Недбала або зловмисна поведінка тих, хто має законний доступ до ваших систем, може бути більш руйнівною для вашої компанії, ніж зусилля зовнішніх зловмисників. Глобальний звіт про вартість інсайдерського ризику за 2023 рік, підготовлений Ponemon Institute, показує, що інциденти кібербезпеки, спричинені інсайдерами через недбалість, крадіжку облікових даних та зловмисні наміри, в середньому коштували $505 113, $679 621 та $701 500 на інцидент відповідно.

Хороша новина полягає в тому, що ви можете уникнути інсайдерських ризиків. Один зі способів зробити це - навчитися на реальних прикладах кібератак, що сталися з іншими організаціями. У цій статті ми розглянемо 10 нещодавніх інцидентів у сфері кібербезпеки, які вплинули на всесвітньо відомі організації. Читайте далі, щоб дізнатися, як захистити свою компанію від різних типів інцидентів інформаційної безпеки, що виникають внаслідок фішингу, зловживання привілеями, крадіжки інсайдерських даних та атак сторонніх постачальників.

10 найвідоміших інцидентів у сфері кібербезпеки

Нижче ми розглянемо приклади інцидентів інформаційної безпеки, які заслуговують на особливу увагу. Вивчення цих реальних випадків може бути дуже корисним для зміцнення вашої системи кібербезпеки від внутрішніх загроз.

Атаки соціальної інженерії: Mailchimp та Cisco

Зловмисники можуть легко замаскуватися під людину, якій ви довіряєте.
Згідно зі звітом Data Breach Investigations Report за 2023 рік від Verizon, на атаки соціальної інженерії припадає 17% усіх витоків даних і 10% інцидентів кібербезпеки, що робить соціальну інженерію одним з трьох найпоширеніших векторів кібератак. Такі атаки націлені на співробітників організації, щоб обманом змусити їх розкрити особисту інформацію. Якщо зловмисникам вдається зламати паролі співробітників, що захищають корпоративні ресурси, вони можуть отримати несанкціонований доступ до критично важливих даних і систем організації.

Mailchimp
У січні 2023 року Mailchimp, відома платформа для email-маркетингу та розсилок, виявила неавторизованого користувача у своїй інфраструктурі. Вони заявили, що зловмисник отримав доступ до одного з інструментів, які Mailchimp використовує для адміністрування облікових записів користувачів та підтримки клієнтів.
Раніше зловмисник націлився на співробітників Mailchimp і отримав їхні облікові дані за допомогою методів соціальної інженерії. Згодом зловмисник використав скомпрометовані облікові дані для доступу до даних 133 акаунтів Mailchimp. Mailchimp стверджує, що ніякої конфіденційної інформації не було викрадено, але злом міг призвести до витоку імен клієнтів та адрес електронної пошти.
Cisco 
У травні 2022 року Cisco, міжнародна компанія, що займається цифровими комунікаціями, дізналася про зловмисника у своїй мережі. Внутрішнє розслідування показало, що зловмисник провів серію складних голосових фішингових атак, щоб отримати доступ до облікового запису Google співробітника Cisco. Оскільки облікові дані співробітника були синхронізовані в браузері, зловмисник міг легко отримати доступ до внутрішніх систем Cisco.
Отримавши початковий доступ, зловмисник намагався залишитися в мережі Cisco якомога довше і підвищити свій рівень доступу. Однак команда безпеки Cisco успішно видалила зловмисника з мережі. Пізніше угрупування зловмисників Yanluowang розмістило викрадені файли на своєму сайті. За словами представників Cisco, цей злам не вплинув на їхню діяльність.

Що ми можемо дізнатися з цих інцидентів ІТ-безпеки?

Вкрай важливо забезпечити своєчасне виявлення та запобігання зловмисній активності для привілейованих облікових записів. Розгляньте можливість впровадження рішень, які забезпечують багатофакторну автентифікацію (MFA), аналітику поведінки користувачів і організацій (UEBA) і безперервний моніторинг активності користувачів на різних віртуальних кінцевих точках, наприклад, Microsoft Hyper-V, Citrix і VMware Horizon.

Зловживання привілеями: Міжнародний Комітет Червоного Хреста (ICRC)

Іноді люди зловживають наданими їм привілеями.

В організаціях зазвичай є багато користувачів з підвищеними привілеями, таких як адміністратори, технічні спеціалісти та менеджери. Деякі з них мають доступ лише до певних критично важливих ресурсів, як конкретні бази даних або програми. Інші можуть мати повний доступ до кожної системи в мережі і навіть створювати нові привілейовані облікові записи, не привертаючи нічиєї уваги. Якщо привілейовані користувачі мають зловмисні наміри або були скомпрометовані, це може призвести до витоку даних, фінансового шахрайства, саботажу та інших серйозних наслідків.

На жаль, важко виявити, чи зловживає користувач з підвищеними правами доступу своїми привілеями, оскільки зловмисники часто вміло приховують свої дії.

Міжнародний комітет Червоного Хреста (ICRC)

У січні 2022 року ICRC зазнав кібератаки та масового витоку даних. За словами колишнього радника ICRC з питань кібервійни Лукаша Олійника, це був, ймовірно, "найбільший і найчутливіший злом в історії ICRC і, можливо, з огляду на чутливість, всіх гуманітарних організацій". В результаті витоку було скомпрометовано дані понад 515 000 вразливих людей, розлучених зі своїми сім'ями через конфлікти, міграцію та інші катастрофи.

Спочатку було зроблено припущення, що витік даних стався в результаті атаки на одного з субпідрядників організації. Однак розслідування показало, що атака була спрямована саме на сервери ICRC. Зловмисники скомпрометували привілейовані облікові записи, використовували методи переміщення по периметру для підвищення своїх привілеїв і діяли під виглядом адміністраторів, щоб отримати конфіденційні дані.

Що ми можемо дізнатися з цього випадку зловживання привілеями?

Існують різні способи, якими організації можуть успішно запобігати інцидентам, подібним до того, з яким зіткнувся Червоний Хрест. Зокрема, ви можете захистити привілейовані облікові записи вашої організації, увімкнувши MFA і вимагаючи ручного затвердження запитів на доступ до найбільш важливих активів.

Багато організацій також мають привілейовані облікові записи, якими користуються кілька людей, наприклад, акаунти адміністратора або служби управління послугами. У цьому випадку ви можете використовувати вторинну автентифікацію, щоб розрізняти окремих користувачів облікових записів і їхні дії.

Детальний запис активності користувачів і ретельний аудит можуть ще більше спростити процеси реагування на порушення даних і розслідування інцидентів.

Витік даних: Microsoft та авіакомпанія Pegasus Airlines

Робити речі приватними - дорого; робити їх публічними - безплатно.
Організації докладають багато зусиль і ресурсів для захисту даних. Однак іноді помилка, недбала поведінка або брак уваги може означати, що всі ці зусилля були марними.
Ненавмисні недбалі дії співробітників — такі як використання незахищених пристроїв, неправильні налаштування безпеки або ненавмисний обмін даними — часто призводять до витоку даних. Якщо таку поведінку помітити на ранній стадії, вона може не завдати шкоди. Однак, коли помилки виявляють зловмисники, вони мають більше шансів прокласти шлях до витоку даних.
Microsoft
У вересні 2023 року стало відомо, що дослідники штучного інтелекту Microsoft випадково виклали 38 терабайтів приватних даних під час публікації навчальних даних з відкритим кодом на GitHub. Оприлюднені дані містили конфіденційну корпоративну інформацію з робочих станцій двох співробітників, таку як секрети, приватні ключі, паролі та понад 30 000 внутрішніх повідомлень Microsoft Teams.
Дослідники обмінювалися файлами за допомогою токенів SAS від Azure, але вони неправильно налаштували систему і надали доступ до всього облікового запису сховища, а не до конкретних файлів.
Pegasus Airlines
У червні 2022 року авіакомпанія Pegasus Airlines виявила помилку в конфігурації однієї зі своїх баз даних. Виявилося, що співробітник авіакомпанії неправильно налаштував параметри безпеки і зробив доступними 6,5 терабайта цінних даних компанії.
У результаті неправильної конфігурації AWS-бакета 23 мільйони файлів з картами польотів, навігаційними матеріалами та особистою інформацією екіпажу стали доступними для публічного перегляду і зміни.
Що ми можемо дізнатися з цих випадків витоку даних?
Щоб ваші співробітники не припускалися подібних помилок, обов'язково проводьте постійні тренінги з кібербезпеки, а також розробіть політику безпеки у вашій компанії. Переконайтеся, що співробітники, які працюють з чутливими конфігураціями, знають, як це робити правильно, та обізнані з найкращими практиками, щоб уникнути витоку даних.
Регулярний аудит безпеки може допомогти вашій організації швидко виявити та усунути неправильні конфігурації або вразливості в базах даних і системах. Регулярно перевіряючи безпеку своєї інфраструктури, ви можете запобігти використанню зловмисниками прогалин у захисті або помилок співробітників.
Увімкнення моніторингу активності користувачів у хмарних середовищах (таких як AWS або Microsoft Azure) також може допомогти вам оперативно виявляти підозрілі події та реагувати на них, зменшуючи ризик викрадення критично важливих даних.

Крадіжка даних інсайдерами: Tesla

Інсайдери — це люди, яким ми схильні довіряти.
На відміну від зовнішніх хакерів, інсайдери можуть отримати доступ до конфіденційних даних організації та викрасти їх майже без зусиль, якщо вони мають відповідні дозволи. До таких інсайдерів можуть належати нинішні або колишні працівники, сторонні постачальники, партнери та скомпрометовані користувачі.
Згідно зі звітом Data Breach Investigations Report від Verizon за 2023 рік, інсайдери можуть красти дані заради фінансової вигоди, з метою шпигунства, з ідеологічних міркувань або через образу. Для організацій крадіжка інсайдерських даних може спричинити фінансові збитки, шкоду репутації, втрату довіри клієнтів та юридичні зобов'язання.
Tesla 
У травні 2023 року двоє колишніх співробітників викрали та злили конфіденційні дані компанії Tesla німецькому виданню Handelsblatt. Розслідування показало, що зловмисники порушили політику компанії щодо ІТ-безпеки та захисту даних, щоб незаконно отримати та розголосити 23 000 внутрішніх документів Tesla, що становить майже 100 гігабайт конфіденційної інформації.
В результаті стався витік особистої інформації 75 735 нинішніх і колишніх співробітників Tesla, а компанія опинилася під загрозою штрафу в розмірі 3,3 мільярда доларів за недостатній захист даних.
Що ми можемо дізнатися з цього прикладу крадіжки інсайдерських даних?
Першим кроком до захисту конфіденційних даних вашої організації є обмеження доступу до них. Розгляньте можливість впровадження принципу найменших привілеїв, щоб встановити надійне управління доступом і захистити ваші критичні системи та цінні дані від можливої компрометації.

Моніторинг та аудит активності користувачів може допомогти вашій команді кібербезпеки виявити підозрілу поведінку співробітників, наприклад, доступ до даних або послуг, що не відповідають їхній посаді, використання загальнодоступних хмарних сховищ і додатків для передавання даних або надсилання електронних листів з вкладеннями на приватні акаунти. Моніторинг активності користувачів також може допомогти вам відстежувати завантаження, вивантаження файлів і операції з буфером обміну.

За допомогою керування USB-пристроями ви можете регулювати використання зовнішніх пристроїв у вашій організації і переконатися, що співробітники не використовують їх для крадіжки конфіденційної інформації.

Крадіжка інтелектуальної власності: Apple, Yahoo

Комерційна таємниця є ключовою мішенню для кіберзлочинців.
Інтелектуальна власність є одним з найцінніших видів даних, якими володіє організація. Яскраві ідеї, інноваційні технології та складні формули дають бізнесу конкурентну перевагу. Не дивно, що зловмисники часто полюють на комерційну таємницю своїх жертв.
Apple
У травні 2022 року Apple подала до суду на Rivos, стартап з розробки мікросхем, за нібито крадіжку комерційної таємниці після того, як Rivos звільнила понад 40 колишніх співробітників Apple. Apple стверджувала, що щонайменше двоє її колишніх інженерів забрали з собою гігабайти конфіденційної інформації перед тим, як приєднатися до Rivos.
Apple припускає, що Rivos найняла колишніх співробітників Apple для роботи над конкуруючою технологією "система на кристалі" (SoC). Apple витратила мільярди доларів і більше десяти років досліджень на створення дизайну SoC, який зараз використовується в iPhone, iPad і MacBook. Доступ до комерційної таємниці, пов'язаної з SoC, суттєво допоміг би Rivos у конкурентній боротьбі з Apple.
Yahoo
У лютому 2022 року старший науковий співробітник Yahoo Цянь Сан викрав інтелектуальну власність компанії через 45 хвилин після того, як отримав пропозицію про роботу від конкурента Yahoo — компанії The Trade Desk. Через два тижні після інциденту під час судової експертизи Yahoo виявила, що сумнозвісний співробітник завантажив 570 000 файлів зі свого службового ноутбука на два особистих зовнішніх накопичувача.
Викрадені файли містили вихідний код AdLearn — власної технології Yahoo для оптимізації реклами на основі машинного навчання — а також інші файли з репозиторіїв Yahoo на Github.
Що ми можемо дізнатися з цих випадків крадіжки інтелектуальної власності?
Захист інтелектуальної власності починається насамперед з визначення найціннішої такої власності для вас, її місцерозташування, а також того, хто справді потребує доступу до неї.
Якщо йдеться про технічних спеціалістів, ви не можете не надати їм доступу до відповідних ресурсів. Однак, це мають бути лише ті права доступу, які необхідні для виконання їхньої роботи. Розгляньте можливість використання сучасних рішень для управління доступом, щоб запобігти доступу неавторизованого персоналу до вашої інтелектуальної власності.

Ви можете звернутися до надійних інструментів моніторингу активності та аналізу поведінки користувачів і організацій (UEBA), щоб посилити захист інтелектуальної власності вашої організації. Такі рішення допоможуть вам виявити підозрілу активність у вашій мережі, забезпечити швидке реагування на інциденти безпеки та зібрати детальні докази для подальших розслідувань.
Розгляньте можливість впровадження рішень для запобігання копіюванню або управління USB-пристроями, які унеможливлять копіювання співробітниками конфіденційних даних або використання несанкціонованих USB-пристроїв.

Атаки сторонніх постачальників: American Express, T-Mobile

Субпідрядники часто мають такі ж права доступу, як і внутрішні користувачі.

Наявність складного ланцюжка поставок з численними субпідрядниками, постачальниками та сторонніми послугами є нормою для організацій в наш час. Однак надання доступу третім особам до вашої мережі пов'язане з ризиками для кібербезпеки. Однією з причин є те, що ваші треті сторони не завжди дотримуються всіх необхідних процедур безпеки. Тому немає гарантії, що хакери не скористаються вразливостями ваших постачальників, щоб отримати доступ до активів вашої організації.

American Express

У березні 2024 року American Express повідомила своїм клієнтам, що сторонні особи отримали доступ до конфіденційної інформації про клієнтів через злом у їхньому торговому процесорі. Порушення було спричинене успішною атакою на точки продажу.

American Express підкреслила, що її внутрішні системи не були скомпрометовані під час інциденту. Однак, через злом у торговому процесорі стався витік конфіденційних даних клієнтів American Express, таких як імена, поточні та колишні номери рахунків, а також дати закінчення терміну дії карток.

T-Mobile

У січні 2023 року телекомунікаційний провайдер T-Mobile виявив небезпечну активність у своїх системах. Виявилося, що зловмисник зловживав одним з API, який був частиною ланцюжка поставок T-Mobile. У період з 25 листопада 2022 року по 5 січня 2023 року зловмисник зміг викрасти персональні дані з 37 мільйонів облікових записів клієнтів.

Представники T-Mobile заявили, що викрадена інформація не містила ідентифікаційних номерів, податкових ідентифікаторів, паролів і PIN-кодів, інформації про платіжні картки або будь-яких інших фінансових даних. Однак інцидент все ж скомпрометував платіжні адреси, електронні адреси, номери телефонів, дати народження та номери рахунків абонентів T-Mobile.

Що ми можемо дізнатися з цих прикладів порушень кібербезпеки?

Деяким з цих інцидентів можна було б запобігти за допомогою належних практик управління кіберризиками третіх сторін.

Обираючи стороннього постачальника, зверніть увагу на його політику кібербезпеки, а також на закони та правила, яких він дотримується. Якщо потенційний субпідрядник або постачальник послуг не знайомий з вашими життєво важливими заходами кібербезпеки, подумайте про те, щоб додати відповідну вимогу до договору про надання послуг.

Обмежте доступ субпідрядників до ваших критично важливих даних і систем до рівня, необхідного для виконання їхньої роботи. Для посилення захисту найбільш важливих активів застосовуйте додаткові заходи кібербезпеки, такі як MFA, ручне затвердження входу в систему та управління привілейованим доступом "just-in-time".

Регулярний аудит безпеки API може допомогти виявити вразливості та слабкі місця в реалізації API. Отже, ви зможете мінімізувати ризики, пов'язані з інтеграцією зі сторонніми сервісами.

Розгляньте можливість розгортання рішень для моніторингу, щоб бачити, хто і що робить з вашими критично важливими даними. Зберігання записів активності користувачів сторонніх сервісів дозволяє проводити швидкі та ретельні аудити кібербезпеки та розслідування інцидентів.