Как защитить информационную безопасность компании магнит

Для многих компаний малого и среднего бизнеса утечка на сторону важной информации может стать катастрофической. К примеру, если клиентская база попадёт в руки конкурентов или важная техническая документация новейшего гаджета уплывёт в интернет, это может серьёзно пошатнуть позиции бизнеса или вообще поставить на нём крест. О том, как защитить важную служебную информацию, в своей авторской колонке рассказал начальник отдела информационной безопасности компании «СёрчИнформ» Алексей Дрозд.

Малый и средний бизнес – тоже в зоне риска

Хакеры зашифровали данные в IT-инфраструктуре корпорации Colonial Pipeline и вынудили её заплатить выкуп в 5 млн. долларов, чтобы восстановить работу нефтепровода. Сотрудника Apple поймали в аэропорту на пути в Китай с технической документацией на разработку новейшего беспилотника. Всё это касается только крупных компаний? У рядового производства или дизайн-студии нечего украсть, они никому не интересны, верно? Нет.

По статистике половина всех шпионских атак направлена на небольшие компании. Атаковать их обычно проще – и вот почему:

1. В небольших компаниях хакеры редко встречают сопротивление. Как правило, у малого бизнеса стоит простейшая антивирусная программа, возможно ещё файрвол (сетевой экран, защищающий от несанкционированного доступа), но этого недостаточно.

2. В компаниях малого и среднего бизнеса очень часто нет собственного отдела безопасности. Более того – часто в штате нет даже IT-специалиста.

3. Как логичное следствие из п. 2 – зачастую культура защиты данных в компании очень низкая. Информация может храниться и пересылаться в открытом виде, а программное обеспечение не обновляться, из-за чего злоумышленники могут использовать «незапатченные» (то есть не исправленные) уязвимости.

4. Сотрудники часто не знают базовых принципов цифровой гигиены. Поэтому хакерам порой даже не приходится заморачиваться – достаточно составить умеренно правдоподобное фишинговое письмо со ссылкой на заражённый ресурс или с вредоносным вложением, которое будет содержать вирус-шифровальщик или вирус-шпион.

Атака на босса

При этом цифровая грамотность топ-менеджеров тоже может быть невысокой. А атака на руководителя – самая опасная, т.к. у него есть доступы ко всем критически важным активам.  

Владельцам и руководителям компаний важно понимать, какие типичные риски для них существуют. Вот вероятные и опасные ситуации, которые могут быть актуальны для малого бизнеса:

1. Атака вирусами-шифровальщиками

С шифровальщиками сталкиваю многие компании, и этот тип вируса стал настоящим бичом для бизнеса. Ситуация только ухудшается, потому что мошенники постоянно меняют подход к организации атаки. Несколько лет назад хакеры использовали несовершенные вирусы, ключ шифрования мог оставаться внутри кода. Тем самым, оставался шанс успешного извлечения зашифрованных данных. Но сейчас используется новое поколение «зловредов», и если у вас не настроено резервное копирование, с данными скорее всего придется распрощаться.

Поэтому в самых критичных ситуациях компании решаются платить мошенникам, но 
нет гарантии, что данные вернут – и вернут в целости. Кроме того, мошенники сейчас всё чаще избирают стратегию двойного вымогательства. Данные они сначала могут слить себе, а только потом зашифровать. Это может стать поводом для шантажа компании. Самые креативные преступники 
заводят отдельные сайты-витрины, где выкладывают похищенные данные компаний, отказавшихся от выплаты выкупа. Данные даже 
пытаются продать конкурентам.

«Доставляться» вирус-шифровальщик может через фишинговые рассылки, подброшенные флешки, 
удалённый доступ, который злоумышленник может получить из-за слабого пароля в корпоративных сервисах и т.д. 

2. Несанкционированный доступ к активам компании

Не нужно объяснять, что случится, если третьи лица получат доступ к вашим счетам, базе 1С или даже к электронной почте. Злоумышленники могут сделать это, используя те же способы, которые описаны выше. А могут получить учётные данные через инсайдера, воспользоваться учёткой уволенного сотрудника. Проблема в том, что шпион в сети может оставаться незамеченным многие месяцы. За это время злоумышленник может завершить в сети все свои дела, а может передать доступ кому-то ещё.   

3. DDoS-атаки

Эти атаки нагружают сервер компании запросами до тех пор, пока он не начнёт «зависать» или вовсе не «ляжет». Главная опасность для бизнеса в том, что DDoS-атаки стали популярным механизмом заказного вредительства. Например, если ваша компания организует распродажу в «Чёрную пятницу», конкурирующий интернет-магазин может заказать DDoS-атаку на ваш сервер, что сделает невозможным покупки в этот день и нанесёт прямой финансовый ущерб. Заказать такую атаку, к сожалению, несложно – «услугу» оказывают обитатели даркнета. 

4. Утечки данных и промышленный шпионаж

Данные компании могут быть интересны злоумышленникам и сами по себе – для пополнения массовых баз в даркнете, особенно если в вашей компании хранятся персональные данные клиентов (а это скорее всего так). Часто их удаётся просто собрать с помощью программы (спарсить), если базы данных лежат в открытом виде. И это очень распространённая проблема. 

Также охотиться на данные могут и прицельно. Конкуренты выходят на определённых людей в компании, чтобы подкупом или шантажом заставить слить нужную информацию. Другой вариант – использовать инсайдеров обманом: выманить документы и сведения, используя упомянутый выше фишинг или другие методы социальной инженерии.

Атаки с помощью инсайдера – самый опасный и трудно фиксируемый вид угрозы, и самый главный враг малого и среднего бизнеса.

5. «Боковые» и мошеннические схемы сотрудников

В открытом доступе сложно найти статистику про реальный масштаб этих нарушений на стыке информационной и экономической безопасности. Компании предпочитают не распространяться насчёт злоупотреблений сотрудников и не обращаются по этому поводу в суды. Но ещё чаще – могут просто не знать о наличии проблемы.

Мы работаем с компаниями сектора МСБ как аутсорсеры внутренней безопасности, и собрали некоторые наблюдения о распространённости нарушений. Так, в каждой из компаний, с которой мы сотрудничаем, встречаются попытки слива данных о клиентах, технологиях и других документов с коммерческой тайной. 81% компаний 
сталкиваются с попытками сотрудников создать откатные и другие мошеннические схемы. В 76% компаний обнаруживают, что сотрудники подрабатывают или ведут параллельный бизнес на рабочем месте.

Удалёнка негативно отражается на этой ситуации, т.к. сотрудников становится сложнее контролировать, а в МСБ часто нет проработанных регламентов на этот счёт и редко применяется контролирующее ПО. 

Что делать

Такой внушительный перечень угроз при существующем уровне защищённости – не приговор для малого бизнеса. По большому счёту, главные векторы достаточной защиты таковы: 

1. Безопасная IT-инфраструктура: 

• Проверьте, как и где хранятся данные, кто из сотрудников может к ним обращаться. Доступ к конфиденциальной информации должен быть разграничен и предоставлен только тем сотрудникам, которым он нужен по роду деятельности, а не всем подряд.

• Для передачи данных нужно использовать только шифрованные каналы (https, ftps, VPN-сервисы).

• Обновление ПО должно быть обязательным – устаревшие приложения могут содержать критические уязвимости, о которых злоумышленники всегда знают.

• Настройте резервное копирование данных.

Это не полный перечень необходимых технических мер, но достаточный для старта. Наши специалисты готовили более подробный 
чек-лист, по которому можно двигаться последовательно.

2. Устранение риска человеческого фактора:

• Обучите сотрудников основам информационной безопасности. Минимум «образовательной программы» – это рассказ о приёмах социальной инженерии и фишинге, в частности, правилах парольной политики, безопасном поведении на рабочем месте (необходимость блокировать компьютеры, избегать непроверенных флешек и т.п.).

• Вводите регламенты и подписывайте соглашения о неразглашении данных. Не делайте из этого пустую формальность, пусть ваша команда осознаёт, что в компании к вопросу защиты данных относятся серьёзно.

• Установите программу для контроля сотрудников. Базовый вариант – тайм-трекер с расширенными функциями. В идеале – DLP-система, которая фиксирует все коммуникации и пересылку информации в компании. У хорошего ПО также бывают доступны функции смежных продуктов, что позволит оптимизировать затраты.

Выбирая IT-продукты, узнайте насчёт того, хорошо ли они интегрируются друг с другом – это в перспективе также позволит сэкономить силы и деньги. Многие продукты доступны сегодня по подписке, в облачном формате или по программам аутсорсинга. В этом случае вы сможете обойтись без сотрудника в штате. Это ценная возможность, так как при существующем кадровом дефиците даже крупные корпорации испытывают трудности с наймом специалистов по информационной безопасности.

P.S.

Наступил момент, когда бизнес больше не может избежать расходов на информационную безопасность. Вопрос в том, как сделать это оптимально. Практика показывает, что выигрывает всегда тот, кто подумал о проблеме заранее. В контексте нашего разговора – тот, кто заложил основы безопасной работы в саму культуру бизнес-процессов.

Чтобы не пропустить интересную и полезную для вас статью о малом бизнесе, подпишитесь на наш Telegram-канал, страницу в Facebook и канал на «Яндекс.Дзен».

Если вовремя не внедрить систему безопасности, можно столкнуться с тремя критическими последствиями: утечкой пользовательских данных, техногенной катастрофой или остановкой обеспечения услуг компании. После этого бизнес рискует столкнуться с куда более опасными проблемами, чем кибератаки.

Чтобы защитить себя в этой области, организациям уже сейчас стоит подумать, какие средства выбрать для защиты и каких атак стоит опасаться больше всего. Об этом рассказал Андрей Голов, генеральный директор «Кода Безопасности».

Содержание:

• Что такое «информационная безопасность предприятия»?
• Как осуществить контроль информационной безопасности?
• Виды угроз информационной безопасности
• Средства защиты информации
• Обеспечение информационной безопасности предприятий
• Этапы внедрения системы безопасности
• Организационные меры
• Режим коммерческой тайны
• Технические меры
• Итог: как выбрать комплекс мер по информационной безопасности в организации?

Что такое «информационная безопасность предприятия»?

Если говорить просто, то это комплекс мер, которые закрывают три ключевых уровня:

1. Работоспособность некритичных для бизнеса сервисов — например, сайта компании. Компания должна быть готова к банальным DDoS-атакам и прочим киберсредствам нападения. 
2. Защита критической информации, к которой относятся персональные данные и коммерческие тайны. Задача ИБ-специалистов защитить ИТ-узлы, чтобы организация могла функционировать и при этом не нести репутационные или финансовые потери. 
3. Требования регуляторов. Часто, увидев смету на решения информационной безопасности, руководство компании пытается на них «забить». Государство понимает нежелание организаций тратить деньги на вещи, которые могут не случиться, но, с другой стороны, есть критические процессы, и их необходимо предупреждать, поэтому власти заставляют делать это законодательно. 

Три уровня — это минимум, под которым понимается система информационной безопасности организации. Более глобальный вопрос звучит так: кто атакует? 

Это могут быть: 

• малоквалифицированные студенты, 
• спецслужбы или военизированные группировки, для которых нанести критический урон — прямая задача. 

То, что эффективно против студентов, вряд ли остановит хакеров на службе у государства. Это мы увидели в феврале-марте 2022 года: уровень систем информационной безопасности организаций РФ оказался ниже необходимого из-за выросшего качества атак.

Компании это поняли, поэтому за последний год затраты на ИБ существенно выросли.

Как осуществить контроль информационной безопасности?

Есть несколько способов в организации защиты информационной безопасности: 

• Неправильный — когда равномерно тратятся на защиту всей ИТ-инфраструктуры. Чаще всего компании используют именно его. 
• Половинчатый — заключается в следовании нормативам регуляторов, когда компания обеспечивает безопасность тех узлов ИТ-инфраструктуры, которые требует государство.
• Правильный — когда компания оценила уровень воздействия событий безопасности на бизнес и понимает, какой компонент ИТ-системы нужно защищать в первую очередь. Для этого необходима серьезная зрелость, но зато такой подход дает бизнесу наибольшую устойчивость.

Виды угроз информационной безопасности

Хотя ландшафт угроз информационной безопасности организации постоянно расширяется за счет новых уязвимостей, основные виды атак остаются примерно одинаковыми. 

Среди них можно выделить: 

• вредоносное ПО (шифровальщики, вирусы, троянцы);
• SQL-инъекции (фишинг, DoS, перехват данных). 

Опасность атаки определяют по специальной модели угроз, которая состоит из нескольких параметров-вопросов: 

• Какими ресурсами располагают злоумышленники?
• Сколько времени они готовы потратить на атаку?

Проблема в том, что продвинутый хакер, имея время и ресурсы, попадет в любую систему. Конечно, такое «внимание» уделяют не всем компаниям, и большинство организаций могут подготовиться к возможным проникновениям. 

Средства защиты информации

На сегодня отечественные разработчики создали десятки решений информационной безопасности, которые закрывают все сегменты ИТ-инфраструктуры. 

Они относятся:

• к контролю доступа, 
• защите данных и приложений, 
• обнаружению и реагированию на инциденты.

Как правило, многие инструменты идут в связке — это позволяет проводить грамотную политику информационной безопасности организации и обеспечивать комплексную защиту. 

Сейчас особенно актуальными считаются межсетевые экраны следующего поколения (Next Generation Firewall, NGFW), которые сочетают несколько решений с единой панелью управления. Это особенно полезно для крупных ИТ-инфраструктур. 

Обеспечение информационной безопасности предприятий

В построении системы информационной безопасности организации средства защиты не занимают ведущую роль. 

Почему? Потому что сначала необходимо разобраться: а какие последствия в принципе критичны. 

Об этом необходимо договориться с теми, кто принимает решения, то есть с топ-менеджментом, иначе защита не будет эффективной. Люди, управляющие рисками компании, не воспринимают ИБ-события как неизбежность — это скорее что-то эфемерное, что не случится вовсе, а значит, можно и не вкладываться.

Этапы внедрения системы безопасности

Итак, первым делом необходимо определить критические процессы и договориться об этом с руководством. 

Затем анализ продолжается: 

• нужно обозначить те бизнес-процессы, в которых нарушения повлекут недопустимые последствия, 
• понять, какие ИТ-системы их поддерживают. 

Финальный этап — определение возможных инструментов защиты. 

К недопустимым последствиям относятся: 

1. Утечка данных пользователей;
2. Техногенные катастрофы;
3. Остановка обеспечения услуг компании. 

Организационные меры

Такие меры порой позволяют избежать громадных инвестиций и при этом сильно облегчить жизнь. Это банальное введение регламентов, которые бы структурировали работу с ИТ-системами. 

Скажем, инструкция по работе с интернетом и жесткое требование: 

• не кликать по ссылкам в почте и мессенджерах; 
• менять пароль каждые полгода; 
• не использовать один и тот же пароль для разных сервисов. 

Сотрудникам кажется, что эти мелочи отравляют им жизнь, но на деле — помогают избежать больших проблем. К сожалению, такие регламенты чаще всего вводят зрелые компании, у которых система информационной безопасности предприятия и так выстроена на отлично.

Режим коммерческой тайны

Это отдельная область права позволяет легитимно наказывать людей, раскрывших конфиденциальные данные. 

В основном она касается случаев, которые относятся к краже информации, но есть и второй момент. Как известно, слабое место ИБ — это человек, поэтому хакеры часто прибегают к социальному инжинирингу, и «точкой входа» может стать сотрудник компании, который даже не подозревает, что его используют. 

В этом случае режим коммерческой тайны действует, как окрик родителя, — предупреждающе, и человек поостережется раскрывать даже незначительную информацию.

Технические меры

ИТ-инфраструктура предприятия в идеале напоминает подводную лодку — отсеки разделены переборками, которые задраиваются в случае проблемы и сохраняют судно на плаву. 

На практике это реализуется так: у компании есть ИБ-средства для сегментации доступа, при этом большинство пользователей обладают минимальными правами. Если сотрудник имеет доступ к ограниченному числу сервисов, то и злоумышленнику будет сложнее войти в систему. 

Итог: как выбрать комплекс мер по информационной безопасности в организации?

Информационная безопасность предприятия — это масштабная задача, успешность которой зависит от множества факторов. 

Компания должна понимать:

• Какие ИБ-события она не может допустить;
• Удар по каким бизнес-процессам станет критическим;
• Какие ИТ-системы поддерживают эти процессы. 

Затем нужно обеспечить их защиту. И лишь когда прикрыты критические узлы, можно подумать о полноценной безопасности других компонентов. 

При этом нельзя забывать о требованиях регуляторов, которые у каждой отрасли свои. В составлении таких требований участвуют ведущие компании сектора, поэтому их можно считать эталонными.

Фото на обложке сгенерировано с помощью нейросети Midjourney

Александр Василенко, директор департамента инфраструктуры и защиты информации АО «Тандер», рассказал Anti-Malware.ru об опыте внедрения системы контроля привилегированного доступа (PAM) и об оперативной организации защитных мер после общего перехода на удалённую работу в связи с пандемией коронавирусной инфекции COVID-19.

Эпидемия коронавируса очень сильно повлияла на нашу жизнь, ускорила принятие новых ИТ-технологий, в том числе — для удалённой работы. Как это повлияло на вашу организацию? Насколько сильно пришлось перестраивать процессы и инфраструктуру?

А. В.: Любые масштабные изменения заставляют взбодриться и посмотреть на принципы организации работы с нового ракурса. Именно это и произошло в начале текущего года.

Ведь мы, действительно, ранее никогда не сталкивались с подобными ситуациями. Естественно, как были приятные моменты, так и вскрылись детали, на которые раньше не обращали внимания.

Приятно было осознать, что в целом инфраструктура компании была готова к возникновению нештатных ситуаций и глобальных изменений не потребовалось.

Естественно, пришлось масштабировать некоторые системы и расширить каналы связи. Но это было предсказуемо, и мы оперативно с этим справились. В «Магните» инфраструктура изначально была построена с возможностью при необходимости организовать полноценную удалённую работу. Это помогло нам без серьёзных изменений в процессах перейти на новый формат работы.

Изменилась ли под влиянием карантина модель угроз? Какие риски возросли и почему?

А. В.: Риски, связанные с удалённым доступом, и ранее были в модели угроз. Но акценты, действительно, пришлось поменять.

Ситуация с нехваткой оборудования и невозможностью оперативной его закупки подтолкнула к необходимости использования личных устройств сотрудников. Естественно, пришлось больше внимания уделять нейтрализации вредоносной активности заражённых личных устройств.

В этом нам помогло внедрённое ранее решение для предотвращения АРТ-атак. Мы оперативно блокировали выявленные устройства до устранения причин.

Кроме этого, в новом свете заиграло решение для контроля привилегированного доступа (РАМ). Ключевых сотрудников, переведённых на удалённый режим работы, мы завели через РАМ, что позволило существенно повысить уровень безопасности и прозрачности нашей инфраструктуры.

Отдельно хотел бы подчеркнуть, что во времена больших перемен существенную роль играет информированность сотрудников о происходящем. Именно поэтому мы уделили особое внимание повышению осведомлённости. Злоумышленники активно использовали новые векторы атаки, а мы превентивно информировали наших сотрудников об этом.

Как это отразилось на информационной безопасности и реализации новых проектов?

А. В.: Я всегда стараюсь искать в происходящем что-то положительное. В данном случае этим может быть ускорение запуска проекта по двухфакторной аутентификации. Мы начали прорабатывать эту тему ранее, но ситуация подтолкнула к её ускорению.

При этом неизменным для нас остаётся баланс соблюдения требований ИБ в «Магните»: для бизнеса создаются более гибкие возможности работы без ухудшения безопасности ИТ-инфраструктуры — за счёт внедрения современных систем защиты, которые позволяют оперативно реагировать на попытки атак и вредоносную активность, а также блокировать их до наступления последствий.

Что пришлось экстренно менять или масштабировать в новых условиях?

А. В.: Самое заметное изменение — это расширение каналов связи. Надо отдать должное операторам связи, проблем с этим не было никаких.

Также нам потребовалось масштабировать некоторые системы обеспечения безопасности. В связи с переводом сотрудников на «удалёнку» нагрузка на эти системы выросла.

Хороший пример — РАМ. Количество контролируемых сессий удалённого доступа выросло на порядок.

Как давно стали использовать PAM?

А. В.: Проект по выбору РАМ был запущен в 2012 году. В декабре 2012 года мы сделали себе предновогодний подарок: приобрели продукт Balabit Shell Control Box и оперативно внедрили его. В 2013 год мы вошли уже более уверенными в качестве нашей защиты. Сейчас продукт называется One Identity Safeguard, мы продолжаем его использовать и смотрим на новый функционал, который в нём появляется.

В чём состоит актуальность задачи контроля привилегированных пользователей, почему стали заниматься этой задачей? Это была в первую очередь инициатива ИБ или ИТ?

А. В.: Мы рассматриваем PAM в качестве неотъемлемого элемента систем безопасности, которые, в свою очередь, защищают остальную инфраструктуру компании, поэтому инициатива по его внедрению принадлежала именно ИБ. Привилегированные пользователи имеют доступ к информации, разглашение которой несёт существенные риски для стабильной работы всей компании. Поэтому так важно решить задачу по обеспечению контроля этих пользователей.

Какие PAM вы смотрели и как происходил выбор оптимального продукта? На что посоветуете обратить внимание при выборе PAM?

А. В.: Помимо Balabit Shell Control Box мы также изучали решения Wallix, CyberArk.

Для нас самыми важными параметрами при выборе продукта являлись функциональные возможности системы, стабильность работы и простота администрирования.

На текущий момент One Identity Safeguard for Privileged Sessions удовлетворяет этим требованиям.

Чем понравился One Identity Safeguard for Privileged Sessions, почему в итоге выбор пал на него?

А. В.: Особое внимание при выборе решения мы уделяли функционалу по контролю действий привилегированных пользователей. В момент выбора решения Balabit был самым удобным. Особенно нам понравилось то, что решение не требовало перестраивать действующие процессы работы. Нам не пришлось устанавливать агенты на серверы и рабочие станции сотрудников.

Мы и сейчас продолжаем отслеживать происходящее на рынке, знакомясь с текущими возможностями конкурирующих решений. Могу сказать, что до сих пор мы не сомневаемся в сделанном выборе, поэтому продолжаем использовать One Identity Safeguard и сегодня.

Отдельно хочется отметить, что мы постоянно развиваем его функционал. В последних версиях появилась возможность контроля трафика по протоколу Microsoft SQL Server, был переработан интерфейс поиска информации по сессиям, появился модуль аналитики и выявления отклонений в действиях пользователей, анонсирован выпуск модуля, позволяющего вести запись веб-трафика в режиме визуальной сессии, в тестировании которого мы будем принимать активное участие. Также важным фактом является то, что при расширении функционала продукта учитываются потребности заказчиков. Так, например, производителем было реализовано наше пожелание по таймауту сессий при бездействии пользователей.

В каких сценариях используется One Identity Safeguard?

А. В.: Мы видим два главных сценария использования One Identity Safeguard.

Первый — возможность отслеживать действия привилегированных пользователей и подрядчиков и использовать эти данные для восстановления хронологии событий и расследования инцидентов. Второй — предотвращать возможные утечки конфиденциальной информации.

Например, если пользователь на конечном сервере самостоятельно разрешит использовать буфер обмена или «маппинг» дисков, то это не будет работать до тех пор, пока на PAM не будут разрешены соответствующие права в политике для подключения. Это, в свою очередь, позволяет определять, для каких пользователей разрешён этот функционал, и вести более жёсткий контроль за ними.

Какие «подводные камни» и сложности могут возникнуть в процессе внедрения и эксплуатации PAM? Как их избежать?

А. В.: Конечно, при внедрении любой новой системы есть свои нюансы и особенности, но мы не можем сказать, что при внедрении и эксплуатации PAM столкнулись с какими-то неразрешимыми проблемами. Документация к данному решению достаточно подробна, и на большинство вопросов можно самостоятельно найти ответ, а своевременное обновление системы до новых версий снижает вероятность возникновения каких-либо проблем.

Сколько заняло внедрение, как шёл проект в целом?

А. В.: Так как система внедрялась более семи лет назад, о деталях сегодня рассказать достаточно сложно, но точно помню, что при внедрении продукта критических проблем не возникло, поэтому оно прошло оперативно. Благодаря подробной документации внедрение выполнялось самостоятельно без привлечения интегратора. За помощью к инженерам вендора обращались в режиме консультаций по некоторым вопросам. Кстати, надо отдать им должное, реагируют они быстро и качественно.

Время от времени у нас происходят изменения, связанные с масштабированием инфраструктуры. Процесс разворачивания системы и её первоначальной настройки занимает у нас несколько рабочих дней.

Каковы будут дальнейшие шаги по расширению проекта?

А. В.: В данный момент мы проводим анализ новых возможностей системы и необходимость их применения для текущих потребностей.

В первую очередь мы хотим внедрить контроль HTTP-сессий без необходимости использования промежуточных хостов.

Насколько перспективно использование UEBA, SSO, 2FA в контексте PAM?

А. В.: Сейчас для нас наиболее интересна технология UEBA, которая выполняет анализ действий пользователей и выявляет отклонения от привычного поведения. Мы внимательно следим за функционалом модуля Safeguard for Privileged Analytics и высказываем свои пожелания по его доработке. Когда мы смотрели на первые релизы данного модуля, то было ощущение недостатка визуально понятной информации. В текущих версиях информации значительно больше, что делает модуль весьма интересным и значительно более полезным.

Насколько для вашей компании важна сертификация ФСТЭК для PAM?

А. В.: На сегодняшний день это требование не является для нас определяющим, но в быстро меняющихся современных условиях наличие сертификации в определённых обстоятельствах может стать важным.

Спасибо за беседу! Успехов!

Задача выстраивания системы информационной безопасности предприятий носит комплексный характер. Руководство должно оценить уровень предполагаемых рисков и выработать модель угроз. Она будет различной для каждого вида бизнеса. Общим будет то, что для причинения ущерба компании используются информационные технологии. Для обеспечения информационной безопасности нужно проведение аудита, по результатам которого вырабатывается комплекс необходимых организационных и программно-технических мер.

Угрозы информационной безопасности

Хакерские атаки рассматриваются на международном уровне как часть единой глобальной угрозы, связанной с цифровизацией общества. От внешних нападений не избавлены даже небольшие компании, особенно если они являются поставщиками или подрядчиками крупных корпораций и оперируют в своей деятельности данными, способными заинтересовать злоумышленников. Но и интернет магазины или небольшие поставщики интернет-услуг не избавлены от DDoS-атак, способных полностью заблокировать каналы связи и сделать сервис недоступным для клиентов. 

Среди актуальных внешних угроз информационной безопасности:

• кража конфиденциальной информации путем взлома информационной системы или подключения к плохо защищенным каналам связи. От утечек информации наилучшим способом защищают DLP-системы, но не все предприятия малого и среднего бизнеса имеют возможность использовать их ресурсы в полном объеме; 
• кража персональных данных при помощи собственных средств аутентификации и передача их посредникам на черном рынке информации. Этот тип угроз наиболее характерен для банков и организаций сферы услуг, обрабатывающих большой объем клиентской информации;  
• кража инсайдерами коммерческой тайны по запросам конкурентов, наиболее часто воруют базы данных клиентов организации;
• DDoS-атаки, направленные на обрушение каналов коммуникации. Они делают сайт предприятия недоступным, что оказывается критичным для организации, продающей товары или оказывающей услуги в Интернете; 
• вирусные заражения. В последнее время наиболее опасны вирусы-шифровальщики, делающие информацию в системе недоступной и разблокирующие ее за выкуп. Иногда, чтобы исключить возможность отслеживания, хакеры требуют выплатить им вознаграждение в криптовалютах; 
• дефейс сайта. При этом типе хакерской атаки первая страница ресурса заменяется иным контентом, иногда содержащим оскорбительные тексты; 
• фишинг. Этот способ совершения компьютерных преступлений основан на том, что злоумышленник направляет письмо с адреса, идентичного привычному для корреспондента, побуждая зайти на свою страницу и ввести пароль и иные конфиденциальные данные, в результате чего они похищаются;
• спам, блокирующий входящие каналы связи и мешающий отслеживать важную корреспонденцию;
• инструменты социальной инженерии, побуждающие сотрудников компании переводить ресурсы в пользу опытного мошенника;
• потеря данных из-за аппаратных сбоев, неисправности техники, аварий, стихийных бедствий.

Общий список угроз остается неизменным, а технические средства их реализации совершенствуются постоянно. Уязвимости в штатных компонентах информационных систем (ОС, протоколах связи) не всегда ликвидируются быстро. Так, проблемы Windows XP были устранены путем выпуска обновлений только через два года после их фиксации. Хакеры не теряют времени, оперативно реагируя на все обновления, постоянно тестируя степень безопасности информационных систем предприятия при помощи средств мониторинга. Особенностью современной ситуации на рынке компьютерной безопасности стало то, что машинные технологии усовершенствовались до того уровня, что пользование ими стало доступным даже школьнику. Заплатив небольшую сумму, иногда не превышающую 10 долларов, за подписку на сервис тестирования уязвимости, можно организовать DDoS-атаку на любой сайт, размещенный на небольшом сервере с не очень производительным каналом связи, и в считанные минуты лишить клиентов доступа к нему. В качестве ботнетов все чаще используются объекты Интернета вещей: холодильники, кофеварки и IP-камеры. Они активно включаются в информационные атаки, так как производители управляющего ими программного обеспечения в целях экономии средств не встроили в них механизм защиты от перехвата управления. 

Но не менее опасны и угрозы информационной безопасности, исходящие от сотрудников компании, заинтересованных не в краже, а в манипуляции информацией. Отдельным риском становится такое нарушение целостности информации в базах данных, которое облегчает хищение материальных ресурсов организации. Примером может служить изменение температуры хранения топлива в сторону повышения, при котором его объем в цистернах увеличивается и небольшую откачку датчики безопасности не заметят. Для такого изменения нужно иметь несанкционированный доступ к каналам связи с устройствами, управляющими выставлением температуры на складе.

Обеспечение информационной безопасности предприятий

Задача обеспечения информационной безопасности предприятий решается своими силами или с привлечением внешних экспертов. Необходимо провести аудит и внедрить систему организационных и технических мер общего и специального характера, которые позволят эффективно обеспечить высокое качество информационной безопасности предприятия. Начинать создание системы надо с аудита. Система защиты будет основываться на его результатах.

Аудит

Объем аудита зависит от размеров компании и ценности обрабатываемой информации. Для предприятий малого и среднего бизнеса аудит может проводиться своими силами, для распределенной сложной системы, включающей несколько контуров управления, в которой обрабатываются конфиденциальные данные высокой важности, необходимо привлекать для проведения аудита профессиональные организации, специализирующиеся на аутсорсинге информационных услуг. 

На базовом уровне аудита необходимо выяснить: 

• доступны ли компьютеры кому-то, кроме сотрудников определенного подразделения, реализована ли пропускная система с использованием электронных пропусков и фиксацией времени нахождения сотрудника в помещении; 
• существует ли возможность подключения к рабочим станциям съемных носителей информации, физическая возможность копирования данных на съемные устройства;
• какое программное обеспечение установлено на рабочих станциях информационной системы, лицензировано ли оно, регулярно ли выполняются обновления, известно ли о недостатках установленного программного обеспечения, облегчающих доступ к данным извне;
• как ведется настройка операционной системы, используются ли штатные ресурсы обеспечения информационной безопасности предприятий, антивирусы, брандмауэры, журналы учета действий пользователя, разграничение доступа;
• как реализована система разграничения прав доступа, применяется ли принцип предоставления минимально возможных прав, кто и как вносит изменения в права доступа;
• как реализована система аутентификации и идентификации, применяется ли двухфакторная модель, существует ли ответственность за передачу логинов и паролей другим сотрудникам;
• как реализована система паролей, как часто они меняются, как реагирует система на неоднократный ввод неверного пароля;
• принят ли необходимый пакет организационно-распорядительной документации, касающейся информационной безопасности.

Для небольшой компании ответы на эти вопросы помогут выявить наиболее очевидные уязвимости системы информационной безопасности предприятия и направить усилия на их устранение. 

Существуют ситуации, когда угрозы оказываются более существенными, чем действия инсайдеров или случайные и непредсказуемые хакерские атаки, например, когда компания:

• действует на высококонкурентном рынке;
• участвует в разработке научных или информационных технологий;
• обрабатывает большие объемы персональных данных.

В этих случаях простой аудит доступа и специфики программного обеспечения окажется средством, не решающим проблему. ИС нужно исследовать на более глубоком уровне, выявив:

• наличие уязвимостей системы для внешних проникновений при помощи платных и бесплатных программ – сканеров уязвимостей;
• отсутствие или наличие обработки информации с высокой степенью конфиденциальности в отдельных кластерах информационной системы, установлены ли сетевые экраны на границах зон;
• используются ли протоколы защищенной связи при передаче информации от сотрудников, находящихся на удаленном доступе;
• как осуществляется запись действий пользователей с объектами, содержащими конфиденциальную информацию;
• реализован ли дифференцированный доступ к данным, какой способ применяется, существует ли многоуровневая система доступа.

Если компания является оператором персональных данных, в ходе аудита дополнительно надо выявить:

• насколько скрупулезно реализуются требования закона «О персональных данных»;
• внедрены ли предусмотренные законом и рекомендациями ФСТЭК РФ организационные меры;
• используется ли необходимое сертифицированное программное обеспечение. 

Ответ на вопросы аудита даст почву для разработки системы информационной безопасности предприятия с учетом релевантных угроз. 

Этапы внедрения системы безопасности

Понимание текущего состояния информационной системы и категории информационных ресурсов дает почву для разработки стратегии ее модернизации и приближения к современным требованиям безопасности. 

Работу необходимо проводить по следующему алгоритму:

• описание всех инфраструктурных и программных объектов в архитектуре информационной сети, выявление их ключевых характеристик; 
• разработка требований к оптимальной конфигурации информационной системы с учетом временных, человеческих и бюджетных ограничений;
• разработка пакета организационно-распорядительной документации, ознакомление с ней сотрудников, обучение их основам информационной безопасности;
• внедрение технических и программных мер, призванных исключить возникновение инцидентов информационной безопасности и сделать более эффективной реакцию на них. 

Большинство этапов работы может быть выполнено силами собственного персонала, на особо сложные участки работы привлекаются консультанты. Весь процесс должен идти под руководством менеджера высшего звена, заинтересованного в успешной реализации проекта внедрения стратегии обеспечения информационной безопасности предприятия. 

Организационные меры

Применяемые для обеспечения информационной безопасности предприятия организационные меры делятся на три группы: 

• общеобязательного характера;
• защищающие персональные данные;
• защищающие отдельные информационные объекты или процессы.

В каждой категории они делятся на две группы – документы и действия, и в каждом секторе защиты необходимы обе группы мер.

Организационные меры общего характера

Информационная безопасность предприятия начинается с принятия единой политики или методики обеспечения защиты данных. Политика должна содержать следующие разделы:

• общие принципы защиты информации, угрозы и цели обеспечения безопасности;
• градация информации по степени значимости для компании;
• условия доступа к данным, принципы разграничения доступа;
• правила работы с компьютерной техникой и съемными носителями;
• ответственность за нарушение требований документа.

Документ принимается на уровне высшего руководства и сопровождается политиками и методиками, определяющими более узкие задачи информационной безопасности на предприятии.

Режим коммерческой тайны

Гражданское законодательство РФ вводит понятие коммерческой тайны как информационного актива, охраняемого государством. Ее преднамеренное или непреднамеренное разглашение, причинившее ущерб компании, является основанием для предъявления гражданского иска о возмещении ущерба. Если ущерб действительно серьезен, дело может дойти до уголовного преследования. Но чтобы привлечь виновного сотрудника к ответственности, придется совершить несколько шагов, относящихся к организационной части системы информационной безопасности на предприятии: 

• ввести режим коммерческой тайны, издав соответствующий приказ;
• составить перечень сведений, относящихся к конфиденциальной информации. Многие компании совершают ошибку, относя к коммерческой тайне все виды документов и информации, которые могут вспомнить сотрудники службы безопасности. Это превращает режим защиты данных в профанацию. Создать систему защиты должного уровня для всех файлов и документов невозможно, а каждый вынос документа из офиса, например, в налоговую или на встречу с контрагентом, не отраженный в книге учета носителей коммерческой тайны, превращается в нарушение режима. Перечень данных должен быть четким и конкретным, это облегчает механизм контроля и делает его возможным;
• ввести механизм контроля перемещения документов, содержащих коммерческую тайну, грифы секретности, журнал учета движений; 
• ознакомить всех сотрудников под роспись с приказом о режиме конфиденциальности и перечнем документов (Положением об охране коммерческой тайны);
• ввести в трудовые договоры условие об ответственности за разглашение коммерческой тайны.

Выполнение этих действий поможет в должной мере защитить конфиденциальность данных.

Технические меры

Внедрение программно-технических средств защиты информации неизбежно, многие организации пользуются ими, не подозревая об этом. Для того чтобы выбрать наиболее эффективные для конкретной организации типы защиты, необходимо ответить на следующие вопросы:

• типы информации, подлежащей защите, в каких секторах сети и в каких базах данных она хранится. В деятельности компании к наиболее важной информации относятся данные корпоративных банковских карт и счетов, персональные сведения, бизнес-секреты, базы данных клиентов, наиболее часто становящиеся целью намеренного хищения;
• какие устройства участвуют в создании инфраструктуры сети и какие устройства подключаются к ней на удаленном доступе, кто и на каком основании выдает разрешение на подключение;
• какое программное обеспечение требует замены или обновления, какие дополнительные модули безопасности нужно устанавливать;
• как защищены учетные записи администраторов, может ли воспользоваться ими другое лицо путем подбора паролей или иным способом;
• существует ли необходимость шифрования файлов или трафика, какие средства для этого используются;
• отвечают ли антивирусные программы, программы фильтрации электронной почты, сетевые экраны современным требованиям к безопасности;
• как регулируется доступ сотрудников к Интернету, необходимо ли получать специальное разрешение, какие сайты и по какому принципу блокируются.

Далее начинается этап выбора программного обеспечения, которое призвано создать систему информационной безопасности предприятия на эффективном уровне:

• антивирусная защита. Если компания является оператором персональных данных, программный продукт должен быть сертифицирован ФСТЭК РФ. Если такой необходимости нет, то можно выбрать удобный или популярный продукт. Так, Роскачество в своем обзоре определило, что наибольшим успехом в борьбе с вирусами пользуется Internet Security от ESET, при этом встроенный в Windows антивирус оказался только на 17-м месте;
• сетевые экраны (файрволы). Здесь желательно ориентироваться на программные продукты, одобренные ФСТЭК РФ;
• средства фильтрации электронной почты, которые защитят почтовые ящики сотрудников от спама и вирусов;
• программа Enhanced Mitigation Experience Toolkit (EMET), установленная на компьютерах с Windows, окажется полезной для защиты от уязвимостей, связанных с программным кодом;
• средства криптографической защиты. В зависимости от уровня конфиденциальности данных, используются или общедоступные продукты, или СКЗИ (средства криптографической защиты информации), одобренные ФСБ РФ;
• средства мониторинга работоспособности инфраструктуры. Могут быть выбраны бесплатные или лицензионные продукты, главное, настроить непрерывность мониторинга уязвимостей. Если принято решение приобрести продукт более высокого уровня, то следует обратить внимание на SIEM-системы, предназначенные для выявления инцидентов информационной безопасности и выстраивания реакции на них;
• средства борьбы с утечками информации. Можно реализовать комплекс мер, призванных предотвратить утечки на всех уровнях. Можно установить DLP-систему, настроенную блокировать любую попытку вывести конфиденциальную информацию из периметра информационной обороны.

Одним из основных рисков для информационной безопасности предприятия становится отказ от своевременного обновления программного обеспечения. Причин может быть несколько:

• невнимательность системных администраторов;
• ограниченный бюджет;
• длительный период сертификации для ПО, используемого для защиты персональных данных.

Но несвоевременное обновление программ создает лазейки для хакеров, которые могут привести к утечкам информации. Если существуют такие риски, рекомендуется применять сканер безопасности Microsoft Security Analyzer, чтобы определить, какие патчи или обновления не установлены для Windows и какие изменения в конфигурации надо выполнить для обеспечения безопасности.

При проверке подключения устройств необходимо использовать следующие методы:

• при помощи маршрутизатора (контроллера беспроводного доступа) проверить, какие именно устройства подключены к сети;
• для сетей большего размера можно при поиске устройств применять сетевой сканер. Эксперты рекомендуют использовать популярную программу Nmap;
• активировать запись логов всех событий, связанных с подключением устройств к сети.

Выполнение простых рекомендаций позволит создать информационную безопасность предприятия на уровне, обеспечивающем гарантированную систему защиты и отсутствие инцидентов.

21.01.2020