Базовые методы защиты корпоративной ИТ инфраструктуры без инвестиций

Киберриски прописались в мировом рейтинге экономических угроз, конкурируя с глобальным потеплением, разрушением природных экосистем и загрязнениями окружающей среды.

Об этом говорят исследования, представленные на международном экономическом форуме в начале 2020 года. Однако если сегодня эта опасность пока на 7-8 месте, то в ближайшее десятилетие, согласно прогнозам экспертов, кибератаки займут второе по значению для бизнеса место. 

Предприниматели уже сегодня начинают остро ощущать угрозы информационной безопасности, поскольку в условиях карантина перешли на удаленный режим работы. Цифровизация процессов не только потребовала серьезных изменений ИТ инфраструктуры предприятия, но и сделала корпоративную систему уязвимой. Каждый сотрудник, который работает из дома, - это дополнительная точка входа в вашу рабочую экосистему. Бизнес становится мобильным, а значит - подходы к защите должны адаптироваться под новые реалии.

Сегодня каждый, так или иначе, задумывается над защитой в интернете на разных уровнях: от репутации, до персональных данных. В среднем человек находится онлайн в течение 6 часов и 42 минут каждый день. Естественно, бизнес подстраивается под привычки клиентов. Однако, чем больше компания представлена в сети, тем больше у нее шансов стать жертвой киберпреступников. Задача владельца бизнеса - принимать риски кибербезопасности или устранять угрозы. Об этом нужно задуматься как можно раньше, в идеале, на старте проекта. Чем критичнее информация, которой вы владеете, чем интереснее она конкурентам, тем выше риск быть атакованным. Собственник бизнеса может оценить риски самостоятельно, доверять эту роль специально нанятому сотруднику или внешнему консультанту, но ответственность все равно останется за ним.

Экономический кризис, вызванный ограничениями на работу бизнеса, не позволяет инвестировать в информационную безопасность, но есть инструменты, которые можно внедрить с минимальными затратами. Далее речь пойдет о подходах и практиках, которые актуальны для компаний любой величины, о базовых методы защиты.

Управление доступом и парольная политика

Современные информационные системы включают в себя функционал ролевой модели. Его задача - ограничить доступ сотрудников к информации в зависимости от должностных обязанностей. Однако далеко не все используют эту функцию и случаи наделения всех без исключения полными правами, увы, далеко не редкость. Начните с минимизации прав пользователей - настройте систему так, чтобы сотрудник получал доступ только к тому объему информации, который необходим для работы. Это уменьшит вероятность попадания финансовых, стратегических, коммерческих и других критичных данных не в те руки и умерит соблазн выноса информации за пределы компании.

Не забывайте забирать доступы у сотрудников при увольнении или изменять при переходе на другие должности. Не важно управляете вы учетными данными централизованно или у каждой информационной системы есть владелец, убедитесь, что блокирование прав доступа происходит вовремя, например, в последний рабочий день сотрудника при подписании обходного листа.

Пароль - самый распространенный способ аутентификации пользователя при входе в информационные системы, завладев которым, злоумышленник автоматически получает доступ к данным. Создание и соблюдение парольной политики не требует больших затрат времени и сил, но затруднит кражу или подбор учетных данных. Наиболее популярные правила регулируют сложность и срок жизни пароля, запрет на хранение его в записанном виде и передачу третьим лицам (в том числе коллегам), запрет использования одного пароля к разным информационным системам т.д.

Многие онлайн-сервисы дают возможность включить второй фактор защиты при входе в систему. Например, СМС с кодом, телефонный звонок, токен и др. Если программное обеспечение позволяет активировать второй фактор, не упускайте возможность усовершенствовать защиту данных.

Хранить пароли и контролируемо делиться ними поможет специализированное программное обеспечение. На рынке существует большой выбор платных и бесплатных менеджеров паролей в зависимости от задач. Обращайте внимание на наличие ролевой модели внутри системы, второго фактора для авторизации, выход регулярных обновлений и храните пароли безопасно.

Стандартизация и обновление программного обеспечения

Эксперты по кибербезопасности компании FireEye опубликовали в 2020 году серию исследований, посвященных использованию уязвимостей программного обеспечения. Лидерами по наличию слабых мест стали продукты компании Microsoft, что логично объясняется широким использованием этой операционной системы. Практически половина уязвимостей были использованы после выхода обновлений (патчей), которые их устраняют.

Уменьшить вероятность взлома с использованием уязвимостей можно, наладив регулярную установку обновлений на операционную систему, сетевое, серверное, периферийное оборудование и другое программное обеспечение, особенно с доступом в интернет: браузеры, мессенджеры, почтовые клиенты. Крайне важно использовать в работе, ПО, которое имеет официальную поддержку вендора. Разработчики регулярно отслеживают уязвимости продукта и выпускают обновления, которые их закрывают. Регулярность обновлений устанавливается индивидуально, но главное помнить, что чем дольше ПО не обновлялось, тем уязвимее оно к атакам.

Отдельное внимание следует уделять обновлениям операционной системы на серверах. Бытует мнение, что операционные системы Linux не подвержены атакам, однако это не так - количество уязвимостей на платформе Linux меньше, чем на Windows, но риск также есть. Не забывайте об обновлениях среды виртуализации и прошивок физических серверов. Если вы арендуете ресурсы в облаке, спросите у провайдера, как он защищает площадку и как часто проводит обновления ее компонентов.

Web приложения и разработка

Наибольшее количество атак, в том числе заказных, приходится на веб-приложения, опубликованные в интернете. Аномальная активность на сайте - это не всегда проблема производительности. Иногда это проблемы с кодом, а иногда и показатель того, что по вашим опубликованным ресурсам ведется разведка. Предотвратить сканирование и легкую атаку помогут средства защиты веб приложений класса Web Application Firewall. На рынке их много, есть и бесплатные, и дорогие. Какие использовать, зависит от сложности атаки, стоимости “падения” вашего веб-ресурса и ценности данных, которые можно получить, взломав приложение.

Если ведете разработку самостоятельно, установите критерии безопасности для ваших программистов: версии платформ и библиотек только актуальные и обновляемые, трафик только шифрованный, запрет на хранение паролей в открытом виде, соблюдение рекомендаций производителей веб решений для настроек сайтов и т.д. Наличие критических уязвимостей в ваших продуктах может повлечь утечку и даже потерю данных.

Заключение

К уже сказанному также хочу добавить несколько коротких рекомендаций:

• Зашифруйте рабочие станции сотрудников при помощи Bitlocker или FileVault, который является частью операционной системы Windows или MacOS соответственно. В случае утери ноутбука данные будут в безопасности.

• Используйте антивирусное программное обеспечение с обновляемыми базами сигнатур.

• Выбирайте надежных поставщиков услуг, спрашивайте о безопасности покупаемых сервисов, в контрактах с подрядчиками обращайте внимание на границу прав и доступов, которыми делитесь, подписывайте NDA.

• Периодически мониторьте даркнет на предмет появления там ваших данных.

Эти далеко не полный перечень базовых рекомендаций и он не гарантируют защиту на 100%. В случае, когда бизнес “живет” в интернете и сайты имеют нетривиальную бизнес-логику, так или иначе придется инвестировать в инструменты защиты. Но главное, что об информационной безопасности необходимо задумываться до того, как система подвергнется атаке. Игнорирование этого направления может принести ущерб бизнесу не меньше, чем игнорирование юридических законов или правил ведения бухгалтерского учета. Вам нужно установить “правила игры” уже сейчас и обучать свои персонал учитывать киберугрозы при разработке новых продуктов и внедрении новых процессов.