Данные дороже выкупа: почему хакеры все чаще крадут секреты, а не шифруют инфраструктуру
Изображение: grok
Доля атак на российские компании с целью шпионажа достигла 42%. Злоумышленников все чаще интересует не разовый выкуп, а конфиденциальная информация: технологические разработки, клиентские базы, финансовые данные, логистические схемы и внутренняя документация. Почему данные стали одним из самых ценных активов на теневом рынке и как бизнесу защитить критически важную информацию — объясняет Александр Двоеложков, эксперт отдела анализа и оценки цифровых угроз Infosecurity, входящей в «Софтлайн Решения», ГК Softline.
Еще несколько лет назад массовое представление о кибератаках в корпоративном секторе во многом строилось вокруг ransomware-сценариев: злоумышленники проникали в инфраструктуру, шифровали данные и требовали выкуп за восстановление доступа. Для бизнеса это был болезненный, но относительно понятный риск: простой систем, финансовые потери, репутационный ущерб, восстановление из резервных копий, переговоры с атакующими.
Сегодня модель угроз заметно усложнилась. Все чаще злоумышленники не стремятся сразу «громко» нарушить работу компании. Они действуют тише: получают первичный доступ, закрепляются во внутренней сети, изучают инфраструктуру, повышают привилегии, перемещаются между системами и ищут данные, которые можно монетизировать не один раз, а многократно. Речь идет о технологических секретах, проектной документации, клиентских базах, коммерческих условиях, стратегических планах, данных о контрагентах, транзакциях и внутренних процессах. Такая информация может использоваться для шантажа, продажи конкурентам, подготовки последующих атак или промышленного шпионажа. Поэтому кибершпионаж становится для атакующих не менее, а часто и более привлекательным сценарием, чем классическое вымогательство.
По данным специалистов по кибербезопасности, доля атак на российские компании с целью шпионажа за последний год выросла с 38% до 42%. Наиболее уязвимыми остаются отрасли, где данные напрямую связаны с экономической устойчивостью и конкурентным преимуществом: промышленность, финансовый сектор, транспорт, логистика, телекоммуникации и высокотехнологичные компании.
Конфиденциальная информация о разработках, технологиях, клиентах оценивается на черном рынке все дороже. В условиях жесткой конкурентной борьбы разные структуры стремятся получить доступ к секретным данным. Добываемая злоумышленниками информация может использоваться для шантажа организаций или продаваться заинтересованным сторонам с целью получения финансовой выгоды. Для атакующих кража данных часто оказывается более гибкой моделью монетизации. Зашифрованная инфраструктура приносит доход только при условии, что жертва готова платить. Украденные данные можно продать, использовать для давления на компанию, опубликовать частично, передать конкурентам или применить для новых атак, например, на клиентов, подрядчиков или партнеров организации. Именно поэтому во многих инцидентах злоумышленники действуют по комбинированной схеме: сначала незаметно выгружают чувствительную информацию, затем угрожают ее публикацией, а уже после этого могут прибегать к шифрованию или блокировке отдельных систем. Для бизнеса такой сценарий опасен тем, что даже восстановление инфраструктуры из резервных копий не решает главную проблему: данные уже покинули периметр компании.
Какие данные интересуют злоумышленников
В промышленности целью становятся чертежи, технологические карты, сведения о производственных процессах, данные АСУ ТП, спецификации оборудования, договоры с подрядчиками и информация о модернизации предприятий. Утечка таких данных может привести не только к коммерческим потерям, но и к повышенным рискам для непрерывности производства.
В финансовом секторе злоумышленников интересуют клиентские портфели, данные о транзакциях, внутренние регламенты, сведения о риск-моделях, платежной инфраструктуре и взаимодействии с партнерами. Даже фрагментарная утечка такой информации может быть использована для мошенничества, социальной инженерии или таргетированных атак на клиентов. В транспорте и логистике ценность представляют маршруты, графики, договоры, сведения о грузах, складских остатках, контрагентах и цифровых системах управления перевозками. Такие данные могут использоваться для саботажа, конкурентной разведки или подготовки более сложных атак на цепочки поставок. Для высокотехнологичных компаний особую ценность имеют исходные коды, архитектурная документация, результаты исследований, планы развития продуктов, данные тестирования, коммерческие предложения и информация о ключевых заказчиках. В некоторых случаях утечка таких материалов может обесценить годы инвестиций в разработку.
Кибершпионаж отличается от массового фишинга или DDoS-атаки тем, что он редко выглядит как «взрыв» в инфраструктуре. Напротив, успешная шпионская атака строится на незаметности. Злоумышленники стараются не нарушать работу систем, не создавать очевидных аномалий и не привлекать внимание службы безопасности.
Первичный доступ может быть получен через фишинговое письмо, скомпрометированную учетную запись, уязвимость в программном обеспечении, удаленный доступ, подрядчика или поставщика. После этого атакующие начинают постепенно расширять присутствие в сети: изучают права доступа, ищут файловые хранилища, почтовые архивы, CRM, ERP, системы документооборота, базы данных и другие источники ценной информации. Отдельный риск связан с атаками через цепочку поставок. Если у подрядчика, интегратора или технологического партнера есть доступ к системам заказчика, компрометация такой организации может стать удобной точкой входа. Для крупного бизнеса это особенно критично: чем сложнее экосистема поставщиков и подрядчиков, тем шире потенциальная поверхность атаки.
Кто стоит за такими атаками
Условно атакующих можно разделить на несколько групп. Первая — финансово мотивированные киберпреступники. Для них данные являются товаром: их можно продать, использовать для вымогательства или применить в дальнейших мошеннических схемах. В эту категорию входят группировки, которые исторически ассоциировались с ransomware-атаками, но все чаще используют и сценарии кражи данных.
Вторая группа — APT-команды, ориентированные на долгосрочное присутствие в инфраструктуре и получение стратегически значимой информации. Их интересуют государственные структуры, промышленность, энергетика, транспорт, оборонно-промышленный комплекс, телеком и технологические компании.
Третья группа — хактивисты. Их мотивация может быть политической или идеологической, однако последствия для бизнеса остаются вполне материальными: утечки, публикация внутренних документов, репутационный ущерб, давление на партнеров и клиентов.
При этом инструменты у разных групп часто пересекаются. Социальная инженерия, эксплуатация известных уязвимостей, вредоносное ПО, компрометация учетных записей, атаки на подрядчиков, использование легитимных инструментов администрирования и обход средств защиты применяются как криминальными группировками, так и более сложными командами.
Как компаниям защищать конфиденциальные данные
Универсального средства, которое гарантированно защитит от всех сценариев кибершпионажа, не существует. Но есть набор практик, которые существенно снижают вероятность успешной атаки и ограничивают ущерб, если злоумышленники все же получили доступ к инфраструктуре.
Первый шаг — понять, какие данные действительно критичны для бизнеса. Компания должна классифицировать информацию: где хранятся коммерческие тайны, персональные данные, технологическая документация, финансовые сведения, договоры, исходные коды, данные клиентов и внутренние стратегические материалы. Без такой инвентаризации невозможно выстроить адекватную защиту: нельзя защищать то, что не описано и не имеет владельца.
Второй важный элемент — управление доступами. Доступ к чувствительной информации должен предоставляться по принципу минимально необходимых привилегий. Учетные записи с расширенными правами необходимо контролировать особенно строго: использовать многофакторную аутентификацию, PAM-решения, регулярный пересмотр прав и мониторинг действий администраторов.
Третий блок — технический контроль. В инфраструктуре должны работать средства обнаружения и реагирования: EDR или XDR на конечных устройствах, SIEM для корреляции событий, системы мониторинга сетевой активности, средства анализа поведения пользователей и сущностей, а также DLP для контроля передачи конфиденциальной информации. Важно не просто установить инструменты, а настроить процессы реагирования: кто получает сигнал, как он проверяется, кто принимает решение, как изолируется инцидент.
Четвертый уровень — защита периметра и внутренних сегментов сети. Критически важные системы необходимо сегментировать, отделять от пользовательских зон, ограничивать сетевые маршруты и контролировать взаимодействие между сегментами. Это снижает риск неконтролируемого перемещения злоумышленников внутри инфраструктуры после первичной компрометации.
Пятый элемент — управление уязвимостями. Регулярное обновление программного обеспечения, контроль конфигураций, сканирование инфраструктуры, приоритизация уязвимостей и проверка внешнего периметра должны быть постоянным процессом, а не разовой активностью перед аудитом.
Отдельное внимание стоит уделять поставщикам и подрядчикам. Доступ внешних организаций к инфраструктуре должен быть формализован, ограничен, технически контролируем и регулярно пересматриваться. Если подрядчик подключается к системам заказчика, его уровень безопасности становится частью общей модели риска. Наконец, нельзя исключать человеческий фактор. Обучение сотрудников распознаванию фишинга, правилам работы с конфиденциальной информацией и базовой цифровой гигиене остается важной частью защиты. Даже самая развитая техническая инфраструктура может быть обойдена через сотрудника, который открыл вредоносное вложение, ввел пароль на поддельном сайте или передал документ не тому адресату. Злоумышленники постоянно совершенствуют методы атак. Но компания, которая в защите данных учитывает человеческий фактор, технические уязвимости, риски подрядчиков и меняющийся ландшафт угроз, существенно снижает вероятность критического инцидента.
Кибербезопасность как защита бизнес-стоимости
Главный вывод для бизнеса состоит в том, что конфиденциальные данные больше нельзя рассматривать как второстепенный актив. Для многих компаний именно информация о клиентах, технологиях, процессах, продуктах, партнерах и стратегии, формирует значительную часть стоимости.
Поэтому защита данных должна быть не формальным требованием, а частью управления устойчивостью бизнеса. Резервные копии, антивирусы и межсетевые экраны важны, но их уже недостаточно. Нужна зрелая система: классификация данных, контроль доступов, мониторинг, реагирование, сегментация, управление уязвимостями, защита цепочки поставок и регулярная проверка готовности к инцидентам. Компании, которые продолжают воспринимать кибербезопасность исключительно как статью расходов, рискуют столкнуться с неприятной реальностью: в какой-то момент конкуренты, злоумышленники или недоброжелатели могут знать о них больше, чем они сами готовы раскрыть рынку.
