fbpx
Cyber security of company
10Мар 2021
Мар 10, 2021

Декабрьское событие 2020 года наглядно показало, что взломать можно любую компанию, и даже самую топовую в сфере ИТ-безопасности. Что же тогда делать другим организациям? Кинуть всё на произвол или же стать публичными – это не решения. Давайте рассмотрим скандальную кибератаку и уроки, которые можно вытянуть из неё.

Данные о взломе FireEye

Что произошло? В декабре 2020 года американская компания FireEye, известная своими услугами по кибербезопасности, стала одной из компаний, которые подверглись хакерской атаке. В отчете FireEye указывалось, что хакеры взломали компанию SolarWinds и запустили вредоносное обновление в их программу Orion.

Что пострадало? С применением обновления открывался доступ к сетям и данным клиентов компании.

Кто пострадал? По подсчетам пострадало около 18-33 тысяч клиентов компании SolarWinds, среди которых были множество государственных учреждений США, пару известных поставщиков телекоммуникационных услуг США, почти все компании из списка Forbes500 и даже Агентство национальной безопасности США.

Что-то предприняли в итоге? Хакерская получила название SUNBURST от FireEye и Solorigate от Microsoft. В дополнение в антивирусе Defender были добавлены необходимые обновления против этой киберугрозы.

Детально о других киберугрозах можно узнать в нашей статье «Обзор киберугроз 2020: результат пандемии».

Что думает об идеальной киберзащите директор по кибербезопасности в Google

Ник Белогорский, директор по кибербезопасности в Google, считает, что идеальной киберзащиты не существует. По его словам: «Даже у наиболее защищенных компаний всё равно похищают данные, они не защищены на 100%. Вопрос в том, где именно находится компания на этом промежутке от 1% до 99%.»

То есть наличие киберзащиты не означает, что ваша компания в безопасности. Чтобы киберзащита работала на вас даже в случае проникновения в ИТ-инфраструктуру, нужно постоянно её улучшать, обучать специалистов и учиться на возможных на промахах, как это делает сам директор по кибербезопасности в Google.

Что же делать, чтобы защитить компанию от кибератак?

Дорогой взлом – редкий взлом

Если изучить статистику, то можно заметить любопытный факт. Большинство ежемесячных кибератак – это автоматизированные и однотипные мелкие атаки, вроде:

  • фишинговых писем сотрудникам;
  • подбор пароля администратора к случайно открытому ssh-порту;
  • автоматизированные попытки взломать веб-сервер вашей компании типа unix command execution, sql-injection, xss-injection и другие;
  • автоматизированное и постоянное применение эксплоитов к корпоративным роутерам, публичным серверам и устройствам Интернета вещей.

Проблема состоит в том, что автоматизированные взломы стоят дешево, но происходят чуть ли не ежеминутно. Чтобы защитить компанию от подобного, стоит:

  • вовремя обновлять программное обеспечение;
  • установить хорошую антивирусную защиту на всех корпоративных устройствах сотрудников;
  • установить проверенный фаервол;
  • обучить сотрудников кибербезопасности и пояснить опасность фишинга и других угроз и как их избежать;
  • применить сложную аутентификация пользователей.

В любом случае, чем выше цена кибератаки, тем реже они будут возникать.

Не дайте хакерам продвинуться вглубь ИТ-инфраструктуры

Если вы смирились с идеей, что вас в любом случае атакуют, то теперь пора подумать о том, как именно ваша компания будет замедлять действия злоумышленника, пока он не добрался до центра ИТ-инфраструктуры. Хорошими вариантами в подобной ситуации станут:

  • Архитектура «Zero trust»

Из-за стремительного развития облачных решений, сотрудники часто работают вне рамок сетевого периметра и поэтому могут остаться беззащитными перед киберугрозами. Архитектура нулевого доверия предполагает, что компания переходит от стандартной модели сетевого периметра к модели защите операций. То есть пользователи должны авторизоваться при каждой операции, и делается акцент не на защите сети, а на данных тех же пользователей.

  • Минимальные права для всех сотрудников

Бывает так, что на работу приходит новый администратор и получает все права в CRM-системе к любым чувствительным данным, которых им не стоило видеть. Более того, аккаунт администратора могут делить несколько пользователей. Такое необдуманное решение значительно помогает хакеру проникнуть в ИТ-инфраструктуру и достать необходимые данные.

Как же это исправить? Предоставляйте каждому сотруднику минимально необходимые ему права. Теперь, если хакер достанет логин и пароль какого-то сотрудника, ещё не факт, что он достанется к критичным данным.

Если же сотруднику нужны дополнительные права на доступ к важным данным, то стоит их выдавать только в период операций, для которых они нужны.

Для этого вопроса также существуют класс систем PAM (Privileged Access Management), с помощью которых можно построить подробный процесс выдачи прав доступа – как  они выдаются, кому и когда. Такие системы удобны не только в обычных компаниях, но и в государственных учреждениях, где зарплаты маленькие, а значит есть риск, что какой-то сотрудник может слить данные за деньги.

Детально про кибербезопасность удаленной работы в статье «Удаленная работа: проверенные способы безопасности».

Осознайте ценность мониторинга

Старайтесь, не игнорировать мониторинг. Если вы пропустите момент вторжения, то это может влететь компании в крупную копеечку, повредит её имиджу и даже разрушит её.

Мы уже говорили о том, как остановить злоумышленника, если он взломал систему, теперь давайте рассмотрим необходимые инструменты для обнаружения атаки.

В идеале храните любые данные мониторинга инфраструктуры в отдельном месте, исключая доступ системных администраторов, которые могут злоупотребить этими данными. Для этого часто используют SOC (security operation center). Он помогает с:

  • защитой логов для последующей реакции и проведения расследования после взлома, если учетные записи администраторов были скомпрометированы;
  • созданием специального механизма по контролю действий администраторов, если они пытаются скрыть свои ошибки или ещё что-то.

Далее подумайте об организации развернутого мониторинга на базе Zabbix, Dell Foglight и Microsoft SСOM. Это профессиональные инструменты, которые уже не первый год помогают отслеживать проникновения в ИТ-инфраструктуру многих мировых компаний. Читайте подробнее о создании системы мониторинга на базе этих продуктов.

Узнайте детально, как можно улучшить киберзащиту вашей компании в статье «7 советов по защите ИТ-инфраструктуры».

Помните о правильной реакции на взлом и его последствия

Вы можете не рассказать о наличии взлома своим сотрудникам и клиентам, но само замалчивание может ещё хуже повлиять на компанию, чем взлом. Для примера у нас есть компания FireEye.

После выявления взлома их репутация явно пострадала, но они честно признались в кибератаке, собрали и опубликовали детальную аналитику, и предупредили об опасности. Это помогло остановить волну взломов и переосмыслить стандарты кибербезопасности.

Будьте постоянно на чеку

На сегодняшний день пока не придумали универсальное и идеальное решение всем киберугрозам. Но это не означает, что вам необходимо отчаиваться. Вашей компании просто необходимо:

  • смириться с фактом постоянной киберопасности;
  • быть бдительными к устройствам, ПО, сотрудникам, оборудованию и всему, что потенциально может навредить компании;
  • каждый день улучшать, обновлять систему безопасности и искать лучшие варианты.

Компания TechExpert готова помочь построить и усовершенствовать киберзащиту вашей компании с помощью профессиональных инструментов и обширных знаний в этой сфере. Узнать детально о нашем сотрудничестве можно у нашего специалиста – контакты.