Как проверить ИТ-инфраструктуру компании на уязвимость к кибератакам
На прошлой неделе ТАСС со ссылкой на ведущую деловую газету Японии Nikkei сообщило, что за 10 месяцев этого года более тысячи крупных компаний из разных стран подверглись кибератакам. Даже такие гиганты, как японская Toyota Motor и южнокорейская LG Electronics, не избежали проникновения хакеров.
О том, какие объекты IT-инфраструктуры компании чаще всего подвергаются кибератакам, что включает в себя проверка контуров безопасности организации на уязвимость и почему она должна проводиться комплексно, расскажет ведущий специалист по информационной безопасности Servicepipe Никита Прохоренко.
В заключении наш эксперт поделится советами, какой вклад в защиту компании может внести каждый сотрудник.
Чтобы проверить инфраструктуру компании на уязвимость к кибератакам, нужно сначала понять, что чаще всего подвергается нападению хакеров. Безусловно, все технические средства защиты постоянно совершенствуются. Но стоит помнить о так называемом принципе щита и меча: чем прочнее щит, тем острее становится меч. Хакеры, чьи атаки нацелены на получение огромной прибыли, находят всё более ухищрённые способы пробиться через эшелоны защиты и проникнуть в IT-инфраструктуру компании. Успех атаки во многом зависит от понимания психологии людей и фантазии самих взломщиков.
Даже когда речь идёт о крупных и достаточно защищённых в техническом плане организациях, самым уязвимым местом всегда является человек. Кибератаки чаще всего происходят из-за беспечности пользователей и недостаточной защиты от их ошибок. Здесь имеется множество точек входа, через которые хакеры могут попасть в инфраструктуру компании. Это: электронная почта, система обработки входящих заявок от клиентов и т.п.
Разумеется, техническую сторону вопроса упускать тоже не стоит, так как она в части случаев может иметь узкие места, в которых защита проработана недостаточно. Это позволит хакерам проникнуть во внутренний контур IT-инфраструктуры. А уже оттуда они могут начать пробиваться к объектам критической информационной инфраструктуры и впоследствии просить у владельцев КИИ очень приличные суммы за работоспособность этих объектов и сохранность хранящейся там информации.
Объекты IT-инфраструктуры, которые чаще всего подвергаются кибератакам
Во-первых, кибератакам часто подвергаются веб-сайты, личные кабинеты, какие-либо публичные сервисы и тому подобное, то есть объекты, которые имеют доступ в Интернет.
Они подвержены DDOS-атакам. Действия злоумышленников могут помешать работе компании, ограничив доступность сотрудникам тех или иных элементов бизнес-процессов (например, если хакер решит запустить атаку на какие-то офисные адреса). С другой стороны, они способны навредить и клиентам организации, перекрыв доступ к получению услуг (например, атака на веб-сайт заблокирует вход в личный кабинет). Отмечу, что DDOS-атаки по своей сути довольно просты, генерируются не так сложно, да и обходятся пиратам в десятки раз дешевле, чем ущерб, который они могут нанести.
Во-вторых, взломщикам интересны различные сетевые хранилища, базы данных и всё, что может содержать какую-либо важную информацию, например, персональные данные о клиентах или конфиденциальные материалы о деятельности компании.
Парализовать работу этих объектов могут даже вирусы-шифровальщики. Без специального ключа доступ к базе будет утерян, а сама информация фактически станет бесполезной, так как ей нельзя будет воспользоваться. Вымогатели это понимают и могут потребовать солидное вознаграждение за ключ. Но даже если компания решит заплатить, нет никакой гарантии, что ей вернут доступ.
Проверка безопасности IT-инфраструктуры
Подход к обеспечению безопасности IT-инфраструктуры компании должен быть комплексным. Если имеется хоть одна брешь в защите, все усилия и вложенные средства будут потрачены впустую.
Комплекс проверки включает в себя:
1) Анализ и последующую проверку на техническую уязвимость внешнего контура безопасности компании.
Обычно проводится в рамках общего аудита безопасности и включает в себя диагностику сетей передачи данных - тестирование проникновения, так называемый Pentest, по модели Black Box. При атаке на внешний контур хакер изначально не имеет никакого доступа к инфраструктуре, поэтому при проведении такого тестирования специалисты пытаются организовать ряд нападений на IT-инфраструктуру компании через открытый публичный доступ из интернета.
Защиту отдельных web-ресурсов и web-приложений можно проверить самостоятельно при помощи специальных сканеров: программы Nikto, Netsparker, OpenVAS и т.п.
Также проверку можно заказать у специалистов, которые смогут не только определить существующие уязвимости, но и предложить пути решения обнаруженных проблем.
2) Диагностику защищенности от DDOS-атак всех уровней сетевой модели OSI (Open Systems Interconnection model).
Если защита обеспечена не силами компании, а приобретена, её всё равно необходимо проверять, так как она может быть недостаточно надежной или не соответствовать требованиям компании к доступности ресурсов, то есть иногда может заблокировать реальных клиентов и, соответственно, привести к убыткам. Отдельное тестирование защиты можно тоже заказать у специалистов.
3) Анализ технической защищенности внутреннего контура безопасности компании.
Обычно также проводится в рамках общего аудита безопасности. Для тестирования использует Pentest по модели Grey Box или White Box. Специалистам предоставляется частичный или даже администраторский, но ограниченный доступ. То есть в этом случае кибератака моделируется с позиций сотрудника. Таким же способом можно провести проверку безопасности локальной сети и средств защиты информации от несанкционированного проникновения пользователя, которому доступ к этим данным не полагается.
4) Дополнительно при аудите безопасности проводится проверка защиты от человеческого фактора.
Для этого используются всевозможные методы атак: социальная инженерия, спам-рассылки, фишинги и т.п. Специалисты пытаются создать ситуации, заставить пользователей пойти у них на поводу и проверить, как они отреагируют на такие провокации.
Безопасность начинается с сотрудников
В техническом плане в принципе стоит всегда поддерживать современные версии программного обеспечения, так как они часто содержат и актуальные обновления безопасности, которые исправляют обнаруженные уязвимости.
А перед проведением всех возможных процедур по защите компании начинать стоит с сотрудников, мы же помним, что в инфраструктуре организации самым уязвимым местом являются люди. К сожалению, промахи случаются на том, что с первого взгляда кажется прописными истинами. Поэтому важно изначально предупредить всех сотрудников о соблюдении мер безопасности, так как защита начинается с малого.
Повторю, что категорически не рекомендуется делать сотрудникам:
- вставлять в рабочий компьютер флешки неизвестного происхождения;
- бездумно скачивать всё, что приходит по электронной почте, тем более что-то из папки «Спам»;
- открывать какие-то документы от случайных адресатов, даже если в теме написано «очень важно / срочно»;
- хранить пароли от рабочих сервисов в виде стикеров на столе или компьютере, а потом делать селфи на фоне рабочего места и выкладывать в общий доступ.
Сейчас во времена пандемии рекомендации в плане безопасности относятся к удалённой работе. Необходимо позаботиться о том, чтобы пользователи были довольно строго ограничены в своих возможностях, потому что рабочий компьютер предназначен для выполнения должностных обязанностей, решения поставленных задач и не более.
Важно, чтобы сотрудники:
- не пользовались корпоративными ресурсами и оборудованием компании в публичных сетях (например, wi-fi в общественных местах);
- не использовали рабочий компьютер в личных целях;
- не устанавливали подозрительные программы, то есть не делали всё, что может собирать какие-либо данные или пытаться проникнуть в сеть компании.
И, конечно, стоит помнить, что затраты на защиту IT-инфраструктуры не должны превышать имеющиеся риски. Согласитесь, никому не нужна безопасность, если она стоит дороже, чем убытки, которые может принести ее отсутствие.
Слово нашему эксперту по кибер-безопастности: "-Ля-ля-тополя-прописные-истины-пук."
Если вы специалист, не значит, что и другие знают. Многим менеджерам и такие, как вы не скажете "прописные" истины, и те не знакомы
Одна из бед с безопасностью начинается уже с самого начала,при неверном понимании статуса,что такое Ит-инфраструктура.Ее заносят в бух.учет - в раздел ТРАТЫ или РАСХОДЫ.А на самом деле?А на деле - это ИНВЕСТИЦИЯ.Следовательно и все последующие шаги в этом направлении являются определяющими.Если это траты или затраты - вы будете стараться их экономить,ведь это расходы,которые вынуждают вас беспокоиться,за итоговую ответную цифру по уровню расходов.А если это ИНВЕСТИЦИЯ - это кардинально другой подход,а значит и меры на реализацию - другие.При расходах - вы экономите,снижая затраты,при инвестировании - попытка извлечь пользу и выгоду.И очень часто - в погоне за снижением расходной составляющей,руководитель производит слияние множества параметров,как внутренней,так и внешней политики управления.Порой даже ИТ-отдел находится в введении отдела финансов или в штате структуры охраны.Ну ведь логично - явки/пароли доступ и прочее...либо туда - либо туда,при таком подходе.Хороший админ+прямые руки у него= экономия составит до миллиона руб в месяц.Посредственный админ+услуги внешних сил,ремонт+обслуживание=убытки в этот же миллион.
И очень часто - при таком подходе - чем энергичнее бегает админ или техник,тем выше его уровень квалификации и ресурсная возможность,вон какой живчик и на расхват.Это типичный Бред!
На деле же - чем незаметней его работа и как показатель - все работает без перебоев ,вот более верный признак профессионализма.
И о проблемах в ИТ-отрасли компании докладывают ИТ-спецы,если обнаруживают,что сотрудники бездарно и безграмотно пользуются своими инструментами.Ведь многим высокого полета манаго-Юзверям - не нравится,когда какой то очкарик в халате отчитывает их за неправильную эксплуатацию ПО и ПК.Пишут после они жалобы(как вообще посмел самого МЕНЯ или МНЕ такое).
А на деле - о проблемах чаще всего сообщают манагеры.Ибо именно типичный манагер чаще всего возглавляет ИТ-структуру(брат,сват,свояк,очень доверенное лицо).
Где такого полно?
Спёр.Хренькофф.Хреньдекс.Мяулру.ВыКы и ряде других структур.
Поэтому ответственно заявлю. В РФ - слово Безопасность...почти пустой звук.Ну или ржавый замок.При желании - завалить работу шестерочек или тупичкоф - ну максимум 24 часа на реализацию полного блэкаута,только это никому не надо.А уж Хренькофф со своими картами по тлф - и смех грех.Оно и понятно,ведь деньги он даёт не из своего личного актива,а из бюджетного.За сим.
Какие бы меры безопасности не применялись внутри компании, все это бесполезно при отсутствии мотивации у сотрудников. Гораздо проще купить внутри компании человечка и получить данные в красивой упаковке, чем ломать фаерволы \ эксплуатировать (покапать) уязвимости 0 дня.
Посмотрите на громкие утечки последнего времени - человек.
А учитывая подход большинства компаний к сотрудникам как расходному материалу и общую закредитовоность, ответ очевиден: Подкуп и шантаж, вот основная угроза ИБ.
Да, автор тоже говорил, что самое уязвимое место в защите - люди)
но береженного Бог бережет, поэтому нужно предпринять меры защиты со всех сторон, в том числе и в техническом плане.
Вот у меня около 300 сайтов разной тематики и я уже который год наблюдаю, что российские сайты пытаются взломать по 100 раз на дню. Причем каждый раз новый ip, попытка взлома, неудача, уход. А вот зарубежные сайты там такого нет. Даже спам ботов нет. Почему так - загадка.