27.10.2016

Kill chain для внутреннего нарушителя

Вчерашняя заметка, как справедливо отметили коллеги в комментариях, ориентирована на внешнего нарушителя и не очень хорошо подходит для описания нарушителя внутреннего. Это и так и не так одновременно. Все зависит от того, о каком нарушителе мы ведем речь. Если это обычный сотрудник, который решил поживиться ценной информацией перед своим увольнением, приведенная Lockheed Martin схема будет избыточной. А вот если мы говорим о специально внедренном на какой-либо критически важный объект "казачке", задача которого проникнуть в святая святых и используя внешние связи получить доступ к важной системе или информации с использованием специально подготовленного "кибероружия", то убийственная цепочка продолжает оставаться актуальной. Но таких ситуаций все-таки не так много и поэтому давайте попробуем составить Kill Chain для инсайдера.

С чего начинается процесс нанесения ущерба компании? Либо с найма инсайдера, либо с доведения его до точки кипения, когда он принимает решение нанести ущерб своему работодателю. Это может быть отказ от повышения, невыплата бонуса, плохое слово руководства, подкуп конкурентами и т.п. За этим спустя некоторое время (инсайдеру надо созреть) следует поиск информации, которая может быть интересна инсайдеру. Для этого используется либо специализированный инструментарий, либо, что чаще всего, злоумышленник и так знает, что может быть интересно на новом месте работы или конкурентам (списки клиентов, условия обслуживания, тарифы, ноу-хау, интеллектуальная собственность и т.п.)

После этапа разведки инсайдер, знающий где и что плохо лежит, пытается получить доступ к системе и захватить/собрать конфиденциальную информацию. Для этого инсайдер может воспользоваться либо своими правами доступа, либо специальным ПО, которое позволяет получить доступ в обход существующей системе разграничения доступа. Бывает и так, если вспомнить историю Сноудена и если в нее верить, что инсайдер, пользуясь хорошими отношениями с коллегами, использует их учетные записи для получения несанкционированного доступа.

Финальным аккордом является факт утечки собранной информации через облачные технологии, электронную почту, флешку или внешний жесткий диск (возможны и иные каналы утечки). Визуально это схему можно представить так:

На самом деле указанная схема описывает наиболее популярную историю с кражей именно информации, в то время как возможны и иные действия инсайдеров - кража ПО, внесение изменений в ПО, уничтожение ПО, изменение конфигурации оборудования и тому подобные действия. В этом случае мы просто меняем последних два этапа на нужный нам. Ну а дальше все тоже самое, что и для внешней Kill Chain - выработка методов обнаружения и нейтрализации нарушителей.

ЗЫ. Хочется отметить, что эти две разных убийственных цепочки очень хорошо показывают различия в действиях внешних и внутренних нарушителей и в необходимости разработки разных так называемых use cases при построении и эксплуатации SOC, о чем мы тоже будем говорить на ноябрьском SOC Forum.