«Гарда Маскирование» для автоматического обезличивания баз данных

Несмотря на то, что компании вкладывают значительные средства в защиту персональных данных, контролируя коммуникации, доступ пользователей, шифруя информацию, — утечки продолжают происходить. Причиной часто становятся ошибки при передаче данных в третьи руки для разного рода тестирований, решения маркетинговых задач и др. Российское законодательство, включая ФЗ-152, обязывает защищать такую информацию, и в этих случаях применяется маскирование, для которого группа компаний «Гарда» предоставляет необходимый инструментарий.

О том, как безопасно передавать базы данных — в новой статье экспертов «Гарды».

Как-то давно я проходил собеседование в одну компанию на позицию "Аналитик DLP". Вот, какие были вопросы:

"1.Менеджер по продажам отправил клиенту в мессенджере доверенность на работника компании, будет ли это нарушением, есть ли в нем злой умысел?
2. Что такое персональные данные?
3. Занимались ли вы ранее контролем каналов утечек информации и расследовали инциденты ИБ с ними связанные?
4. Есть ли у вас опыт работы с системами DLP?
5. Есть ли у вас опыт администрирования ОС Windows/Linux?"


А вы бы ответили? 🏆🏆

Дополнительная мотивация ускорить процесс принятия закона об оборотных штрафах в случае утечек ПДн: Россия возглавила рейтинг стран по количеству объявлений о продаже баз данных компаний в даркнете - 10% от их общего количества за первое полугодие 2024-го.

Саму статью можно прочитать здесь: https://www.rbc.ru/technology_and_media/30/07/2024/66a894cc9a79470efe2b8e2d

А пока мы наблюдаем низкие штрафы за утечки ПДн в России, можно почитать предварительный итог по делу об утечках данных где-то там далеко. 🇬🇧🇬🇧
В октябре 2022 года Advanced заявила, что киберпреступники проникли в её сеть, используя легитимные учетные данные третьей стороны, что также указывало на отсутствие многофакторной аутентификации. Сейчас ICO подтверждает этот факт. ICO заявило, что предварительно налагает штраф в размере £6,09 миллиона (около $7,75 миллиона или 670 млн руб.) за нарушение закона о защите данных, выразившееся в неспособности внедрить адекватные меры безопасности для защиты обрабатываемой личной информации до атаки.
Подробнее: https://www.securitylab.ru/news/550898.php

Интересно, что каждый раз, когда речь заходит о защите данных в корпоративном сегменте, в первую очередь всплывает DLP-система (молодец тот, кто забрал эту аббревиатуру этому классу систем). По моему же скромному мнению, DLP - это именно подход к защите данных (по аналогии с DCAP и DAG, где первое - подход, а второе- класс решений), то есть совокупность организационных и технических мер по предотвращению утечек.
По исследованиям различных агенств за 2023 год основным вектором атаки для получения данных стала сеть, а не инсайдеры (около 2%): скомпрометированые учётные записи, целевые атаки на критичные хранилища данных - базы данных, файловые хранилища, шифровальщики и т.д.
В этом разрезе DLP-система покрывает очень небольшую часть инфраструктуры (только хосты корпоративных пользователей).
И вот именно поэтому защита сети - первоочередная задача: внедрение NTA, EDR, SIEM и только потом уже стоит думать о защите каких-то критичных объектов и уж тем более DLP. Тот же DAM или WAF может быть куда полезнее для большинства отраслей (хотя для каждой компании свой стек продуктов и своя модель угроз)
29 августа как раз пройдёт вебинар, на котором расскажут, как вообще защищаться от подобных атак с помощью связки NDR и DBF. Приходите, "вход" свободный!

Активная защита от киберугроз
раскрываем потенциал DBF и NDR
вебинар | 29 августа в 12:00

Как выстроить эшелонированную систему защиты информационных ресурсов и предотвратить колоссальные убытки от действий злоумышленников? Какие решения есть на рынке? Что выбрать? Вместе с экспертом Росбанка Александром Кондратенко будем разбираться, как уберечь информационные активы компании от современных киберугроз.

‣ Обзор современных инструментов для борьбы с киберугрозами.
‣ Реальный кейс по предотвращению инцидентов на примере Brute Ratel.
‣ Защита данных в безопасной среде СУБД с DataBase Firewall («Гарда DBF»).
‣ «Гарда DBF» и «Гарда NDR» — больше, чем сумма двух слагаемых. Вы узнаете:
• Как интегрировать решения с имеющейся инфраструктурой.
• Как максимизировать эффект от внедрения и эксплуатировать системы с наибольшей отдачей.

Приглашаем всех желающих,
регистрируйтесь на нашем сайте!

Тренды 2024-2025 года можно обсуждать бесконечно. Если коротко:
1. IAM, чтобы не давать неаутентифицированным пользователям доступ к данным.
2. ИИ в кибербезе - нужны живые и рабочие модели.
3. Защита облачных хранилищ (это прямо отдельная ветка обсуждения).
Я бы сюда добавил ещё применительно к российскому рынку вопрос развития: моделей SaaS, обезличивание данных, озеро данных и DDP (Data discovery platform).

Подробнее в статье:
https://www.securitylab.ru/news/550990.php

Часто слышу вопрос - а как правильно защищать сами данные? Есть много различных взглядов на этот счёт.
Кто-то считает, что, мол, защитились от утечек с помощью DLP, разгребли "завалы" в файловых хранилищах DCAPом и вот оно - счастье. Только дело в том, что основная доля краж данных производится по сети: подрядчиками; злоумышленниками через скомпрометированные учётные записи, сидящими в инфраструктуре годами; просто инсайдерами, и в довольно редких случаях - через активные вторжения (эти дела самые громкие).
На самом деле нет какой-то единой позиции по защите данных. В идеальном мире у каждой компании есть модель угроз, и на неё накладываются организационно-технические меры, но увы, в реальности это далеко не так.
Для маркетплейса AntiDDoS, WAF и DBF (DAM) может послужить куда более преоритетной связкой, чем, например DLP или DCAP, поскольку падение самого сайта или манипуляции с базой данных позволят или поломать сервис, простой которого будет считаться деньгами, или выгрузить важную информацию о пользователях, учётных записях, заказах и т.д.
Всё-таки есть основные принципы построения защиты.
Первое, с чего вообще стоит начать - это во всех сегментах инфраструктуры начать использовать лицензионное ПО, желательно, обновлённое до последней версии. Это позволит закрыть некоторые старые уязвимости. Далее следует навести порядок в правах доступа к критичным сегментам данных, удалить УЗ уволившихся сотрудников, "отрезать" доступ неавторизованным пользователям (или ввести двухфакторку).
Если же говорить про базовый набор именно средств защиты, то я бы их проранжировал следующим образом: антивирус, межсетевой экран (или NGFW), NDR, SIEM, PAM, IAM, Anti-DDoS, WAF.
Далее можно переходить к защите основных бизнес-критикал сегментов с данными, поскольку это задача уже более "зрелых" систем безопасности. При этом сами решения выполняют какую-то узкую специализированную задачу:
DBF - мониторинг выгружаемого контента из БД,
DLP - защита от утечек в классическом понимании: флешки, отправка по почте, скриншоты, мессенджеры и т.д.,
DCAP - управление правами и поиск файлов на файловых хранилищах, начиная от самых простых smb-хранилищ, заканчивая Jira, confluence и др.,
Маскирование - тут скорее речь о безопасной разработке, но тем не менее, данные можно изначально передавать в обезличенном виде (например, подрядчику, оставляя только то что ему необходимо на самом деле).
Далее можно выстраивать эшелонированную защиту, подкрепляя первый пункт: песочница, Deception, IRP, SOAR и т.д.
С организационной стороны так же не стоит забывать о регулярных "учениях" для сотрудников. Если не прошёл проверку, то вперёд проходить тесты по кибербезопасности (на моей практике сами сотрудники ИБ не всегда проходят эту проверку, заигрываясь в "я всё знаю, меня не проведут").

Недавно мне направили скриншот из онлайн-игры, и я сразу вспомнил одну историю.
Когда-то давно был у меня опыт игры в популярную корейскую ММО. Уже в то время многие донатили реальные деньги для того, чтобы быть лучше других игроков: покупали игровые предметы, платили другим игрокам за прокачку и т.д.С годами таких "вложений" становилось всё больше, и в конечном итоге появилось несколько человек, игровой аккаунт которых оценивался десятками миллионов рублей. Можно сказать, что такой аккаунт - это актив, такой же, как счёт в банке, квартира и машина.
Однажды у одного такого "шейха" аккаунт украли, распродав всё "имущество". Классический фишинг: злоумышленник представился гейм-мастером и попросил совершить ряд действий. После того, как аккаунт перешёл под контроль, игровые вещи быстро распродали. Частая практика, когда к таким аккаунтам привязаны банковские карты (тогда был QIWI-кошелек), что позволяет выйти злоумышленнику за рамки самой игры. Администрация, конечно, возвращает аккаунт, а вот игровые предметы - нет, т.к. они уже в пользовании другого игрока, который честно их купил (или не очень честно).На данном скриншоте используется та же схема. Некий игрок создал персонажа с ником, похожим на компанию-производителя игры (оригинал - Близзард, фейк- Бииззард), далее в чат отправил сообщение с припиской, с которой идут все официальные обращения от самой игры:"[Blizzard Entertainment] ГМ", и добавил ссылку на фишинговый сайт. Оригинальный сайт - eu.shop.battle.net, фейковый - www.ru-battle.com. В целом похоже.

К чему это я? Не стоит относится к безопасности легкомысленно. Подключите второй фактор, отвяжите банковские карты или включите обязательные пуш-уведомления при покупке и будьте всегда начеку!
Делитесь своими историями в комментариях :)

🗞 Дайджест статей и новостей. Об интересном за неделю:

— Мир за неделю: КИИ под угрозой

— Мобильная связь и интернет в Белгородской области доступны бесплатно до конца ЧС

— ГК «Солар» дарит клиентам Tele2 сканер утечек ПДн

— Минцифры: Подделать электронную подпись в «Госключе» невозможно

— «Информзащита»: Банкиры не успевают импортозаместиться до конца года

— Google полностью отключила россиянам монетизацию на YouTube

— Статья «Что творит искусственный разум? Генеративный ИИ (GenAI) лишь первый штрих в большой архитектуре Large Language Model. И возможно, ошибочный…»

— Россияне рвут договоры с операторами из-за YouTube, а Apple удаляет RuTube

— Microsoft правит свою корпоративную политику, делая ИБ главным приоритетом

— Темпы закупки софта российскими компаниями снизились вдвое

— «Базальт СПО» разрабатывает свою мобильную операционную систему

— Positive Technologies и Минцифры России запустили международную ИБ-программу

— Статья: «Большие языковые модели — всё ещё статистические аппроксиматоры или уже почти настоящий интеллект?»

— Miro уходит из России и Беларуси

— Цвет шляпы неважен. На DEF CON 2024 ибэшникам и хакерам дали общую цель

— InfoWatch: Российская картина утечек информации зеркальна мировой

— Статья «Технологический суверенитет России: от БЛА и видеокамер до ИИ-технологий»

— Cisco скоро проведёт вторую в этом году волну сокращений и сфокусируется на ИИ-технологиях и кибербезопасности

— В американском Council on Foreign Relations (CFR) призвали подключить спецслужбы и Open-source-разработчиков для изучения успехов импортозамещения в России


— Статья «Пространство доверия: промышленная эксплуатация. О доказуемости эквивалентности (по существу) уровней надёжности электронных подписей при их трансграничном взаимном признании»

На тему различных сервисов для проверки утечки данных.
Где-то полгода назад национальный координационный центр по компьютерным инцидентам (НКЦКИ) запустил новый онлайн-сервис «Утекли ли Ваши данные? Проверьте!», предназначенный для проверки утечки личных данных (преимущественно параметров логина) пользователей России. Довольно удобный инструмент, чтобы верхнеуровнего оценить, сливали ваши данные или нет.

В догонку к предыдущему посту. Сейчас в тестовом режиме запущен новый российский онлайн-сервис для проверки безопасности файлов: https://virustest.gov.ru/.
То есть можно взять любой файл (правда не больше 256 МБ) и отправить его на проверку по сигнатурам нескольких антивирусов: DrWeb, Kaspersky, Athena.
По результатам проверки будет отображена информация о файле и его безопасности:

Красный – файл определен как вредоносный
Оранжевый – файл определен как недоверенный
Зеленый – файл определен как безопасный
Cерый – файл определен как неидентифицируемый.

Вообще уже давно пора "объединить" технологии разных производителей ПО, чтобы сделать идеально работающую систему безопасности. Сейчас же получается, что есть десяток вендоров по каждому классу продуктов, и каждый вендор силен в своем: кто-то в технологиях анализа, кто-то в юзабилити, кто-то в экспертизе сервисов, кто-то в маркетинге (да, и такое не редкость). А вот если объединить все эти направления на какой-то независимой платформе, то можно собрать что-то предельно ценное! Но это совсем другая история..

Свежий кейс, в котором с помощью брут-форса злоумышленникам удалось получить доступ к базе данных и распространить сторонее ПО для майнинга на сервер. Интересно, что будь в инфраструктуре NDR, он бы увидел сетевую активность при попытках брутфорса. Так же данный кейс покрывает DBF (database firewall), с помощью которого на уровне операций к базам данных можно запретить конкретные действия. Например, пресечь попытки создания новых пользователей БД всем, кроме админов, или заблокировать команду PROGRAM, которой так активно пользуются злоумышленники.

Подробнее о кейсе в статье:
https://www.securitylab.ru/news/551355.php

Немного из актуальных скриптов мошенников:
1. "Ваши средства пытаются украсть, поэтому переводите их на безопасный счёт".
Как на самом деле: ❌НИКОГДА не переводите деньги на другие счета. Если ваши средства попробуют украсть, то банк сначала заблокирует все операции и счета, а уже потом пришлет вам уведомление. Скорее всего позвонит бот с уведомлением, т.к. банковская система анти-фрод блокирует операции в автоматическом режиме.
2. Вам звонит сотрудник якобы "ФСБ" и говорит, что с вашего счёта переводились деньги в поддержку Украины, поэтому проводим проверку. На время разбирательства, чтобы вы могли пользоваться деньгами, переведите их на безопасный счёт".
Как на самом деле: ❌НИКОГДА не переводите деньги на другие счета. Эти люди не звонят. Об их приходе вы узнаете, когда собр или омон будет тараном ломать дверь в квартиру.
3. "Необходимо продлить договор с оператором связи, а то ваш номер телефона заблокируют".
❗️Данный мошеннический скрипт применяют для того, чтобы получить доступ к гос. услугам с дальнейшей возможностью взять кредит в МФО.
Как на самом деле: Оператор связи никогда не звонит сам для продления договора, т.к. договор заключается на бессрочной основе (специально достал свой договор с МГТС). В любом случае всегда можно сказать, что разберетесь с этим самостоятельно, после чего позвонить по официальному номеру своего оператора связи.

Как итог - не верьте никому, кто по ту сторону телефона, даже если он знает, что вы сегодня ели на завтрак! А если вас что-либо смущает в телефонном разговоре, отбрасывайте все страхи и комплексы, на которых часто играют мошенники, и кладите трубку. Как правило это отсекает львиную долю мошенников.
P.S.
Когда писал этот текст, сразу вспомнил фразу из к\ф "Рыцарь дня":"Ободряющие, как "стабилизировать" "надежный", "охранять безопасность". Если они будут их произносить или повторять, имей в виду - хотят убить." 🔚

Утечка данных клиентов Durex India

Согласно первоисточнику на сайте компании была найдена уязвимость (уточняется только о "недостаточных мерах безопасности на странице подтверждения заказа бренда"), благодаря которой злоумышленники смогли получить полные имена, контактные данные, адреса доставки и детали заказов, включая список приобретенных товаров и суммы оплаты. 👀

Утечка информации как таковая не только ставит под угрозу конфиденциальность клиентов, но и делает их подверженными социальному преследованию или нарушению моральных устоев.

Вот так покупаешь кнут без пряника, надеясь на конфиденциальность, а тут такое. 🕳

Первоисточник:
https://www.financialexpress.com/life/technology-durex-indias-unprotected-data-leak-customers-personal-data-orders-exposed-in-privacy-mishap-3596331/lite/