Назад к блогу

Поиск утечек корпоративных данных: инструменты и методы обнаружения

14 мин. чтения0 просмотровКибербезопасность

Масштаб проблемы утечек данных

Утечки корпоративных данных — одна из главных угроз современного бизнеса. Стоимость утечки данных для бизнеса продолжает расти, а среднее время обнаружения компрометации измеряется месяцами. В России ситуация не менее серьёзная: ежегодно фиксируются десятки крупных утечек, затрагивающих миллионы записей.

Чем раньше вы обнаружите утечку, тем меньше ущерб. Разница между обнаружением за 30 дней и за 200 дней может составлять миллионы рублей.

Типы корпоративных утечек

Учётные данные (Credentials)

Самый распространённый тип утечки. Включает:

  • Пароли сотрудников — из взломанных сторонних сервисов
  • Корпоративные email + пароль — прямой путь к компрометации
  • API-ключи и токены — доступ к инфраструктуре и данным
  • SSH-ключи — доступ к серверам

Почему критично: Значительная часть взломов связана с утекшими или слабыми паролями. Если сотрудник использует один пароль везде, утечка из стороннего сервиса может привести к компрометации корпоративной сети.

Персональные данные (PII)

  • ФИО, email, телефоны клиентов и сотрудников
  • Паспортные данные — серия, номер
  • Платёжные данные — номера карт, CVV
  • Медицинские данные — особо защищённая категория

Почему критично: Утечка ПДн грозит штрафами по 152-ФЗ (до 18 млн руб.) и репутационным ущербом.

Интеллектуальная собственность

  • Исходный код — опубликован в публичном репозитории
  • Документация — техническая, финансовая, стратегическая
  • Коммерческие секреты — клиентские базы, ценообразование

Инфраструктурные данные

  • Конфигурационные файлы — пароли к БД, API-ключи
  • Бэкапы — дампы баз данных
  • Логи — содержащие чувствительную информацию
  • Внутренние URL — панели управления, staging-серверы

Где искать утечки

1. Базы утечек (Breach Databases)

Существуют агрегаторы утечек, собирающие данные из тысяч инцидентов:

  • Have I Been Pwned — крупнейшая публичная база
  • DeHashed — платный сервис с расширенным поиском
  • LeakCheck — поиск по email, имени, телефону
  • IntelX — агрегатор различных источников

Что искать: email-адреса вашего домена, имена сотрудников.

2. Даркнет (Darknet/Dark Web)

Торгвые площадки и форумы в Tor-сети:

  • Форумы — XSS, Exploit, BreachForums
  • Маркетплейсы — продажа доступов и данных
  • Telegram-каналы — утечки, сливы, продажа доступов
  • Paste-сайты — публикации фрагментов данных

Что искать: название компании, домен, имена ключевых сотрудников.

3. Публичные репозитории кода

GitHub, GitLab, Bitbucket — частое место утечек:

  • API-ключи и токены — захардкоженные в коде
  • Конфигурационные файлы — .env, config.yaml, settings.py
  • Пароли к БД — в строках подключения
  • Приватные ключи — SSH, SSL-сертификаты

Как искать:

org:company-name password
org:company-name api_key
org:company-name secret
filename:.env DB_PASSWORD

4. Paste-сайты

Pastebin, Ghostbin, JustPaste.it и аналоги — злоумышленники публикуют здесь фрагменты утечек:

  • Части баз данных
  • Списки учётных данных
  • Конфигурационные файлы
  • Доказательства взлома

5. Поисковые системы

Google dorking для поиска утечек:

site:pastebin.com "company.ru"
site:trello.com "company.ru" password
site:docs.google.com "company.ru" confidential
filetype:sql "company" password

6. Социальные сети и мессенджеры

  • Telegram-каналы — сливы баз данных
  • Discord-серверы — обмен утечками
  • Форумы — обсуждения взломов

Инструменты мониторинга утечек

Автоматизированные платформы

Для постоянного мониторинга рекомендуется использовать EASM-платформы с модулем мониторинга утечек:

  • Автоматический поиск по базам утечек
  • Мониторинг даркнета
  • Отслеживание публикаций на paste-сайтах
  • Алерты при обнаружении новых утечек

Периметр включает модули мониторинга утечек и даркнета в комплексное сканирование безопасности. Это позволяет обнаруживать утечки в рамках общего мониторинга поверхности атаки.

Для проверки email

  • Have I Been Pwned API — программный доступ к базе утечек
  • Firefox Monitor — бесплатная проверка на утечки

Для мониторинга кода

  • GitHub Secret Scanning — встроенная проверка на секреты
  • TruffleHog — поиск секретов в git-истории
  • GitLeaks — статический анализ репозиториев

Автоматизация мониторинга

Что мониторить

  • Базы утечек — ежедневно, искать email домена
  • Даркнет — ежедневно, искать название компании и домен
  • GitHub — в реальном времени, искать ключи, пароли, конфиги
  • Paste-сайты — каждый час, искать домен и email
  • Google — еженедельно, dork-запросы

Настройка алертов

  • Критичные — утечка паролей, API-ключей, баз данных
  • Высокие — утечка email сотрудников, персональных данных
  • Средние — упоминание компании на форумах
  • Низкие — упоминание домена на paste-сайтах

Реагирование на утечку

Первые 24 часа

  1. Определите масштаб — что именно утекло, какой объём
  2. Смените учётные данные — все скомпрометированные пароли, ключи, токены
  3. Заблокируйте скомпрометированные аккаунты — принудительный сброс паролей
  4. Проверьте логи — были ли использованы утекшие данные
  5. Уведомите команду ИБ — эскалация инцидента

В течение 72 часов

  1. Уведомите РКН (если утечка ПДн) — требование 152-ФЗ
  2. Уведомите затронутых лиц — если утекли персональные данные
  3. Проведите расследование — как произошла утечка
  4. Документируйте — все действия по реагированию

Долгосрочные меры

  1. Устраните причину — закройте канал утечки
  2. Усильте мониторинг — увеличьте частоту проверок
  3. Обучите сотрудников — awareness-тренинги
  4. Обновите политики — парольная политика, доступы

Превентивные меры

Технические

  • Многофакторная аутентификация — для всех корпоративных сервисов
  • Менеджер паролей — уникальные пароли для каждого сервиса
  • DLP-система — предотвращение утечек изнутри
  • Шифрование — данных в покое и при передаче
  • EASM-мониторинг — непрерывный контроль утечек

Организационные

  • Политика паролей — минимум 12 символов, уникальность
  • Классификация данных — что является конфиденциальным
  • Принцип наименьших привилегий — минимально необходимый доступ
  • Обучение сотрудников — как распознать фишинг, правила обращения с данными
  • Инвентаризация сервисов — где какие данные хранятся

Юридические

  • Политика обработки ПДн — в соответствии с 152-ФЗ
  • NDA — соглашения о неразглашении с сотрудниками и подрядчиками
  • Договоры с подрядчиками — требования к защите данных
  • План реагирования — документированный процесс на случай утечки

Что делать прямо сейчас

Утечки данных неизбежны в современном мире, но их последствия можно минимизировать:

  • Мониторьте проактивно — не ждите, пока вам сообщат
  • Автоматизируйте — ручной мониторинг не масштабируется
  • Реагируйте быстро — каждый час задержки увеличивает ущерб
  • Предотвращайте — MFA, менеджеры паролей, DLP
  • Готовьтесь — план реагирования должен быть до инцидента

Начните с проверки вашего домена на утечки — Периметр включает мониторинг утечек и даркнета в комплексное сканирование безопасности.

Поделиться:TelegramVK

Похожие статьи

Кибербезопасность

Защита бренда от фишинга: как обнаружить и заблокировать поддельные домены

Полное руководство по защите бренда от фишинга: виды угроз, методы обнаружения поддельных доменов, CT logs, DNS-мониторинг, процедура takedown.

8 апр. 202614 мин. чтения
Кибербезопасность

Сайт взломали: пошаговый план действий и предотвращения повторения

Что делать, если сайт взломали: первые 24 часа, восстановление, расследование, юридические аспекты и превентивные меры для защиты от повторения.

8 апр. 202613 мин. чтения
Кибербезопасность

Пентест или автоматическое сканирование: что выбрать для защиты бизнеса

Детальное сравнение пентеста и автоматического сканирования: стоимость, глубина, частота, когда что использовать и как комбинировать.

8 апр. 202613 мин. чтения1
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.