Введение
Долгое время малый и средний бизнес (МСБ) не привлекал особого внимания хакеров, так как возможная «выручка» от такой атаки не окупала затрат на её организацию. Как следствие — в этом сегменте укрепилось мнение, что антивируса и межсетевого экрана вполне достаточно для надежной защиты. Но в последние несколько лет ситуация изменилась по ряду причин: удаленная работа и цифровизация бизнеса создает новые возможности для атак, появились «хактивистские» группировки, атакующие не ради денег, а по идейным соображениям.
Тренд общемировой: консалтинговая компания Accenture приводит данные, что около 43% атак по всему миру нацелены на малый и средний бизнес. В России согласно исследованию Агентства стратегических инициатив с киберинцидентами столкнулись 45% компаний в данном сегменте. Очевидно, что привычных мер защиты уже недостаточно.
Популярные меры защиты МСБ
Компании малого и среднего бизнеса условно можно разделить по уровням зрелости процессов ИБ в зависимости от угроз, которым они способны противодействовать.
Актуальные угрозы по уровням зрелости ИБ:
На начальном уровне внимание уделяется базовым угрозам, вроде вирусов и сетевых атак (проникновение в корпоративную сеть с целью вывести из строя сервисы компании или похитить конфиденциальную информацию).
Минимальный набор инструментов для защиты выглядит следующим образом:
- межсетевой экран;
- антивирусное ПО;
- сбор и хранение резервных копий.
Однако после внедрения этих мер остается достаточное количество угроз. Существуют разные способы обойти межсетевой экран и проникнуть в инфраструктуру компании, например: неправильная конфигурация сетевого оборудования (открытые незащищенные порты, ошибки в настройках VPN для удаленной работы и т.д.), эксплуатация уязвимостей ПО, спуфинг (попытка обмануть пользователя, когда злоумышленник или вредоносная программа маскируется под доверенное лицо/полезное приложение). После проникновения во внутренний контур, если у компании есть только межсетевой экран и антивирус, действия злоумышленника будет никак не отследить.
Антивирусы защищают от уже известного вредоносного ПО, но могут дать сбой — пропустить ранее неизвестный или замаскированный под полезное приложение вирус. Кроме того, остаются актуальными внутренние угрозы — когда сотрудники компании злонамеренно или в результате социальной инженерии сами скачивают вредоносное ПО или раскрывают конфиденциальные данные.
Актуальные угрозы и меры противодействия
Остановимся подробнее на угрозах, описанных выше. Как хакеры обходят межсетевые экраны, какие решения могут предотвратить или помочь обнаружить такое проникновение?
Эксплуатация уязвимостей
Для полноценной и эффективной работы компании требуется целый набор специального (не говоря уже про системное) программного обеспечения. Цифровизация повышает эффективность бизнеса, но вместе с тем приносит и новые возможности для злоумышленников — уязвимости могут появиться в коде самых популярных решений.
Например, в середине марта прокатилась волна заражений ранее неизвестным вредоносным ПО в результате простого перехода по ссылке из фишингового письма в браузере Google Chrome (злоумышленники использовали уязвимость нулевого дня в Google Chrome). Ещё один пример: критическая уязвимость в Microsoft Outlook в феврале, которая позволила хакерам обойти защитные механизмы почты и загружать вредоносное ПО из вложений в письмах.
Благодаря таким «лазейкам» в коде можно проникнуть в корпоративную сеть, получить доступ к конфиденциальной информации или вызвать сбои в работе сервисов.
Выявление и управление уязвимостями осуществляется в системах класса VM (Vulnerability Management). Опираясь на общедоступные базы данных об уязвимостях (CVE, БДУ ФСТЭК и др.), а также на настройки конкретных экземпляров ПО, система сканирует каждый узел и предоставляет проранжированный по критичности список уязвимостей, которые необходимо устранить. Большое количество выявленных уязвимостей зачастую связано с нерегулярностью обновлений ПО, а также использованием сервисов от неблагонадёжных поставщиков. Организация грамотного патч-менеджмента позволит избежать вероятных угроз, связанных с уязвимостями ПО.
Небезопасные настройки оборудования
Помимо выявления уязвимостей в ПО надо контролировать и настройки оборудования. С этой целью для каждого узла сети определяется его «эталонная конфигурация», при которой осуществляется штатное функционирование: отличные от эталонных и/или слишком открытые настройки создают бреши в инфраструктуре, которыми могут воспользоваться хакеры. Например, в случае, если на устройстве было открыто несколько лишних портов, должна быть возможность отследить эти изменения и вернуться к безопасной конфигурации (закрыть порты). Для хранения и управления конфигурациями оборудования применяют системы класса CMDB (Configuration Management Data Base).
Неконтролируемая инфраструктура: конечные узлы, ПО
Отсутствие детальной информации о корпоративной сети само по себе не несёт никакой угрозы, кроме неэффективного распределения ресурсов. Однако в разрезе информационной безопасности организации это приводит к тому, что проверке подвергаются только те узлы, о которых знает служба ИБ, в результате чего часть инцидентов может быть пропущена. Также возникает вероятность реализации угроз безопасности из-за теневых ИТ-активов, не имеющих отношения к осуществляемой деятельности, но находящихся в контуре (например, брошенные виртуальные машины, неиспользуемые базы данных и т.д.).
Для автоматизации данного процесса применяются системы класса ITAM (IT Asset Management). С их помощью возможно организовать сканирование, идентификацию и инвентаризацию эксплуатируемых активов. Таким образом, имея представление об актуальном составе сети, можно не только оперативно обнаруживать потенциальных нарушителей внутри, но и поддерживать в актуальном состоянии перечень эксплуатируемого оборудования и ПО.
Мониторинг событий
Патч-менеджмент уязвимостей и контроль конфигураций не являются 100% гарантией защиты от проникновения. Необходимо не только защищаться от проникновения, но и контролировать события в корпоративной сети, чтобы вовремя обнаружить атаку.
В сети компании с сотнями и тысячами рабочих мест, серверов, роутеров, межсетевых экранов и других устройств ежедневно генерируются миллионы событий. Обнаружить в таком потоке атаку без использования специального ПО практически невозможно. Для мониторинга происходящих событий в реальном времени, анализа и корреляции (объединения) по заранее определенным правилам в инциденты информационной безопасности внедряют SIEM-системы. Они позволяют выявлять аномалии в ряду казалось бы обычных событий и обнаруживать угрозы, до того, как они приведут к серьезному ущербу. В дальнейшем с помощью полученных от SIEM данных можно проводить расследования возникших инцидентов и корректировать процессы организации.
Новые технологии — не панацея
Прежде чем бросаться покупать продвинутые системы защиты, необходимо позаботиться о реализации всех текущих доступных мер. Речь в первую очередь о регулярном и актуальном обучении персонала по противодействию киберугрозам: минимизация использования личных устройств в рабочих задачах, запрет перехода по сомнительным ссылкам, правила поведения при обнаружении подозрительного письма и так далее. Никакое, даже самое современное, средство защиты не может уберечь от методов социальной инженерии.
Использование человеческих слабостей, таких как невнимательность, излишняя доверчивость или страх, зачастую доступнее, чем поиск и эксплуатация уязвимостей оборудования или программного обеспечения.
Также не лишним будет упомянуть процессы харденинга (hardening), основной целью которого является максимально уменьшить поверхность атаки, то есть снизить количество возможных точек входа для злоумышленников: например, изоляция неиспользуемых портов, проведение аудита учётных записей, отключение неиспользуемых сервисов и многое другое.
Вывод
Цифровизация бизнеса с одной стороны повышает его эффективность, а с другой — чем больше становится инфраструктура, чем больше приложений используется для работы, тем более привлекательной мишенью для хакеров становятся даже небольшие компании. Описанные в статье меры защиты можно отнести к базовым — они помогут противостоять самым распространенным массовым угрозам и на сегодняшний день являются «минимальной цифровой гигиеной» для всех компаний, независимо от их размера.
