Груднева подія 2020 року наочно показала, що зламати можна будь-яку компанію, і навіть найбільш топову у сфері ІТ-безпеки. Що ж тоді робити іншим організаціям? Кинути все на свавілля або ж стати публічними – це не рішення. Давайте розглянемо скандальну кібератаку й уроки, які можна витягнути з неї.
Дані про атаку на FireEye
Що сталося? У грудні 2020 року американська компанія FireEye, відома своїми послугами з кібербезпеки, стала однією з компаній, які піддалися хакерській атаці. У звіті FireEye вказувалося, що хакери проникли в компанію SolarWinds і запустили шкідливе оновлення в їх програму Orion.
Що постраждало? Із застосуванням оновлення відкривався доступ до мереж і даних клієнтів компанії.
Хто постраждав? За підрахунками постраждало близько 18-33 тисяч клієнтів компанії SolarWinds, серед яких були безліч державних установ США, пару відомих постачальників телекомунікаційних послуг США, майже всі компанії зі списку Forbes500 і навіть Агентство національної безпеки США.
Що зробили в результаті? Хакерська атака отримала назву SUNBURST від FireEye і Solorigate від Microsoft. На додаток в антивірусі Defender були додані необхідні оновлення проти цієї кіберзагрози.
Що думає про ідеальний кіберзахист директор з кібербезпеки в Google
Нік Білогірський, директор з кібербезпеки в Google, вважає, що ідеальною кіберзахисту не існує. За його словами: «Навіть у найбільш захищених компаній все одно викрадають дані, вони не захищені на 100%. Питання в тому, де саме знаходиться компанія на цьому проміжку від 1% до 99%. »
Тобто наявність кіберзахисту не означає, що ваша компанія в безпеці. Щоб кіберзахист працював на вас навіть в разі проникнення в ІТ-інфраструктуру, потрібно постійно його покращувати, навчати фахівців і вчитися на можливих на промахах, як це робить сам директор з кібербезпеки в Google.
Що ж робити, щоб захистити компанію від кібератак?
Дорога кібератака – рідкісна кібератака
Якщо вивчити статистику, то можна помітити цікавий факт. Більшість щомісячних кібератак – це автоматизовані й однотипні дрібні атаки, на кшталт:
- фішингових листів співробітникам;
- підбір пароля адміністратора до випадково відкритого ssh-порту;
- автоматизовані спроби зламати веб-сервер вашої компанії типу unix command execution, sql-injection, xss-injection та інші;
- автоматизоване і постійне застосування експлойтів до корпоративних роутера, публічних серверів і пристроїв Інтернету речей.
Проблема полягає в тому, що автоматизовані зломи коштують дешево, але відбуваються мало не щохвилини. Щоб захистити компанію від подібного, варто:
- вчасно оновлювати програмне забезпечення;
- встановити професійний антивірусний захист на всіх корпоративних пристроях співробітників;
- встановити перевірений фаєрвол;
- навчити співробітників кібербезпеці, пояснити небезпеку фішингу та інших загроз і як їх уникнути;
- застосувати складну автентифікацію користувачів.
У будь-якому випадку, чим вище ціна кібератак, тим рідше вони будуть виникати.
Не дайте хакерам просунутися вглиб ІТ-інфраструктури
Якщо ви змирилися з ідеєю, що вас в будь-якому випадку атакують, то тепер пора подумати про те, як саме ваша компанія буде сповільнювати дії зловмисника, поки він не дістався до центру ІТ-інфраструктури. Гарними варіантами в подібній ситуації стануть:
- Архітектура «Zero trust»
Через стрімкий розвиток хмарних рішень, співробітники часто працюють поза рамками мережевого периметра й тому можуть залишитися беззахисними перед кіберзагрозами. Архітектура нульової довіри передбачає, що компанія переходить від стандартної моделі мережевого периметра до моделі захисту операцій. Тобто користувачі повинні авторизуватися при кожній операції, і робиться акцент не на захист мережі, а на даних тих же користувачів.
- Мінімальні права для всіх співробітників
Буває так, що на роботу приходить новий адміністратор і отримує всі права в CRM-системі до будь-яких чутливих даних, яких їм не треба бачити. Більш того, акаунт адміністратора можуть ділити кілька користувачів. Таке необдумане рішення значно допомагає хакеру проникнути в ІТ-інфраструктуру та дістати необхідні дані.
Як же це виправити? Виділяйте кожному співробітнику мінімально необхідні йому права. Тепер, якщо хакер дістане логін і пароль якогось співробітника, ще не факт, що він дістанеться до критичних даних.
Якщо ж співробітнику потрібні додаткові права на доступ до важливих даних, то варто їх видавати тільки в період операцій, для яких вони потрібні.
Для цього питання також існують клас систем PAM (Privileged Access Management), за допомогою яких можна побудувати детальний процес видачі прав доступу – як вони видаються, кому і коли. Такі системи зручні не тільки у звичайних компаніях, але і в державних установах, де зарплати маленькі, а значить є ризик, що якийсь співробітник може злити дані за гроші.
Усвідомте цінність моніторингу
Намагайтеся, не ігнорувати моніторинг. Якщо ви пропустите момент вторгнення, то це може влетіти компанії в велику суму, зашкодить її іміджу та навіть зруйнує її.
Ми вже говорили про те, як зупинити зловмисника, якщо він зламав систему, тепер давайте розглянемо необхідні інструменти для виявлення атаки.
В ідеалі зберігайте будь-які дані моніторингу інфраструктури в окремому місці, виключаючи доступ системних адміністраторів, які можуть зловживати цими даними. Для цього часто використовують SOC (security operation center). Він допомагає з:
- захистом логів для подальшої реакції і проведення розслідування після злому, якщо облікові записи адміністраторів були скомпрометовані;
- створенням спеціального механізму з контролю дій адміністраторів, якщо вони намагаються приховати свої помилки або ще щось.
Далі подумайте про організацію розгорнутого моніторингу на базі Zabbix, Dell Foglight і Microsoft SСOM. Це професійні інструменти, які вже не перший рік допомагають відслідковувати проникнення в ІТ-інфраструктуру багатьох світових компаній. Читайте докладніше про створення системи моніторингу на базі цих продуктів.
Пам’ятайте про правильну реакцію на атаку і її наслідки
Ви можете не розповісти про наявність атаки своїм співробітникам і клієнтам, але саме замовчування може ще гірше вплинути на компанію, ніж сама атака. Для прикладу у нас є компанія FireEye.
Після виявлення проблеми їх репутація очевидно постраждала, але вони чесно зізналися в кібератаці, зібрали і опублікували детальну аналітику, і попередили про небезпеку. Це допомогло зупинити хвилю зломів і переосмислити стандарти кібербезпеки.
Будьте постійно уважні
На сьогоднішній день поки не придумали універсальне й ідеальне рішення всім кіберзагрозам. Але це не означає, що вам необхідно впадати у відчай. Вашої компанії просто необхідно:
- змиритися з фактом постійної кібернебезпеки;
- бути пильними до пристроїв, ПЗ, співробітників, обладнання та всього, що потенційно може нашкодити компанії;
- кожен день покращувати, оновлювати систему безпеки та шукати кращі варіанти.
Компанія TechExpert готова допомогти побудувати й удосконалити кіберзахист вашої компанії за допомогою професійних інструментів і великих знань в цій сфері. Дізнатися детально про наше співробітництво можна у нашого фахівця – контакти.