезопасности?
Некоторые из этих инцидентов можно было бы предотвратить с помощью надлежащих практик управления киберрисками третьих сторон.
Выбирая стороннего поставщика, обратите внимание на его политику кибербезопасности, а также на законы и правила, которых он придерживается. Если потенциальный субподрядчик или поставщик услуг не знаком с вашими жизненно важными мерами кибербезопасности, подумайте о том, чтобы добавить соответствующее требование в договор о предоставлении услуг.
Ограничьте доступ субподрядчиков к вашим критически важным данным и системам до уровня, необходимого для выполнения их работы. Для усиления защиты наиболее важных активов применяйте дополнительные меры кибербезопасности, такие как MFA, ручное утверждение входа в систему и управление привилегированным доступом "just-in-time".
Регулярный аудит безопасности API может помочь выявить уязвимости и слабые места в реализации API. Таким образом, вы сможете минимизировать риски, связанные с интеграцией со сторонними сервисами.
Рассмотрите возможность развертывания решений для мониторинга, чтобы видеть, кто и что делает с вашими критически важными данными. Хранение записей активности пользователей сторонних сервисов позволяет проводить быстрые и тщательные аудиты кибербезопасности и расследования инцидентов.