Будем честны, когда большинство людей думают о «кибератаке», они представляют себе хакеров в толстовках с капюшонами, которые долбят межсетевые экраны из какого-нибудь темного подвала. Но реальность? Это гораздо менее кинематографично и гораздо более опасно.

Правда в том, что иногда угроза уже существует.

Вот что делает внутренние угрозы такими разрушительными. Они не ломают двери, а проходят сквозь них. Так же, как это произошло с Coinbase.

Взлом Coinbase: когда доступ инсайдеров стал опасным

В ошеломляющем откровении, которое потрясло финтех и криптоиндустрию, Coinbase, крупнейшая криптовалютная биржа в США, стала целью изощренного случая корпоративного шпионажа. В отличие от обычных кибератак, которые полагаются на технические эксплойты, этот инцидент выявил более коварный вектор: человеческую уязвимость.

В случае Coinbase взлом произошел не из-за кода или серверов, а из-за каналов поддержки клиентов, в частности, офшорных подрядчиков с доступом к внутренним инструментам SaaS. Вместо использования традиционных методов взлома злоумышленники применили более обманчивую тактику, подкупив зарубежных подрядчиков по обслуживанию клиентов, чтобы получить доступ к внутренним системам Coinbase. Эти вредоносные инсайдеры предоставили злоумышленникам конфиденциальные данные клиентов, включая имена, адреса, номера телефонов, адреса электронной почты, частичные номера социального страхования и изображения выданных правительством удостоверений личности. Поскольку у них был неконтролируемый законный доступ к внутренним системам и инструментам SaaS, никто ничего не задавал под сомнение, пока ущерб не был нанесен. Затем злоумышленники использовали эти данные в качестве рычага, потребовав выкуп в размере 20 миллионов долларов под угрозой утечки или продажи информации в даркнете.

В результате этого инцидента была раскрыта конфиденциальная информация почти 97,000 XNUMX пользователей, что подчеркнуло отрезвляющую реальность: инсайдерские угрозы остаются одной из самых опасных и сложных проблем в сфере кибербезопасности на сегодняшний день.

Доступ без видимости: скрытая брешь в безопасности современного предприятия

В эпоху облачных приложений и удаленной работы новый периметр безопасности — это не ваша сеть, а ваши люди. Взлом Coinbase подчеркивает растущую тенденцию в кибербезопасности: рост внутренних угроз, особенно среди сторонних подрядчиков и персонала поддержки.

Поскольку периметральная защита, такая как брандмауэры и системы обнаружения вторжений, стала более надежной, злоумышленники переключают свое внимание на лиц внутри организации, которые уже имеют доступ. Этим инсайдерам не нужно «взламывать» системы — они уже внутри стен. Независимо от того, движимы ли они жадностью, принуждением, идеологией или отчаянием, внутренние угрозы гораздо сложнее обнаружить и остановить с помощью традиционных мер безопасности.


Третьи лица: они в ваших системах, но вне вашего поля зрения

Современное предприятие работает на подрядчиках, фрилансерах, аутсорсинговых группах поддержки и сторонних поставщиках. Этим работникам часто нужен доступ к тем же инструментам, которые использует ваш штатный персонал — SaaS-платформам, таким как Salesforce, Zendesk, Notion, Google Workspace и другим. Большинство SaaS-платформ, хотя и обладают богатым набором функций, не имеют собственных средств управления безопасностью для обнаружения или блокировки рискованного поведения после входа пользователя в систему. Как только подрядчик получает доступ, традиционные средства защиты периметра становятся неактуальными. Между вкладкой браузера и экспортом базы данных нет брандмауэра.

В отличие от ваших внутренних команд, которые подключаются к работе с помощью безопасных ИТ-процессов, сторонние пользователи часто работают с:

  • Неуправляемые персональные устройства – Подрядчики часто используют собственные ноутбуки или мобильные устройства, которые не контролируются и не защищаются ИТ-отделом организации, что делает их уязвимыми для вредоносных программ или утечки данных.
  • Незащищенные домашние или публичные сети – Работа в кафе, аэропортах или домашних сетях Wi-Fi без надлежащего шифрования подвергает конфиденциальные данные компании риску перехвата и несанкционированного доступа.
  • Теневые личности и неотслеживаемый доступ Многим сторонним пользователям предоставляется больше разрешений, чем необходимо, и они часто полностью обходят элементы управления IAM, что делает практически невозможным для служб безопасности узнать, у кого есть доступ, откуда они входят в систему и что они делают внутри системы. Такое отсутствие видимости увеличивает риск утечки данных и неконтролируемой инсайдерской активности.
  • Никакого контроля поведения и видимости – Без отслеживания действий пользователей в режиме реального времени внутри SaaS-приложений или веб-платформ организации не замечают рискованное поведение до тех пор, пока не будет нанесен ущерб.
  • Фрагментированная кросс-идентичная активность без корреляции – Пользователи работают с корпоративными и некорпоративными учетными записями, платформами и устройствами, что делает практически невозможным для традиционных средств безопасности сопоставление фрагментированных данных и обнаружение вредоносного поведения.

И это основная проблема: они находятся внутри ваших систем, но за пределами вашего периметра безопасности.

Как организации могут защитить себя от утечки данных злоумышленниками

Поскольку компании все больше полагаются на сторонние команды и подрядчиков, браузер становится самым слабым — и наименее контролируемым — звеном в цепочке безопасности. Взлом Coinbase служит мощным напоминанием о том, что ни одна организация не застрахована от внутренних угроз. Поскольку злоумышленники становятся все более изощренными в атаках на внутренний персонал, компаниям крайне важно принять проактивные меры безопасности, основанные на поведении, такие как:

  • Ограничить доступ с минимальными привилегиями: Предоставляйте пользователям доступ только к тем системам, данным и инструментам, которые им абсолютно необходимы для выполнения работы, и ничего более. Особенно для подрядчиков и третьих лиц избегайте широкого или постоянного доступа.
  • Получите представление о поведении пользователей в режиме реального времени: Вы не можете остановить то, чего не видите. Организациям нужны инструменты, которые отслеживают, что пользователи на самом деле делают внутри SaaS-приложений, браузеров и облачных сред.
  • Мгновенно обнаруживайте и блокируйте рискованные действия: Настройте интеллектуальные системы, которые обнаруживают рискованное поведение (например, массовые загрузки, выгрузку файлов на личные диски, подозрительные входы в систему) и могут автоматически реагировать в режиме реального времени.
  • Мониторинг деятельности третьих лиц и подрядчиков: Сторонние пользователи никогда не должны рассматриваться как внутренние сотрудники. Внимательно следите за их деятельностью, особенно когда они получают доступ к конфиденциальным системам или данным клиентов.
  • Сопоставьте активность кросс-идентичности: Не просто отслеживайте одну учетную запись за раз. Злонамеренные инсайдеры часто действуют через несколько логинов или устройств. Свяжите действия между разными логинами, устройствами и приложениями, чтобы обнаружить закономерности и не дать пользователям скрыться за несколькими личностями.

Знакомьтесь с LayerX: сторожевая башня для SaaS, подрядчиков и теневых пользователей

Так как же остановить это безумие?

Вы можете попробовать установить агентов на ноутбук каждого подрядчика или заставить всех использовать корпоративный VPN, пока они не взбунтуются или не найдут обходной путь. Или, что еще лучше, вы можете встречаться с пользователями там, где происходит работа: внутри браузера.

LayerX действует там, где внутренние угрозы наносят ущерб: в браузере.

В отличие от традиционных инструментов, защищающих инфраструктуру или конечные точки, LayerX — это как пристегивание камеры безопасности с высоким разрешением, которая всегда включена, к каждому сеансу браузера, без необходимости установки чего-либо на устройство пользователя. Он отслеживает, что пользователи фактически делают внутри приложений SaaS, по идентификаторам, устройствам и сеансам, и блокирует все вредоносные действия в режиме реального времени.


Вот как LayerX делает невидимое… видимым:

  1. Видимость на уровне браузера
    LayerX отслеживает все действия пользователя в режиме реального времени в каждом браузере, на любом устройстве, для каждого SaaS-приложения — загрузки, выгрузки, копирование и вставку, создание снимков экрана и бесфайловую передачу — прямо там, где обрабатываются данные.
  2. Мгновенное обнаружение и блокировка рисков
    Подозрительное поведение автоматически обнаруживается и блокируется до того, как произойдет утечка данных без какого-либо ручного вмешательства.
  3. Понимание кросс-идентичности
    LayerX объединяет действия пользователя по всем логинам, устройствам и приложениям, чтобы выявить скрытые закономерности и предотвратить маскировку личности.
  4. Решения, учитывающие контекст, а не глупые правила
    LayerX не просто следует жестким политикам. Он понимает контекст: кто пользователь, откуда он работает, какое устройство он использует и использует ли он корпоративные или некорпоративные учетные записи. Вот как он узнает, когда что-то не так.
  5. Беспрепятственное развертывание
    LayerX работает напрямую как расширение в браузере и работает на всех устройствах и средах, включая неуправляемые. Нет никаких агентов, прокси или сбоев.

С LayerX вы можете уверенно масштабироваться, сотрудничать глобально и защищать свои данные независимо от того, кто находится по ту сторону экрана. Будь то нерадивый сотрудник или подкупленный подрядчик, LayerX гарантирует, что ваши конфиденциальные данные никогда не выйдут за дверь незамеченными.

Связаться с LayerX для персональной демонстрации, которая покажет, как мы можем помочь вам защитить вашего подрядчика и сторонние угрозы, не нарушая при этом существующие потоки данных и непрерывность бизнеса.