Усиление информационной безопасности: излишняя предосторожность или необходимая мера?
Фото: master1305, freepik
За последние годы мощность кибератак на частные и государственные интернет-ресурсы заметно усилилась. Уязвимы оказались даже гигантские корпорации, имеющие целые структуры, нацеленные на информационное развитие и защиту данных. Чего добиваются хакеры и как предупредить угрозы?
Евгений Царев, управляющий RTM Group:
Утечки данных несут два вида последствий: непосредственные и репутационные. Непосредственные заключаются в попадании клиентской базы в руки к конкурентам или злоумышленникам (которые в дальнейшем могут использовать ее для проведения более сложных атак), потере ноу-хау или списка поставщиков. Репутационные – к негативному восприятию компании как со стороны клиентов, так и со стороны партнеров. Существует также третий вид последствий, но он касается далеко не всех утечек – это штрафы со стороны государства. По неизвестной причине боятся именно их, в то время как они до сих пор, пока не ввели оборотные штрафы, не так и велики. Гораздо страшнее потеря клиентов. Взломщики продают их данные конкурентам, вымогают деньги за расшифровку данных и просто продают в даркнете – персональные данные ценны независимо от отрасли. По этой причине любой организации стоит опасаться за свои данные и принимать меры для обеспечения их безопасности.
Безопасность интернет-ресурсов обеспечивается комплексом мероприятий:
1) Оптимизацией кода и обеспечением безопасной разработки;
2) Защитой хостинга межсетевым экраном и WAF (специализированный межсетевой экран для защиты WEB-приложений);
3) Организацией резервного хостинга для ресурса – чтобы легко поднять в общий доступ ресурс при успешной атаке.
Последний вариант дает возможность минимизировать последствия. Как и резервное копирование. Ну и совет из старых времен – не хранить все яйца в одной корзине. Необходимо несколько ресурсов, каждый из которых мог бы компенсировать потерю другого.
Простейшие средства защиты от кибератак – антивирусные средства, межсетевые экраны, средства обновления. Именно они при условии корректной настройки и поддержании актуальных баз перекрывают большую часть актуальных угроз. С их помощью вполне возможно отразить порядка 90% атак. Но если говорить о целевых атаках, в которых задействуется социальная инженерия, то противостоять им технически почти невозможно. Требуются сложные средства, например, системы управления информационной безопасностью SIEM или XDR, а также организационные меры. Такая совокупность позволяет отразить 99% атак, но не гарантирует абсолютной защиты. Человеческий фактор был и остается самым мощным ключом в руках преступников, при помощи которого они могут открывать самые разные двери.
Александр Герасимов, эксперт в области тестирования на проникновение и анализа защищенности, директор по информационной безопасности и сооснователь Awillix:
У любой организации существует внешняя и внутренняя инфраструктура, которая нуждается в защите. И в любой системе существуют уязвимости, но, в зависимости от ресурсов, которые нужно задействовать злоумышленникам для успешной атаки, принято выделять несколько основных уровней защищенности.
1. Начальный уровень
На начальным уровне защищенности находятся компании, чьи сервисы может атаковать любой человек, который использует доступные инструменты взлома: статьи на форумах или видео на Ютубе. Так тренируются студенты-безопасники первого курса, изучая обзоры частых и банальных уязвимостей.
Именно на начальном уровне защищенности велика вероятность попасть под автоматизированную атаку — злоумышленники просто сканируют сеть на наличие известных уязвимостей. А обнаружив «дыру в безопасности», эксплуатируют ее.
Решением для защиты на этом этапе будет статический анализ кода и использование сканеров, чтобы автоматически обнаружить и устранить баги и уязвимости сайта или приложения до публичного релиза. Это обезопасит компанию от начинающих хакеров и не таргетированных автоматических атак.
2. Низкий и средний уровень
Простой автоматический поиск слабых мест в защите не спасет вас от более подготовленных злоумышленников. Умеющий работать головой и руками злоумышленник может выявить уязвимое место на сайте или в приложении, посылая в него разнообразные запросы. Он изучает реакцию системы и может менять вектор атаки в зависимости от ответа.
На этом уровне атакующий вынужден использовать инструменты, специально разработанные для проникновения, и обладать навыками использования уязвимостей в своих целях.
Для атаки на средний уровень защищенности злоумышленнику недостаточно публично доступных инструментов — требуется их усовершенствование, использование нескольких методик для обхода защитных механизмов и опыт атак на организации аналогичного типа.
Инструменты защиты, которые применяют в этом случае — это анализ защищенности, ручное тестирование, anti-DDoS решения и доступные фаерволы. Они позволяют найти всевозможные уязвимости IT-инфраструктуры: технические, логические и все те, что могут привести к мошенническим операциям или отказу обслуживания.
3. Существенный и высокий уровень
Существенный уровень защиты — уже весомая причина, по которой большинство злоумышленников, откажутся тратить время на взлом компании. Но в случае целенаправленных (в том числе и выполняемых на заказ) атак к взлому подключаются настоящие профессионалы и целые группы хакеров.
Для того, чтобы преодолеть существенный уровень, злоумышленники вынуждены постоянно совершенствовать или даже разрабатывать специальные инструменты проникновения. На этом уровне речь не идет об одиночной атаке — на достижение цели тратятся месяцы и годы, а методы совершенствуются после каждой попытки, отброшенной мерами обнаружения и сдерживания.
Если злоумышленнику в ходе очередной атаки удастся получить права минимального уровня внутри вашей инфраструктуры, он сможет пройти аутентификацию под легитимным пользователем. Это открывает возможность переиспользовать полученные данные для доступа к адресам, которые ему открыты, и повысить уровень собственных привилегий внутри системы. Двигаясь шаг за шагом по атакуемой инфраструктуре, хакер в итоге добирается до прав администратора домена на одной из машин внутренней сети и захватывает управление всей инфраструктурой.
На высшем уровне защиты злоумышленнику уже недостаточно навыков и упорства — необходимо инвестировать собственные активы (материальные и финансовые), придумывать новые сценарии компрометации среды и инновационные методы проникновения, подкупать или принуждать сотрудников компании.
Для того, чтобы защититься от злоумышленников с таким уровнем подготовки и мотивации, недостаточно думать только о системе защиты от одиночной атаки или серии атак. Принципиальное значение приобретают процессы. Необходимо выстроить и внедрить правила предоставления и отзыва доступа для каждого сотрудника, порядок мониторинга подозрительных активностей и реагирования на инциденты и многое другое. Например, каждый сотрудник должен точно знать, что ему делать и к кому обратиться при получении подозрительного сообщения, обнаружении незнакомых файлов или программ на своем рабочем компьютере.
Кто совершает кибератаки
Хактивисты — это люди, которые взламывают по фану, преследуя свои личные цели. Как правило, таких людей быстро находят и наказывают.
Группировки — это команды людей, которые либо работают на себя, либо на государство. У них есть расширенный инструментарий, подготовленные эксплойты — вредоносные программы. Группировки действуют более скрытно, аккуратно и выводят большое количество конфиденциальной информации.
Конкуренты. Это люди, которые приходят на теневые рынки, заказывают услуги по взлому веб-сервисов компаний-конкурентов и используют их информацию в своих целях.
Чек-лист по работе с сотрудниками, чтобы противостоять социальной инженерии (фишингу):
Помимо технических особенностей, есть базовые правила информационной безопасности, которые нужно соблюдать каждому сотруднику.
- Всегда используйте сложные пароли, состоящие из верхнего и нижнего регистра, цифр и спецсимволов;
- Создавайте разные пароли на разных сервисах;
- Не забывайте включать двухфакторную аутентификацию;
- Не переходите по подозрительным ссылкам в письмах, SMS и мессенджерах;
- Внимательно смотрите на адрес отправителя и адрес сайта. Чаще всего фишинговый домен незначительно отличается от легитимного;
- Блокируйте компьютер и мобильный телефон, когда покидаете рабочее место.