Как обеспечить кибербезопасность компании в мире, где атаки хакеров происходят каждые 14 секунд

Дмитрий Сорокин

CEO компании Cibirlan

2020 год и пандемия внесли существенные коррективы в работу большинства компаний. Переход в онлайн и вынужденная цифровая трансформация принесли в жизнь руководителей широкий спектр новых рисков, к которым многие были просто не готовы. Последствия кибератак, технической неисправности сервисов или человеческой ошибки могут серьезно повредить бизнесу. Рассказываем, какие меры необходимо принять бизнесу для защиты от кибер-угроз.

Корпоративная кибербезопасность: актуальные вызовы

Согласно исследованию Cybersecurity Ventures к 2021 году киберпреступность будет стоить миру 6 триллионов долларов в год по сравнению с 3 триллионами в 2015 году.

Эти затраты включают в себя: повреждение и уничтожение данных, кражу денег, потерю производительности, кражу интеллектуальной собственности, кражу личных и финансовых данных, хищение, мошенничество, нарушение нормального ведения бизнеса после атаки, судебно-медицинское расследование, восстановление и удаление взломанных данных и систем, а также репутационный ущерб компании.

Примерно 80% компаний подвергались кибератаке за последние 12 месяцев и, согласно исследованиям о глобальных рисках Всемирного экономического форума 2019 года, мошенничество с данными и кибератаки являются четвертым и пятым глобальными рисками, с которыми сталкивается каждая организация.

Выявление кибер-рисков на раннем этапе — одна из самых важных и сложных задач компании при выстраивании корпоративной кибербезопасности. Здесь часто не достаточно просто изучить несколько статей в интернете и поставить двухфакторную авторизацию на все сервисы — вам необходимо знать и понимать, с чем вы можете столкнуться.

Выделяют 3 основных типа угроз:

• кибератаки,
• уязвимость облачных сервисов;
• человеческий фактор.

Кибератака

По сути, это сознательная попытка нанесения вреда организации, вызванная стремлением злоумышленника получить выгоду — материальную, конкурентную или любую другую.

Основные формы кибератак

• Вредоносное ПО, главная цель которых — получить доступ к плохо защищенной ИТ-системе и уничтожить или украсть все или часть данных компании, получить конфиденциальную информацию (данные пользователей, секреты производства и т.п). Такие виды атак могут в том числе затронуть веб-сайт компании, что может привести к его сбою, размещению поддельной информации на сайте, распространению вредоносного ПО с вашего сайта и многие другие последствия.
• Фишинг. Это использование email’ов известных компаний или поддельных сайтов для получения с человека конфиденциальной информации. Самая популярная цель фишинга — кража учетных данных и банковской информации.
• Кибервымогательство. Здесь с помощью вредоносной программы злоумышленники шифруют ваши файлы или блокируют экран, а затем предлагают восстановить к ним доступ в обмен на денежное вознаграждение.
• Атаки через посредников. Возможны, когда хакеры внедряются во взаимодействие двух сторон. Например, когда вы используете общественный wifi, хакеры могут внедрить собственный узел во взаимодействие между вами и используемыми вами сервисами. Для пользователя хакерский узел будет притворяться сервисом, а для сервиса — пользователем. В таком случае все данные, что вы передаете, будут незаметно попадать напрямую к злоумышленникам.
• Атаки на уязвимости. Риски могут быть как в незащищенных данных и устаревшем оборудовании на ваших серверах, офисных компьютерах и вебсайтах, так и в обучении сотрудников. Например, хакеры могут получить необходимую для взлома информацию просто поболтав лично или в переписке с вашим сотрудником.
• DDoS атаки (распределенные атаки типа «отказ в обслуживании») — это когда злоумышленники отправляют огромное количество запросов на ваш ресурс с целью «уронить» его, т.е. сделать недоступным или существенно замедлить. Подвергаться таким атакам с целью нарушения работы внутренних сервисов компании может как вебсайт или приложение компании, так и ваш сервер или маршрутизатор.

Защита от подобных видов атак требует всестороннего подхода к корпоративной кибербезопасности.

Компании редко задумываются о безопасности заранее. Вопрос встает только по факту возникновения проблем. Конечно, когда молодая компания запускает свой первый сайт, она старается экономить, используя популярные CMS, и про безопасность, скорее всего, даже не задумывается — в результате чего такой сайт имеет повышенный риск заразиться вирусами. Злоумышленники легко взламывают такие ресурсы, особенно когда данные CMS не обновляются.

Хотя мало известные компании не очень интересны злоумышленникам, одним из частых запросов от таких компаний — вылечить их зараженный веб-сайт. Так как многие современные браузеры могут определить вирус и предупреждают пользователей об опасности — клиенты уходят с зараженных сайтов и компания теряет прибыль. Также на зараженном сайте может появиться сторонняя реклама, иногда с непристойным содержанием, что очень сильно может повлиять на репутацию данной компании.

Для избежания подобных проблем мы рекомендуем постоянно обновлять вашу CMS, проводить по возможности аудит сайта или разрабатывать веб-сайты без использования CMS.

«Но проблемы молодых компаний несоизмеримы с проблемами крупных компаний. Чем известнее компания, тем больше появляется проблем. Чем популярней бренд, тем больше желающих найти уязвимость. Напомню, что такие гиганты как Microsoft, Apple и Google платят большие деньги всем, кто находит уязвимость в их продуктах. И к нам достаточно часто обращаются крупные компании с просьбой выявить и исправить известные злоумышленникам уязвимости. Т.е. клиент знает, что злоумышленники нашли брешь в их системе, но ни клиент, ни разработчик этой системы найти эту брешь, а уж тем более исправить ее, не могут. А такие бреши, как правило, влекут серьезные финансовые потери.

Еще один из примеров, когда компании может потребоваться усиленная защита — во время проведения рекламных акций. В такие периоды злоумышленники пытаются повысить нагрузку на сервера компании с целью вывода их из строя. И здесь вам поможет мониторинг повышенной активности атак на ресурсы».

Крупные утечки данных за 2021 год

• Сотрудники CNA Financial не смогли получить доступ к корпоративным ресурсам и были заблокированы после атаки программы-вымогателя, которая также включала кражу данных компании. Сообщается, что компания заплатила выкуп в размере 40 миллионов долларов.
• В сети с 27 августа по 13 сентября 2021 года была выложена база данных объемом 4,1 Тб в виде ElasticSearch-сервера с данными почти 2 млн абонентов компании «Билайн». Утекли личные данные абонентов, номера телефонов, адреса электронной почты, адреса проживания, даты рождения и номера паспортов.
• В декабре Bitmart заявила, что брешь в системе безопасности позволила киберзлоумышленникам украсть около 150 миллионов долларов в криптовалюте, а общие убытки, включая ущерб, достигли 200 миллионов долларов.

Уязвимость облачных сервисов и человеческий фактор

Несмотря на множество преимуществ, при размещении своих данных в облачной среде компании необходимо особенно тщательно следить за безопасностью этих данных и привычками своих сотрудников.

Когда злоумышленники получают ключи доступа к сервисам компании, то возможны, как минимум, два пути развития событий: либо они «всё ломают» и компания получает нерабочий сервис и пропавшие данные, либо они незаметно крадут данные и продают вашим конкурентам.

Хранение данных в Интернете представляет собой риск в тех случаях, когда:

1. инструменты настроены неправильно или не используются должным образом;
2. пользователи не достаточно осведомлены о настройках безопасности или проявляют халатность и не действуют в соответствии с основными инструкциями по безопасности.

Использование неутвержденных облачных приложений, ошибки конфигурации SaaS/IaaS/PaaS и случайный обмен конфиденциальными данными — все это риски, которые возрастают при использовании облака.

По сути PaaS, SaaS, IaaS это концепция аренды с абонентской платой. Вы не покупаете железо, программу, сеть (или другую инфраструктуру) себе на баланс, а берете ее в аренду в облаке например (PaaS, SaaS, IaaS). Конечно необходимо выбрать правильное облако для своих интересов:

Для крупных и средних компаний лучше выбрать IaaS. Инфраструктура включает вычислительные ресурсы: виртуальные серверы, хранилища, сети. Решения IaaS более серьезные и финансово затратные, приходится иметь дело с безопасностью данных, резервным копированием и непрерывностью бизнеса. Это означает, что вашей команде придется научиться управлять новой инфраструктурой. В противном случае процесс мониторинга и управления ресурсами может стать слишком сложным.

Для PaaS самым частым покупателем являются средние компании, и более уникальный рынок — разработчики и компании, создающие собственное ПО. Удобство этой модели в том, что вам не надо администрировать системное ПО. Появляется полная свобода, какие прикладные программы и средства разработки развернуть на взятой в аренду инфраструктуре.

SaaS = eCommerce. Еще SaaS называют Aii-In-One , потому что поставщик отвечает за задачи по развертыванию и обслуживанию приложений: облачный хостинг серверов, установка операционной системы, виртуализации и средств резервного копирования, промежуточное ПО, и прикладные приложения. Очень хороший вариант для малого и среднего бизнеса.

Но основная угроза для организации исходит от сотрудников: повторно используемые пароли, атаки социальной инженерии и неспособность реализовать многофакторную аутентификацию являются наиболее вероятными угрозами, чем удаленно установленное ПО или любые кибератаки.

Исследование Microsoft, которая ежедневно противодействует более 300 миллионам попыток мошеннического входа в свои облачные сервисы, показывает, что 99,9% атак можно отразить с помощью развертывания многофакторной аутентификации, где от пользователя требуют кода подтверждения в дополнение к паролю для каждой учетной записи.

Что можно сделать прямо сейчас для повышения кибербезопасности вашего бизнеса

1. Обновляйте существующее программное обеспечение. Обязательно следите за актуальной версией антивирусной программы и проверяйте обновления текущих инструментов компании с учетом последних угроз.
2. Выбирайте технологические решения и инструменты для предотвращения возникновения рисков. Прежде всего это решения для синхронизации и совместной работы.
3. Определите конфиденциальные данные, которые требуют особой защиты. Обеспечьте им особые условия защиты (ограничьте доступ собственных сотрудников к этим данным), пропишите возможные варианты действий при утечке данных.
4. Подумайте о резервном копировании данных. Это поможет предотвратить изменение, повреждение или удаление важных данных компании. (И не забывайте иногда проверять, что данные из бекапов успешно восстанавливаются)
5. Уделите особое внимание управлению правами пользователей. С SaaS и облачными решениями доступ должен быть защищен строгой аутентификацией, а права доступа прописаны для каждой категории сотрудников.
6. Продумайте план действий компании при кибератаке. Он поможет продолжить работу и быстрее встать на ноги после возможной атаки.
7. И самое главное — повышайте осведомленность сотрудников о корпоративной кибербезопасности.

Самая нелепая кража данных произошла в декабре 2019 года. У бухгалтера Facebook из машины украли 3 жестких диска с данными 29 тыс. сотрудников компании. Там были данные о заработной плате, имена сотрудников, номера банковских счетов и последние четыре цифры номеров социального страхования. Жесткие диски даже не были зашифрованы. А в 2017 году Deloitte стала жертвой взлома, продолжавшегося несколько месяцев. Хакеры получили доступ к ИТ-системе компании, взломав учетную запись администратора, которая была защищена простым паролем.

Выявление рисков и технологическая безопасность компании являются, безусловно, очень важным звеном в кибербезопасности. Но первая линия угрозы — ваши сотрудники. Поэтому, закладывая бюджет на новые сервисы и внедрение их в компанию, не забывайте обучать сотрудников основам элементарной кибербезопасности.

«If you spend more on coffee than on IT security, you will be hacked. What’s more, you deserve to be hacked» ― Richard Clarke