fbpx
Cyber security of company
10Mar 2021

Груднева подія 2020 року наочно показала, що зламати можна будь-яку компанію, і навіть найбільш топову в сфері ІТ-безпеки. Що ж тоді робити іншим організаціям? Кинути все на свавілля або ж стати публічними – це  не рішення. Давайте розглянемо скандальну кібератаку й уроки, які можна витягнути з неї.

Дані про атаку на FireEye

Що сталося? У грудні 2020 року американська компанія FireEye, відома своїми послугами з кібербезпеки, стала однією з компаній, які піддалися хакерській атаці. У звіті FireEye вказувалося, що хакери проникли в компанію SolarWinds і запустили шкідливе оновлення в їх програму Orion.

Що постраждало? Із застосуванням оновлення відкривався доступ до мереж і даних клієнтів компанії.

Хто постраждав? За підрахунками постраждало близько 18-33 тисяч клієнтів компанії SolarWinds, серед яких були безліч державних установ США, пару відомих постачальників телекомунікаційних послуг США, майже всі компанії зі списку Forbes500 і навіть Агентство національної безпеки США.

Що зробили в результаті? Хакерська атака отримала назву SUNBURST від FireEye і Solorigate від Microsoft. На додаток в антивірусі Defender були додані необхідні оновлення проти цієї кіберзагрози.

Детально про інші кіберзагрози можна дізнатися в нашій статті «Огляд кіберзагроз 2020: результат пандемії».

Що думає про ідеальний кіберзахист директор з кібербезпеки в Google

Нік Білогірський, директор з кібербезпеки в Google, вважає, що ідеальною кіберзахисту не існує. За його словами: «Навіть у найбільш захищених компаній все одно викрадають дані, вони не захищені на 100%. Питання в тому, де саме знаходиться компанія на цьому проміжку від 1% до 99%. »

Тобто наявність кіберзахисту не означає, що ваша компанія в безпеці. Щоб кіберзахист працював на вас навіть в разі проникнення в ІТ-інфраструктуру, потрібно постійно його покращувати, навчати фахівців і вчитися на можливих на промахах, як це робить сам директор з кібербезпеки в Google.

Що ж робити, щоб захистити компанію від кібератак?

Дорога кібератака – рідкісна кібератака

Якщо вивчити статистику, то можна помітити цікавий факт. Більшість щомісячних кібератак – це  автоматизовані й однотипні дрібні атаки, на кшталт:

  • фішингових листів співробітникам;
  • підбір пароля адміністратора до випадково відкритого ssh-порту;
  • автоматизовані спроби зламати веб-сервер вашої компанії типу unix command execution, sql-injection, xss-injection та інші;
  • автоматизоване і постійне застосування експлойтів до корпоративних роутера, публічних серверів і пристроїв Інтернету речей.

Проблема полягає в тому, що автоматизовані зломи коштують дешево, але відбуваються мало не щохвилини. Щоб захистити компанію від подібного, варто:

  • вчасно оновлювати програмне забезпечення;
  • встановити професійний антивірусний захист на всіх корпоративних пристроях співробітників;
  • встановити перевірений фаєрвол;
  • навчити співробітників кібербезпеці, пояснити небезпеку фішингу та інших загроз і як їх уникнути;
  • застосувати складну автентифікацію користувачів.

У будь-якому випадку, чим вище ціна кібератак, тим рідше вони будуть виникати.

Не дайте хакерам просунутися вглиб ІТ-інфраструктури

Якщо ви змирилися з ідеєю, що вас в будь-якому випадку атакують, то тепер пора подумати про те, як саме ваша компанія буде сповільнювати дії зловмисника, поки він не дістався до центру ІТ-інфраструктури. Гарними варіантами в подібній ситуації стануть:

  • Архітектура «Zero trust»

Через стрімкий розвиток хмарних рішень, співробітники часто працюють поза рамками мережевого периметра й тому можуть залишитися беззахисними перед кіберзагрозами. Архітектура нульової довіри передбачає, що компанія переходить від стандартної моделі мережевого периметра до моделі захисту операцій. Тобто користувачі повинні авторизуватися при кожній операції, і робиться акцент не на захист мережі, а на даних тих же користувачів.

  • Мінімальні права для всіх співробітників

Буває так, що на роботу приходить новий адміністратор і отримує всі права в CRM-системі до будь-яких чутливих даних, яких їм не треба бачити. Більш того, аккаунт адміністратора можуть ділити кілька користувачів. Таке необдумане рішення значно допомагає хакеру проникнути в ІТ-інфраструктуру та дістати необхідні дані.

Як же це виправити? Виділяйте кожному співробітнику мінімально необхідні йому права. Тепер, якщо хакер дістане логін і пароль якогось співробітника, ще не факт, що він дістанеться до критичних даних.

Якщо ж співробітнику потрібні додаткові права на доступ до важливих даних, то варто їх видавати тільки в період операцій, для яких вони потрібні.

Для цього питання також існують клас систем PAM (Privileged Access Management), за допомогою яких можна побудувати детальний процес видачі прав доступу – як  вони видаються, кому і коли. Такі системи зручні не тільки в звичайних компаніях, але і в державних установах, де зарплати маленькі, а значить є ризик, що якийсь співробітник може злити дані за гроші.

Детально про кібербезпеку віддаленої роботи в статті «Віддалена робота: перевірені способи безпеки».

Усвідомте цінність моніторингу

Намагайтеся, не ігнорувати моніторинг. Якщо ви пропустите момент вторгнення, то це може влетіти компанії в велику суму, зашкодить її іміджу та навіть зруйнує її.

Ми вже говорили про те, як зупинити зловмисника, якщо він зламав систему, тепер давайте розглянемо необхідні інструменти для виявлення атаки.

В ідеалі зберігайте будь-які дані моніторингу інфраструктури в окремому місці, виключаючи доступ системних адміністраторів, які можуть зловживати цими даними. Для цього часто використовують SOC (security operation center). Він допомагає з:

  • захистом логів для подальшої реакції і проведення розслідування після злому, якщо облікові записи адміністраторів були скомпрометовані;
  • створенням спеціального механізму з контролю дій адміністраторів, якщо вони намагаються приховати свої помилки або ще щось.

Далі подумайте про організацію розгорнутого моніторингу на базі Zabbix, Dell Foglight і Microsoft SСOM. Це професійні інструменти, які вже не перший рік допомагають відслідковувати проникнення в ІТ-інфраструктуру багатьох світових компаній. Читайте докладніше про створення системи моніторингу на базі цих продуктів.

Дізнайтеся детально, як можна поліпшити кіберзахист вашої компанії в статті «7 порад для захисту ІТ-інфраструктури».

Пам’ятайте про правильну реакцію на атаку і її наслідки

Ви можете не розповісти про наявність атаки своїм співробітникам і клієнтам, але саме замовчування може ще гірше вплинути на компанію, ніж сама атака. Для прикладу у нас є компанія FireEye.

Після виявлення проблеми їх репутація очевидно постраждала, але вони чесно зізналися в кібератаці, зібрали і опублікували детальну аналітику, і попередили про небезпеку. Це допомогло зупинити хвилю зломів і переосмислити стандарти кібербезпеки.

Будьте постійно уважні

На сьогоднішній день поки не придумали універсальне й ідеальне рішення всім кіберзагрозам. Але це не означає, що вам необхідно впадати у відчай. Вашої компанії просто необхідно:

  • змиритися з фактом постійної кібернебезпеки;
  • бути пильними до пристроїв, ПЗ, співробітників, обладнання та всього, що потенційно може нашкодити компанії;
  • кожен день покращувати, оновлювати систему безпеки та шукати кращі варіанти.

Компанія TechExpert готова допомогти побудувати й удосконалити кіберзахист вашої компанії за допомогою професійних інструментів і великих знань в цій сфері. Дізнатися детально про наше співробітництво можна у нашого фахівця – контакти.