Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

В последние годы произошло несколько крупных утечек данных, нанесших огромный финансовый и репутационный ущерб. Исполнители у них были разные, в том числе хактивисты, государства и киберпреступники. Среди целей и типов нарушенных данных можно выделить следующие:

• компании Target и Home Depot – платежная информация;

• компания Anthem/WellPoint – личная медицинская информация;

• Управление кадровой службы США, Booz Allen Hamilton и HBGary – военная и разведывательная информация;

• виртуальные службы знакомств Ashley Madison и Adult FriendFinder – конфиденциальная информация.

Обычно борьбой с вредоносными программами и фишинговыми атаками занимаются специалисты по кибербезопасности, но такие взломы данных представляют собой вторичный риск для предприятий в связи с потерей учетных записей, базы данных которых часто оказываются размещены на хакерских форумах, в сети TOR и торрентах.

Взяв за основу взлом компании Adobe в 2013 году, можно смоделировать подверженность постороннему воздействию как функцию от величины компании и политики паролей. В октябре 2013 года⁹ компания Adobe объявила, что хакеры похитили исходный код основных продуктов Adobe, а также данные учетных записей более чем 153 млн пользователей. База данных очень быстро оказалась в открытом доступе. Некоторые пользователи, оказавшиеся в базе, скорее всего, сами придумывали пароли или вообще обходились без них. Эти данные по сей день являются одним из самых крупных источников учетных записей.

База данных содержала адреса электронной почты, зашифрованные пароли и подсказки к паролям открытым текстом, у тех пользователей, которые их добавляли. Важно, что пароли были не хешированными и не хешированными с добавлением случайной «соли», а зашифрованными алгоритмом 3DES. В этом случае потеря ключа дискредитирует надежность всей базы данных, но пока еще ключ не появился в открытом доступе. Когда «соль» в шифровании не используется, одинаковые пароли в зашифрованном виде выглядят одинаково. Подсказки к паролям хранились в открытом виде, следовательно, злоумышленник может объединить одинаковые зашифрованные пароли и получить все возможные подсказки для одного и того же пароля. Нередко в базе данных попадаются такие подсказки, как «работа», «единый вход», «пароль от Outlook» и «пароль от Lotus notes». Это означает, что один пароль используется несколько раз и, сведя зашифрованный пароль к набору применяемых подсказок, можно его легко подобрать. Кроме того, для защиты паролей применялось блочное шифрование, следовательно, злоумышленник мог взломать фрагменты паролей и использовать их для взлома учетных данных других пользователей в базе.

При моделировании подверженности постороннему воздействию организация определяется как подверженная постороннему воздействию, если соблюдены следующие критерии.

1. Пароль, используемый в электронной почте сотрудника, совпадает с паролем, применяемым для защиты выполняемой им критически важной работы.

2. Пароль можно легко восстановить по базе данных Adobe, объединив подсказки к зашифрованным паролям.

Отсюда следует, что вероятность постороннего воздействия для организации с n сотрудников, при условии что сотрудники независимы, а на частоту повторного использования пароля не влияет уязвимость пароля сотрудника, можно смоделировать следующим образом:

P(сотрудники, подвергшиеся воздействию >= 1)

= 1 – P(Любой пароль сотрудника используется повторно И тот же пароль уязвим при объединении подсказок)ⁿ

= 1 – (1 – P(пароль используется повторно)P(отдельный пароль уязвим при объединении подсказок))ⁿ.

Эксперты по безопасности придерживаются разных мнений относительно частоты повторного использования паролей в учетных записях.

В некоторых исследованиях этот показатель находится в диапазоне от 12 до 20 %¹⁰, а в исследовании, проведенном в Принстоне с использованием ограниченных данных, он составляет 49 %¹¹. Опираясь на предыдущие результаты, полученные при подобном анализе, в данной модели взято равномерное распределение в диапазоне от 0,15 до 0,25).