Конфиденциальные данные компаний часто утекают через Google, Bing и другие
поисковики — найди их до того, как это сделают плохие ребята.
В июне исследователь по информационной безопасности, разыскивая файлы,
содержащие пароли, наткнулся на клад: файл с базой данных на 300 000
пользователей филиала компании Groupon - Sosasta - был размещен на общедоступном
интернет-сервере. Компания быстро убрала его после получения уведомления, но
ущерб был уже нанесен.
Google-хакинг, когда атакующий ищет распространенные уязвимости или
конфиденциальную информацию, может быть чрезвычайно эффективным способом
обнаружения случайно просочившейся инсайдерской информации. Любому, кто может
создать конкретный поисковый запрос в Google и Bing, доступны миллионы записей и
время, чтобы отобрать результаты по интересующим его данным, считает Фрэнсис
Браун — управляющий партнер в компании Stach & Liu, консультирующей по вопросам
информационной безопасности.
Инцидент с данными Sosasta не редкость. В августе Йельский университет и
Университет Пердью уведомили своих студентов, преподавателей и сотрудников о
том, что, в общей сложности, около 50 000 записей, включая номера Социального
страхования, попали в Интернет из-за того, что определенные файлы находились в
публичном доступе.
"Известны случаи, когда люди случайно обнаруживали огромные утечки данных", -
говорит Браун.
Случайно выставленные неправильные настройки являются основной причиной
размещения конфиденциальной информации онлайн, она будет лежать в Интернете
дожидаясь злоумышленников. В "Исследовательском отчете по утечкам информации" за
2011 год Verizon сообщает, что 83% утечек были результатом "оппортунистических"
атак, а не специальных целенаправленных атак.
Поскольку веб-поиск стоит недорого, компаниям необходимо регулярно проводить
поиск конфиденциальной корпоративной информации, которую инсайдеры могли
случайно слить в Интернет.
"Google и Bing оказались достаточно хороши, чтобы найти и проиндексировать
всю эту интересную информацию, так что в ваших интересах пойти и поискать
информацию о своей компании", - продолжил Браун.
Компаниям также необходимо вести поиск информации о сотрудниках, которая
может утекать с других сайтов, говорит он. Например, в одном из поисковых
запросов Брауна обнаружился порно-сайт, который случайно разместил файлы своих
пользователей в Интернете, включая имена, адреса, платежные реквизиты и пароли.
Работник, который использует один и тот же пароль на нескольких сайтах, при
пользовании такими небезопасными услугами может стать ахиллесовой пятой для
своего работодателя, считает он.
"Я хотел бы провести эксперимент и попробовать взломать аккаунт, чтобы
убедиться, что они используют один и тот же пароль — возможно, они так и
делают", - говорит Браун. "Целью этого эксперимента является уверенность в том,
что злоумышленник не сможет использовать данный пароль, чтобы получить доступ к
вашим ресурсам".
Тем не менее, несмотря на то, что такой поиск является бесплатным и может
быть автоматизирован, выборка результатов будет занимать некоторое время,
замечает Дэйв Маркус, директор по изучению проблем безопасности и информационным
связям компании McAfee, занимающейся информационной безопасностью, дочерней
компании Intel. Компаниям нужно убедиться, что их команды по обеспечению
безопасности не перегружены поиском возможных утечек информации.
"Нужно уменьшить количество ресурсов компании, брошенных на поиск; проводите
его так часто, как можете", - советует он.
Бесплатные инструменты, такие как OpenDLP, существуют, чтобы автоматизировать
этот процесс. OpenDLP ведет поиск информации, как внутри, так и снаружи
брандмауэра компании. У компании Stach & Liu есть собственный бесплатный
инструмент, DLPDiggity, который ведет поиск более, чем 100 различных типов
конфиденциальных данных. Во многих случаях об утечке данных предупреждает
специальная DLP-система компании.
"На данный момент в Google и Bing можно найти массу интересной информации", -
говорит Браун. "И это абсолютно бесплатный способ обнаружить утечки данных из
вашей компании".