31 марта — это такой Хэллоуин безопасников: по легенде именно в этот день всякая нечисть вылезает из даркнета и бомбит атаками ИТ-инфраструктуру компаний. Кто-то нацеливается на компании покруче и ищет славы, кто-то тихо крысит коммерческую информацию, чтобы продать её подороже… И тут день бы выстоять да ночь продержаться. Но это, конечно, чистой воды сказка и миф: на самом деле угрозы информационной безопасности существуют не в последний день марта, а в режиме 24/7/365. Но многим почему-то пофиг: у них есть подушки безопасности в автомобиле, они пристёгивают ремень, надевают шлем на картинге, страхуют жилище, ставят сигнализацию на квартиру и автомобиль, надевают чехол на дорогой телефон, но на работе упорно пишут пароли на стикерах, жмотятся на средства безопасности и наивно полагают, что уж их компания-то точно никому не сдалась.
Ребята, чьё второе имя риск и опасность, этот пост для вас.
В 2019 году в США прошёл опрос 1200 владельцев малого бизнеса. Выяснилось, что с 2015 года процент малых предприятий, сообщивших о кибератаках, увеличился втрое, а почти 80% респондентов заявили, что им «трудно угнаться за постоянно меняющимся киберпространством». Так, кибератакам подвержены 12% компаний малого бизнеса, более 20% среднего бизнеса и почти 33% крупного бизнеса. На фоне постоянного роста тренда кибератак это очень опасные и немного удручающие цифры. Удручающие прежде всего потому что эти атаки зачастую — не результат продуманных действий самых мощных хакерских группировок, а закономерный итог всеобщего раздолбайства, прижимистости руководства, алчности сотрудников и подлости конкурентов. И самое интересное, что ситуация эта применима почти ко всем регионам мира. Эти слова подтверждает ещё один факт из исследования: каждый четвёртый респондент не верил, что его бизнес когда-нибудь подвергнется кибератаке. И то правда: зачем небольшая или даже средняя компания международным хакерам и кому придёт в голову внедрить в ИТ-инфраструктуру такой компании вредоносное ПО?
В том-то и дело, что современные киберугрозы живы далеко не одними хакерами, вирусами, червями и прочим malware. Как минимум, есть программы-вымогатели и социальная инженерия, от которой трудно обезопасить компанию в условиях тесной связанности всех виртуальных сущностей и слагаемых человека. Злоумышленники (а иногда и конкуренты с их помощью) выстраивают сложные схемы взаимодействия с сотрудниками компании и таким образом добиваются едва ли не добровольной передачи всей нужной информации.
Так что в 2021 году может угрожать кибербезопасности?
Несерьёзное отношение к кибербезопасности
Можно вбухать огромные деньги в систему информационной безопасности и не получить никакого эффекта. У этой проблемы есть двое виновников: руководство компании и бизнес-процессы. Нередко бывает, что руководители инвестируют в систему информационной безопасности и ждут результатов: скандалов, интриг, расследований, разоблачений. Они полагают, что в конце месяца им принесут головы хакеров приведут самых злостных киберпреступников и предоставят отчёты об атаках. Зачастую им крайне сложно объяснить, что если ничего не произошло, значит, что система работает отлично и не зря ест инвестиционный ресурс: она надёжно защищает компанию и не пропускает злоумышленников за контур информационной безопасности.
Что касается бизнес-процессов, то здесь ключевая проблема компаний лежит в сфере разрозненности отделов и других подразделений компании. То есть служба безопасности или системный администратор делают всё для защиты компании, а сотрудники других отделов пишут пароли на стикерах, входят в рабочие системы с Wi-Fi в любимом или случайном кафе, имеют один пароль на офисную CRM, доступ к корпоративной системе знаний, рабочей почте, личной почте, страничке ВКонтакте и Инстаграму. То есть работа одного подразделения может пойти насмарку из-за безалаберности отдельных сотрудников и человеческого фактора.
Вообще идея создания службы безопасности всё больше критикуется, особенно в ИТ-сфере. Действительно, сотрудники, отвечающие за безопасность в компании, должны озаботиться тем, чтобы в каждом отделе соблюдались базовые правила безопасности и регламенты работали внутри каждого бизнес-процесса. Такой комплексный подход поможет минимизировать уязвимости.
Реактивная, а не проактивная кибербезопасность
Если сотрудник, отвечающий за безопасность компании, способен отразить атаку, предотвратить кражу данных и фрод со стороны сотрудников, это настоящий Супермен. Но не молодец. Молодец тот (или те) сотрудник, который способен обеспечить безопасность таким образом, чтобы атаки и утечки данных были просто невозможными или останавливались на подступах к информационным системам компаний.
Предотвратить и не допустить гораздо проще и дешевле, чем исправлять. Стоит помнить, что нарушение безопасности — это экономический, правовой и репутационный риски, самые дорогие внутри любого бизнеса. Поэтому в безопасности должно всё быть, как и с человеческим здоровьем: профилактика решает и выигрывает.
Пароли, пароли, пароли...
Это очень смешно, но пароли по-прежнему приносят много проблем компаниям — просто потому что человек со скомпроментированной базой в руках уже кулхацкер. Промахнуться с паролями проще простого: стандартные наборы из топ-10 взламываемых паролей, угадываемые значения (дни рождения, имена и т.д.), пароли от соцсетей на корпоративных системах, общие пароли для всей компании, админские пароли для всех пользователей. Ну и конечно, всё это хранится ровно в трёх местах: на стикерах на мониторе, в блокнотах на столе и — особо секьюрно — на перевёрнутой бумажке под клавиатурой. Есть, конечно, у офисных сотрудников сверхсекьюрный способ хранения паролей: они находятся в отдельном txt-файлике на рабочем столе компьютера. Ну а о том, чтобы регулярно обновлять пароли и речи не идёт — тут бухгалтера или продажника может переполниться и выдать полный stack overflow.
Проблема паролей далеко не надумана: это самая доступная дыра в безопасности, которой могут воспользоваться не только злоумышленники, но и, например, бывшие сотрудники или сотрудники, готовые покинуть компанию вместе с коммерчески критичными данными.
Авось оно само работает, никто же не проник
Проблема подавляющего большинства компаний любого масштаба — отсутствие тестирования безопасности, причём его нет как со стороны внутренних служб и сотрудников, так и со стороны внешних агентов (профессиональных пентестеров). Это чревато тем, что дорогостоящие (и любые) средства безопасности могут работать неправильно и/или неполноценно, а какие-то участки инфраструктуры оказываются уязвимыми. И если для небольшой компании это может закончиться простой утечкой данных (клиентской базы, операционных показателей или базы сотрудников), то для крупного предприятия или завода отсутствие адекватного аудита безопасности скорее всего обернётся катастрофой (и не факт, что не странового и даже не планетарного масштаба).
Профессиональные пентестеры ищут незащищённые уязвимости в контуре безопасности вашей компании, проводят преднамеренные и управляемые атаки, тестируют фишинг, работают с SQL-инъекциями на всех веб-ресурсах, ломают законным путём инфраструктуру так, как бы её могли сломать незаконным. Внешние аудиторы безопасности — это не только профессионалы, но и люди со свежим взглядом на ваш бизнес: порой они видят очевидные проблемы, которые лежат на поверхности, но остаются незамеченными из-за того, что сотрудники к ним привыкли. Более того, иногда бывает, что в компании привычно обходят дыру в безопасности каким-то временным воркэраундом, который был создан на пару дней пять админов назад, но жив до сих пор. Ну и конечно, немаловажно, что внешние пентестеры полностью беспристрастны — им некого покрывать в вашей компании. И это здорово минимизирует человеческий фактор: увы, самые серьёзные проблемы безопасности могут исходить именно от сотрудников.
Инсайдерская угроза: чужой среди своих
Инсайдерская угроза — одна из самых трудно обнаруживаемых и не поддающихся профилактике угроз. Она может исходить от сотрудников компании, должностных лиц и партнёров, связанных с компанией. Более того, это могут быть бывшие сотрудники, аудиторы, юристы, заказчики и прочие лица, которые когда-либо получали доступ к конфиденциальной коммерческой информации. При этом внутренние сотрудники обеспечивают большинство утечек — внешние агенты гораздо более трепетно относятся к подписанным договорам с NDA и дорожат репутацией своих организаций. Самое страшное, что такие угрозы невозможно обнаружить и предотвратить привычными методами.
Методы инсайдеров также весьма изощрённы: от стандартного слива и копирования до вхождения в группировки заинтересованных лиц и логических бомб (когда бывшие сотрудники оставляют разнообразные… гхм… программные «сюрпризы» в ИТ-инфраструктуре и хранилищах данных компаний). Причём целью может быть как нажива, так и банальная месть. Более того, иногда сотрудник даже не догадывается, что он участвует в инсайдерской схеме.
Сложно сказать, как бороться с инсайдерами. Здесь все меры хороши: от «кротов» в подразделениях до тотального контроля подозрительных сотрудников. Проблема в том, что нередко главной угрозой становится самый тихий и аккуратный сотрудник. И это страшно, потому что в погоне за таким сучком (ох уж эта игра слов) можно всю компанию в щепки разнести. Будьте бдительны и осторожны, проанализируйте инсайдерские каналы и воздействуйте на них точечно.
Небезопасные корпоративные системы и бизнес-софт
Увы, даже самые дорогие корпоративные программы могут быть скомпрометированы и не гарантируют полной безопасности, более того как раз небольшие разработчики софта управляют безопасностью своих программ эффективно из-за того что у них более «плотная» разработка, компактнее команда и они уделяют много времени рефакторингу и проектированию систем и алгоритмов (но это не точно, точнее точно не для всех). Проблемы могут быть связаны как с архитектурой программ, так и с облачным провайдером-партнёром вендора и даже с человеческим фактором, когда фактором риска являются сотрудники компании-разработчика.
Поэтому не стоит слепо доверять вашему поставщику ПО, защитите себя, задавая вопросы и принимая меры: обратите внимание на репутацию разработчиков, узнайте всё о мерах безопасности и способах защиты данных, узнайте периодичность бэкапов, возможности распределения прав доступа. Рекомендуем вам не пользоваться облачным провайдером поставщика (никто не знает, на чём он там сэкономил и как хранит данные), выбирайте своего VPS-провайдера (например, мы в RUVDS уделяем безопасности максимальное внимание и готовы помочь разместить ваш софт на наших мощностях) и размещайте софт у него либо вообще на своих серверах (дорого, но при наличии хорошего сисадмина максимально секьюрно).
Помимо этого обратите внимание на патчи, минорные и мажорные обновления программного обеспечения. Если разработчик ПО их выпускает, обязательно накатывайте, чтобы обеспечить актуальное и безопасное состояние ПО.
Кстати, об облачных провайдерах и хостингах. Не храните данные в мешке за сараем: с осторожностью подходите к выбору поставщика облачных услуг, уточняйте, в какой юрисдикции хранятся их данные. Всегда уточняйте у потенциального поставщика облачных услуг, где они размещают свои данные. Хорошие хостеры должны предлагать в различных юрисдикциях и должны быть в состоянии рассказать вам о законах, действующих в каждой юрисдикции, чтобы вы могли осознанно и мотивированно выбрать, где хранить ваши данные. Для России это особенно важно — если не знаете, почему, смотрите федеральный закон № 152-ФЗ.
Один за всех
По состоянию на 2021 год ассортимент средств обеспечения информационной безопасности настолько велик, что можно предотвратить практически все угрозы (включая форс-мажоры из-за пожара в дата-центре). Вот только небольшой список, доступный любой компании: брандмауэр, антивирусы и антиспам, VPN, системы мониторинга и ITSM, системы контроля цифровой активности сотрудников (зло, конечно, но есть), функции распределения прав доступа внутри бизнес ПО, средства безопасности операционных систем и проч. Их комплексное использование способно надёжно защитить компанию от большинства типов атак. Но компании нередко отдают предпочтение лишь одному способу из соображений экономии, безалаберности и фразы «и так сойдёт».
Подход к безопасности должен быть исключительно многомерным и включать как софтверные средства, так и обучение сотрудников, контроль исполнения сотрудниками требований безопасности и даже учения по информационной безопасности в компании.
Цена ошибки — жизнь компании
Не нужно быть лучшим хакером мира, чтобы атаковать компании малого и среднего бизнеса — достаточно спровоцировать ошибки сотрудников или воспользоваться уже совершёнными. Фишинговые письма, социальная инженерия, подкуп, обман сотрудников — самый простой и действенный набор инструментов, который помогает приблизиться к корпоративным данным и использовать их. К сожалению, такие ситуации повторяются в компаниях от раза к разу, а сценарии атак постоянно меняются, хоть и незначительно.
Выход один: обучать сотрудников и буквально делать рассылки с каждым новым способом атаки. Но нет никаких гарантий, что завтра не появится в корне новый метод, о котором вы не успеете предупредить коллег. Например, был случай, когда у компании с международными продажами софт решила закупить «полиция Миннесоты» — они попросили 120 лицензий, прислали гарантийное письмо, что оплатят полученные ключи в течение месяца. Всё было максимально серьёзно и официально. Ключи были переданы, никто их не оплатил. Да, это всего лишь недополученный доход для компании: подумаешь, виртуальный ключ. Но, увы, никто не может предположить, как они будут использованы или перепроданы. Пока выяснили, пока проверили, пока заблокировали, можно было причинить очень много проблем — повезло, что это скорее всего были какие-то глупые хулиганы.
Управление безопасностью для галочки
В компании могут быть самые дорогие средства безопасности и самые продвинутые безопасники на большой заработной плате, а потом утром на Хабре напишут пост про то, как вашу систему взломали. И причина тому — клубок жадности и невнимательности. Но это полбеды: поругались, связались с автором, поблагодарили его (да же?) и закрыли уязвимость. А вот если никто не напишет на Хабр, а будет ежедневно эксплуатировать уязвимость и использовать ваши коммерческие данные для своих выгод, это настоящая беда.
Поэтому нужно менять отношение сотрудников к безопасности: они должны знать, что безопасность в компании контролируется, исполняется и каждый из них несёт ответственность за компоненты информационной безопасности на своём месте. При этом недостаточно подписывать дополнительные соглашения и озвучивать цели, важно включить элементы управления безопасностью во все бизнес-процессы и системы, чтобы сотрудники видели, что проблема не номинальна. Кстати, неплохо мотивируют награждения сотрудников за соблюдение правил информационной безопасности: вы можете это реализовать в формате геймификации, системы KPI, регламентов и т.д. Главное, сотрудники должны видеть глубокую и искреннюю обеспокоенность руководства проблемой корпоративной безопасности.
Иногда угрозы безопасности возникают из ниоткуда. Старая ИТ-мудрость гласит: «Вы в безопасности настолько, насколько безопасно ваше самое слабое звено». Вы точно знаете, где это звено в вашей компании? Например, автор этой статьи работал в одной региональной компании и сидел на городском автовокзале, ждал автобус. Рядом сидел человек, который по телефону громко и возмущённо рассказывал схему отката и работы с поставщиком довольно эксклюзивной продукции. И так совпало, что автор был работником конкурента. Более эпичный слив информации сложно представить. Информацией никто не воспользовался, но это было уже дело принципа. Так вот, дыру в безопасности могут породить болтуны, любители селфи на фоне рабочего монитора или внутри инфраструктуры (если речь идёт о производстве), случайные скриншоты с адресом и портом админки в адресной строке и другие случайности такие как потерянные ноутбуки и телефоны, оставленные бумаги, забытые флешки и т.д.
Поэтому — соблюдайте гигиену информационной безопасности и приучайте к ней ваших коллег и сотрудников. И да, делайте бэкапы не только 31 марта.
Делайте, мать их, бэкапы!
Автор: ru_vds
