Декабрьское событие 2020 года наглядно показало, что взломать можно любую компанию, и даже самую топовую в сфере ИТ-безопасности. Что же тогда делать другим организациям? Кинуть всё на произвол или же стать публичными – это не решения. Давайте рассмотрим скандальную кибератаку и уроки, которые можно вытянуть из неё.
Данные о взломе FireEye
Что произошло? В декабре 2020 года американская компания FireEye, известная своими услугами по кибербезопасности, стала одной из компаний, которые подверглись хакерской атаке. В отчете FireEye указывалось, что хакеры взломали компанию SolarWinds и запустили вредоносное обновление в их программу Orion.
Что пострадало? С применением обновления открывался доступ к сетям и данным клиентов компании.
Кто пострадал? По подсчетам пострадало около 18-33 тысяч клиентов компании SolarWinds, среди которых были множество государственных учреждений США, пару известных поставщиков телекоммуникационных услуг США, почти все компании из списка Forbes500 и даже Агентство национальной безопасности США.
Что-то предприняли в итоге? Хакерская получила название SUNBURST от FireEye и Solorigate от Microsoft. В дополнение в антивирусе Defender были добавлены необходимые обновления против этой киберугрозы.
Что думает об идеальной киберзащите директор по кибербезопасности в Google
Ник Белогорский, директор по кибербезопасности в Google, считает, что идеальной киберзащиты не существует. По его словам: «Даже у наиболее защищенных компаний всё равно похищают данные, они не защищены на 100%. Вопрос в том, где именно находится компания на этом промежутке от 1% до 99%.»
То есть наличие киберзащиты не означает, что ваша компания в безопасности. Чтобы киберзащита работала на вас даже в случае проникновения в ИТ-инфраструктуру, нужно постоянно её улучшать, обучать специалистов и учиться на возможных на промахах, как это делает сам директор по кибербезопасности в Google.
Что же делать, чтобы защитить компанию от кибератак?
Дорогой взлом – редкий взлом
Если изучить статистику, то можно заметить любопытный факт. Большинство ежемесячных кибератак – это автоматизированные и однотипные мелкие атаки, вроде:
- фишинговых писем сотрудникам;
- подбор пароля администратора к случайно открытому ssh-порту;
- автоматизированные попытки взломать веб-сервер вашей компании типа unix command execution, sql-injection, xss-injection и другие;
- автоматизированное и постоянное применение эксплоитов к корпоративным роутерам, публичным серверам и устройствам Интернета вещей.
Проблема состоит в том, что автоматизированные взломы стоят дешево, но происходят чуть ли не ежеминутно. Чтобы защитить компанию от подобного, стоит:
- вовремя обновлять программное обеспечение;
- установить хорошую антивирусную защиту на всех корпоративных устройствах сотрудников;
- установить проверенный фаервол;
- обучить сотрудников кибербезопасности и пояснить опасность фишинга и других угроз и как их избежать;
- применить сложную аутентификация пользователей.
В любом случае, чем выше цена кибератаки, тем реже они будут возникать.
Не дайте хакерам продвинуться вглубь ИТ-инфраструктуры
Если вы смирились с идеей, что вас в любом случае атакуют, то теперь пора подумать о том, как именно ваша компания будет замедлять действия злоумышленника, пока он не добрался до центра ИТ-инфраструктуры. Хорошими вариантами в подобной ситуации станут:
- Архитектура «Zero trust»
Из-за стремительного развития облачных решений, сотрудники часто работают вне рамок сетевого периметра и поэтому могут остаться беззащитными перед киберугрозами. Архитектура нулевого доверия предполагает, что компания переходит от стандартной модели сетевого периметра к модели защите операций. То есть пользователи должны авторизоваться при каждой операции, и делается акцент не на защите сети, а на данных тех же пользователей.
- Минимальные права для всех сотрудников
Бывает так, что на работу приходит новый администратор и получает все права в CRM-системе к любым чувствительным данным, которых им не стоило видеть. Более того, аккаунт администратора могут делить несколько пользователей. Такое необдуманное решение значительно помогает хакеру проникнуть в ИТ-инфраструктуру и достать необходимые данные.
Как же это исправить? Предоставляйте каждому сотруднику минимально необходимые ему права. Теперь, если хакер достанет логин и пароль какого-то сотрудника, ещё не факт, что он достанется к критичным данным.
Если же сотруднику нужны дополнительные права на доступ к важным данным, то стоит их выдавать только в период операций, для которых они нужны.
Для этого вопроса также существуют класс систем PAM (Privileged Access Management), с помощью которых можно построить подробный процесс выдачи прав доступа – как они выдаются, кому и когда. Такие системы удобны не только в обычных компаниях, но и в государственных учреждениях, где зарплаты маленькие, а значит есть риск, что какой-то сотрудник может слить данные за деньги.
Осознайте ценность мониторинга
Старайтесь, не игнорировать мониторинг. Если вы пропустите момент вторжения, то это может влететь компании в крупную копеечку, повредит её имиджу и даже разрушит её.
Мы уже говорили о том, как остановить злоумышленника, если он взломал систему, теперь давайте рассмотрим необходимые инструменты для обнаружения атаки.
В идеале храните любые данные мониторинга инфраструктуры в отдельном месте, исключая доступ системных администраторов, которые могут злоупотребить этими данными. Для этого часто используют SOC (security operation center). Он помогает с:
- защитой логов для последующей реакции и проведения расследования после взлома, если учетные записи администраторов были скомпрометированы;
- созданием специального механизма по контролю действий администраторов, если они пытаются скрыть свои ошибки или ещё что-то.
Далее подумайте об организации развернутого мониторинга на базе Zabbix, Dell Foglight и Microsoft SСOM. Это профессиональные инструменты, которые уже не первый год помогают отслеживать проникновения в ИТ-инфраструктуру многих мировых компаний. Читайте подробнее о создании системы мониторинга на базе этих продуктов.
Помните о правильной реакции на взлом и его последствия
Вы можете не рассказать о наличии взлома своим сотрудникам и клиентам, но само замалчивание может ещё хуже повлиять на компанию, чем взлом. Для примера у нас есть компания FireEye.
После выявления взлома их репутация явно пострадала, но они честно признались в кибератаке, собрали и опубликовали детальную аналитику, и предупредили об опасности. Это помогло остановить волну взломов и переосмыслить стандарты кибербезопасности.
Будьте постоянно на чеку
На сегодняшний день пока не придумали универсальное и идеальное решение всем киберугрозам. Но это не означает, что вам необходимо отчаиваться. Вашей компании просто необходимо:
- смириться с фактом постоянной киберопасности;
- быть бдительными к устройствам, ПО, сотрудникам, оборудованию и всему, что потенциально может навредить компании;
- каждый день улучшать, обновлять систему безопасности и искать лучшие варианты.
Компания TechExpert готова помочь построить и усовершенствовать киберзащиту вашей компании с помощью профессиональных инструментов и обширных знаний в этой сфере. Узнать детально о нашем сотрудничестве можно у нашего специалиста – контакты.