Как решать проблемы уязвимостей компьютерной сети и несанкционированного доступа
В современном мире проблемы ИБ – это не пустой звук. Информационных систем становится все больше, сама по себе информация и другие цифровые активы сейчас составляют существенную часть капитала большинства компаний.
Рынок киберпреступности постоянно развивается, и даже информация о ваших сотрудниках, их почтовых адресах и должностях для киберпреступников важна и может стоить денег. Что уж говорить о кибершпионаже, охоте за патентами и т. д.
Проблемы ИБ актуальны для большинства компаний. Это правда, что основным мотивом большинства кибергруппировок является финансовая нажива, однако не всегда, и как мы только что поняли – даже сама по себе информация, не относящаяся к счетам компании, может представлять ценность для финансово мотивированных киберпреступников.
Еще не так давно основному риску подвергались финансовые институты, поскольку именно там «находятся» деньги – в настоящее время любой банк, даже самый маленький, осознает важность обеспечения кибербезопасности и готов тратить на это деньги.
Киберпреступниками являются люди, идущие по пути наименьшего сопротивления, поэтому как только атаковать финансовые институты стало сложно, они сконцентрировались на компаниях других отраслей, «вытаскивая» из них деньги либо воруя информацию, чтобы потом ее продать.
Некоторые факты о защите
Любой специалист по безопасности знает несколько основных фактов:
Во-первых, абсолютно защищенных систем не бывает, любую систему защиты можно обойти, любую инфраструктуру – взломать, вопрос только в затрачиваемых на это ресурсах. Другими словами, если прибыль, которую может получить преступник, взломав вашу компанию, меньше или сопоставима с тем, сколько он должен на это потратить, то такая атака не имеет смысла.
Во-вторых, не нужно быть самым быстрым, нужно быть быстрее самых медленных, то есть если ваши конкуренты не защищают свою сеть, а вы защищаете, то на вас не будут тратить силы, гораздо проще атаковать ваших конкурентов (конечно, если это не целевой заказ, например, конкурентная разведка).
В-третьих, по-прежнему самым слабым звеном является человеческий фактор – вы можете сколько угодно средств тратить на системы защиты, но если вы не озаботились развитием киберграмотности своих сотрудников, то все ваши усилия ничего не дадут – сотрудники либо непредумышленно впустят преступников в вашу сеть, либо у вас заведутся инсайдеры, которые продадут доступ или информацию за финансовое вознаграждение.
Однако давайте все же рассмотрим, каковы основные пути проникновения преступников в вашу сеть для доступа к информации и как с этим бороться.
Способы предотвращения атак
Любая атака начинается с фазы разведки, когда злоумышленники собирают информацию о вас, границах вашей сети, опубликованных сервисах, ваших сотрудниках и их контактах, адресах ваших офисов. Чем больше информации удалось собрать преступникам, тем больше потенциальных векторов для атаки: атака веб-сайта, атака опубликованных сервисов (типа терминальных серверов, VPN и др.), физическое проникновение с подключением микроустройства для удаленного доступа или фишинг. На самом деле способов проникновения гораздо больше, выше перечислены самые простые. Все эти и другие возможные векторы надо защищать и знать, что они уязвимы.
При этом важно понимать, что фишинг – наиболее простой и популярный способ. Не секрет, что более 90% всех успешных проникновений в сеть происходят именно из-за фишинговых рассылок, когда злоумышленник организует целевую отправку писем с вредоносными файлами, ссылками, документами вашим сотрудникам. Сотрудники открывают такие письма, запускают файлы, а они в свою очередь заражают компьютеры и тем самым предоставляют злоумышленникам доступ в вашу сеть. Дальше лишь дело времени и техники. Если злоумышленники уже имеют доступ в вашу сеть, то рано или поздно они добьются своих целей. Конечно, можно им помешать, отследить, заблокировать, но это гораздо сложнее, чем постараться предотвратить такой доступ.
В первую очередь обучайте своих сотрудников – рассказывайте им про злоумышленников, вредоносные письма и предоставьте им способы проверки – письмо в службу ИБ, песочницу. Устраивайте им тренинги и проверки, причем это касается всех ролей – и топ-менеджмента, и айтишников, и бухгалтерии, и секретариата.
Во-вторых, в любом случае защищайте свои внутренние рабочие места – компьютеры, используйте современные средства защиты для рабочих станций (EDR, EPP), антивирусы.
Используйте фильтрацию входящей электронной почты в виде антиспама, антифишинга и (в идеале) песочницы.
В-третьих, организуйте защиту периметра организации. Защита периметра в виде IDS/IPS, NGFW, DPI и других решений, которые будут контролировать как входящий, так и исходящий трафик и искать в нем следы атак и аномалий.
В-четвертых, защищайте опубликованные внешние сервисы, будь то веб-сайты, порталы, внутренние ресурсы, почтовые системы и т. д. – для этого существует множество классов систем: и WAF для защиты порталов, и DPI для анализа протоколов, и Anti-DDOS для защиты от атак, выполняемых для отказа в обслуживании.
В-пятых, не забывайте про разграничение сегментов – пользователи и серверы должны быть разделены, опубликованные наружу сервисы должны находиться в отдельной зоне, так же, как и бизнес-критичные сервисы должны быть изолированы от всего остального, и доступ к ним должен контролироваться. Это не только поможет защититься от проникновения в вашу сеть, но и если проникновение произошло, затруднит злоумышленникам получение доступа к важной информации.
Как управлять парком используемых ИТ- и ИБ-решений
На самом деле, способов и средств защиты от различных видов угроз гораздо больше – сюда может входить и защита облаков, и защита привилегированного доступа, и защита баз данных, и многое другое, но с чего-то необходимо начинать. Не забывайте также и про актуальный в период пандемии удаленный доступ – за прошлый год было огромное количество атак, связанных именно с незащищенной организацией удаленной работы – тут нужно учитывать и двухфакторную аутентификацию, и принцип least privilege, и защиту домашних устройств при предоставлении доступа к корпоративным ресурсам.
Ну и наконец, этим всем парком систем защиты надо управлять, мониторить, следить за угрозами и коррелировать информацию для того, чтобы ловить не только простые, но и более сложные угрозы, которые можно выявить лишь на стыке многих средств защиты. В этом помогают SIEM-системы – именно они и позволяют, получая информацию со всех систем безопасности, рабочих станций, серверов, бизнес-приложений, выделять действительно важную информацию и вовремя реагировать на угрозы.
Эксперты компании RuSIEM создают решения в области мониторинга и управления событиями информационной безопасности на основе анализа данных в реальном времени. Среди наших решений – программный комплекс обеспечения информационной безопасности (ИБ), который позволяет собирать и анализировать информацию о событиях ИБ, получаемую из разнородных источников. SIEM-система (Security Information and Event Management) позволяет увидеть максимально полную картину активности сетевой инфраструктуры и событий информационной безопасности.
Продукты, которыми пользуются наши заказчики, помогают обнаруживать и предотвращать угрозы благодаря анализу событий с сетевых устройств, решений безопасности, рабочих станций, серверов и приложений.
RuSIEM – коммерческая версия системы класса SIEM (Security information and event management), включающая корреляцию в режиме реального времени, визуализацию данных и поиск по ним, долгосрочное хранение сырых и нормализованных событий, инцидент менеджмент и отчеты.
RuSIEM Analytics – модуль для коммерческой версии системы RuSIEM, дополненный возможностями ML (Machine learning), DL (data learning), по визуализации данных, управление активами и множеством других, способствующих обнаружению угроз и аномалий, решающих различные кейсы с помощью современных методик.
RvSIEM free – решение класса LM (Log Management), которое позволяет собрать, нормализовать события, строить отчеты, долгосрочно хранить, визуализировать данные. RvSIEM free – ограниченная по возможностям коммерческая версия RuSIEM.
Смотреть все статьи по теме "Информационная безопасность"
