Почти всем известно, что многочисленные хакеры спят и видят, как бы украсть ценные данные из корпоративных сетей. Но хотя о способах проникновения в корпоративные сети написаны целые тома, мало кто уделяет столько же внимания способам, с помощью которых атакующие собирают и пересылают на свои компьютеры украденную информацию.
Конечно, обычно хакеры используют вполне логичную схему. Первым делом атакующий получает доступ к одному из компьютеров компании с помощью фишингового письма, содержащего вредоносный документ PDF или Word, – пораженная машина станет плацдармом атакующих в корпоративной сети. Отсюда атакующий будет вести поиск других уязвимостей, чтобы прыгать из компьютера в компьютер в поисках ценных данных – таблиц, документов, финансовой информации и других нужных файлов.
Когда подобные данные найдены, наступает время «экспорта». Файлы должны быть где-то собраны, и обычно атакующий выбирает под склад один из пользовательских компьютеров в сети, а не сервер. По словам Райана Казанцияна и Шона Койна (Ryan Kazanciyan, Sean Coyne) из компании Mandiant, специализирующейся на безопасности, подобная тактика хакера обусловлена привычками пользователей – они обычно не следят, сколько на их компьютере свободного места, в то время как системный администратор может заметить, что на одном из серверов неожиданно прибавилось данных.
Некоторые хакеры собирают все данные на «складской» машине, а потом скачивают их в один прием. Но чаще атакующие загружают информацию понемногу – даже несмотря на то, что риск обнаружения в таком случае выше. И хотя некоторые хакеры крадут только конкретные данные, многие другие воруют все, на что могут наложить лапу, – это характерный признак большой операции, в которой предусмотрены людские ресурсы для ручного разбора и анализа кучи награбленного в поисках ценностей.
Ключевая часть стратегии защиты – не устранение уязвимости, которой воспользовались атакующие, а проактивные действия по поиску слабых мест в своей защите и их устранение заранее, до того как «дырой» воспользовались. Нужно заботиться о том, чтобы сеть всегда была защищена на максимально возможном уровне, предотвращая угрозы до их возникновения.
«Трудно оценить последствия таких краж данных, поскольку ценность многих видов информации еще не осознается, – сказал Койн – Во многих случаях, над которыми мы работали, атакующие были внутри месяцами и годами. Если все усилия по информационной безопасности брошены на смягчение последствий после взлома, то эта работа практически бессмысленна».